路由器网络攻击的防范技术

目前对各种病毒的攻击和猖獗的网络不受惩罚，造成了很大的损失，因此越来越多的人开始具有防火墙功能的路由器，为高端路由器，但可以通过命令某些设置路由器，减少病毒攻击和损失，基于H3C路由器为例，如何防止DDoS攻击。
The use of IP verfy unicast reverse-path, a check after every router packet, the packet routing network interface at all, if not the packet source IP address of the router, the router will discard the packet forwarding address, a single reverse transmission path in ISP to prevent SMURF attacks and other IP. 基于伪装的攻击，可以保护网络和客户免受来自其他地方的网络骚扰。
二，使用单播RPF打开CEF路由器开关选项，不需要输入接口配置为CEF交换，只要路由器开启CEF功能，所有独立的网络接口可配置为其他切换模式，传输反向路径转发属于输入功能是激活网络接口或子接口。处理路由器接收的数据包。
三。使用访问控制列表过滤所有列出的地址。
接口的XY
IP接入组101
访问列表101否认任何IP 10.0.0.0 0.255.255.255
访问列表101否认任何IP 192.168.0.0 0.0.255.255
访问列表101否认任何IP 172.16.0.0 0.15.255.255
访问列表101允许任何IP
四，ISP终端边界路由器只应接受属于客户端网络的源地址的通信，而客户端网络只应接受源地址未被客户端网络过滤的通信。
访问列表190允许IP客户机网络{ }网络掩码}
访问列表190拒绝任何IP {日志}
接口{内部网络接口}网络接口号}
IP接入组190
五、如果我们打开CEF功能和使用单一地址反向路径转发，我们可以缩短访问控制列表的长度，提高了路由器的性能。为了支持单播RPF，只有CEF是路由器完全打开；网络接口，打开这个功能并不需要的CEF切换界面。
六、如果突变率将超过30%，可能导致许多合法的SYN数据包丢失，查看网络接口的正常率和过度使用显示接口的速率限制的命令，可以帮助确定合适的突变率，合成限速值设定的标准是保证尽可能小的正常通信的基础。

总的来说，建议在网络正常工作时测量SYN分组的通信速率，并调整基准值。测量时要保证网络正常运行，避免较大误差。