对于
网站来说,最可怕的是拒绝
服务攻击,拒绝服务(DoS)攻击是一种广泛使用的黑客攻击,意味着
网络资源,让它排斥其他主机无法正常访问,从而导致网络瘫痪,我们可以通过在接入
路由器的汽车
速度实现
策略抗攻击的目的使用。
dos是拒绝服务的
缩写,也就是拒绝服务。它使DoS攻击行为被称为DoS攻击,其目的是使
计算机或网络无法提供正常的服务,DoS网络攻击的一个重要特征是大量非法源
地址的ICMP包将被淹没在网络中。通过在路由器上对ICMP数据包进行车辆
配置,可以建立速率限制的
方法来
保护网络。
工作机制
汽车承诺访问短率是承诺访问速率,汽车的主要
功能有两个:一个端口或端口(接口)和流量限制根据标准限值;对流量进行
分类,分成不同的QoS priorities.car只能在IP包中发挥
作用,并不能限制非IP流量。此外,汽车只能用于
支持CEF交换路由器或交换机(思科快速转发)。
为了
控制流量,我们需要做的第一件事是包分类和
识别(数据包分类)。然后我们访问流量控制(访问限制)。汽车是它们的组合,它的工作流程如图1所示。
图1
首先,我们要定义感兴趣的流量,所谓的兴趣流是进行流量控制的数据包
类型:
(1)基于IP前缀,该方法由速率限制访问列表定义。
(2)QoS分组。
(3)IP访问列表,可由标准或
扩展访问列表定义。
采用上述方法定义感兴趣的流量后,第二步限流(流量限制)进行out.car采用令牌桶机制称为交通限制(如图2所示)。
图2
限制器采用令牌桶算法来监测交通流量的带宽利用率。当每个
输入帧到达时,它的长度被添加到令牌桶(马克)。每0.25毫秒(1 / 4000秒),CIR(承诺信息速率,承诺信息速率)或平均电流限制速度从令牌桶中减去。这样做的想法是让令牌桶等于0,从而稳定数据速率。
电流限制器允许流量突发超过平均水平。令牌桶和突发值之间的质量(字节级)水平可以有效的突发量,这也侧面交通称为(有限的内部交通)。当令牌桶的大小超过突发值,限流器的研究流特大型在这一点上,我们可以定义一个PIR(峰值信息速率、峰值信息速率)。当流量超过PIR的最大突发值,电流限制器认为流的侵害,而这种交通也叫了剖面流量(流出),所以实际流量通过限流器(桶)时,你可以看到,有两例,哈普EN:
(1)实际流量小于或等于
用户期望的速率。框架离开桶的实际速度与它的速率相同,桶可以被认为是空的,流量不超过用户的期望值。
(2)实际流量大于用户所需的速度。进入斗架的速度比左斗的那么快,在一段时间内,该框架将填补水桶,帧的到来不断溢出(多余的)桶,汽车将采取适当的行动(通常被丢弃或IP前缀改变令牌的优先级),这保证了数据业务的速率可以保证在用户定义的期望值。
配置的车
我们通常在网络的边缘路由器上配置汽车,汽车的配置主要包括以下几个部分:
1。确定兴趣;流量类型是我们需要监控的流量,这主要取决于以下几种方式:
(1)基于IP前缀,该方法由速率限制访问列表定义。
(2)基于QoS分组。
(3)基于MAC地址。
(4)基于标准或扩展的IP访问列表。
2。配置速率限制:在相应端口
写作的一般方法是:
X接口
{输入输出速率限制| } {数量} BPS突发访问组正常突发最大符合—
行动超越行动行动
上述
顺序的含义是:
接口:用户希望
执行流量控制的端口可以是
以太网或串行端口,但不同类型的接口在以下输入和输出上是不同的。
输入|输出:确定输入或输出,需要限制流动。如果配置一个以太网端口,流量输出;如果配置的串行端口,流量输入。
访问组号:号码是在访问列表前面定义流量的访问列表号。
用户需要流量的速率限制,单位是BPS。
突发正常突发最大值:这是令牌桶的大小,它通常使用8000, 16000和32000个值,这取决于BPS值的大小。
一致动作:低于速率限制的流量
处理策略。
超越行动:超速率受限业务处理策略。
行动:处理策略,包括以下内容:
发送:
传输。
滴:滴。
设置优先级和传输:
修改IP前缀,然后传输。
集合QoS组和传输:流入QoS组传输的流程。
继续:不移动,查看速率限制
命令,没有流量匹配和处理策略,如免费、传输。
设置优先权和继续:IP继续,然后修改前缀。
设置QoS组和继续:组并继续进入QoS。
具体应用
汽车限制一定的交通速度,也可用来抵御DoS攻击,例如Smurf攻击,使得网络充满了非法源地址ICMP,占用网络资源,我们可以通过配置的车来保护网络配置ICMP数据包保护网络(如图3所示)通过在路由器上配置包。
图3
客户端边界路由器上的配置:
接口速率限制输入访问组200300000080000 80000
符合行动传递超过行动滴
这里我们定义在3mbps的ICMP数据包的流量,和令牌桶的大小是8000字节。
访问列表200允许ICMP任何回音应答
这是一次攻击的精灵,我们可以限制速率和ICMP数据包转发到一定程度的大小,减少对网络和主机的
损坏。
为了更好地利用车速限制策略,我们需要找出DoS攻击的原则,以便针对不同类型的DoS攻击采取相应的防范措施。