防止对路由器的DDoS攻击

1、使用ip verfy单播反向路径网络接口命令9pY Black Coastline网络安全信息站

9pY黑色网络安全信息站

此功能检查通过路由器的每个数据包。在路由器的CEF（思科快速转发）表中，如果没有到数据包源IP地址的路由，则路由器将丢弃该数据包。例如，如果路由器收到源IP地址为1.2.3.4的数据包，则CEF路由表未为IP地址1.2.3.4提供任何路由（即，反向数据包传输所需的路由），路由器将丢弃它。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

单播反向路径转发在ISP（总部）实施，以防止SMURF攻击和其他基于IP地址伪装的攻击。这样可以保护网络和客户免受Internet上其他位置的入侵。要使用单播RPF，您需要打开路由器的“ CEF切换”或“ CEF分布式交换”选项。无需将输入接口配置为CEF切换（切换）。只要路由器启用了CEF功能，就可以在其他交换模式下配置所有独立的网络接口。 RPF（反向传输路径转发）是一种在网络接口或子接口上激活的输入功能，用于处理路由器接收的数据包。 9pY黑色网络安全信息站

在路由器上启用CEF功能非常重要，因为RPF必须依赖CEF。单播RPF包含在支持CEF的Cisco IOS 1 2.0和更高版本中，但不支持Cisco IOS 1 1.2或1 1.3版本。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

2、使用访问控制列表（ACL）过滤RFC 1918 9pY黑色网络安全信息站中列出的所有地址

9pY黑色网络安全信息站

请参考以下示例：9pY黑色网络安全信息站

9pY黑色网络安全信息站

xy9pY黑色网络安全信息站界面

ip access-group 101 in9pY黑色网络安全信息站

访问列表101拒绝ip 10.[k11]0.00.255.255.255 any9pY黑色网络安全信息站

访问列表101拒绝ip 19 2.16 [k18]0.00.0.255.255 any9pY黑色网络安全信息站

访问列表101拒绝ip 17 2.1 [k24]0.00.15.255.255 any9pY黑色网络安全信息站

访问列表101允许ip任何9pY黑色网络安全信息站

9pY黑色网络安全信息站

3、请参阅RFC 2267，使用访问控制列表（ACL）过滤传入和传出的数据包9pY Black Coastline网络安全信息站

9pY黑色网络安全信息站

请参考以下示例：9pY黑色网络安全信息站

9pY黑色网络安全信息站

{ISP中心} — ISP边界路由器—客户端边界路由器— {客户端网络} 9pY黑色网络安全信息站

9pY黑色网络安全信息站

ISP边界路由器仅应接受源地址属于客户端网络的通信，而客户端网络应仅接受源地址未被客户端网络过滤的通信。以下是ISP侧边界路由器的访问控制列表（ACL）的示例：9pY黑色网络安全信息站

9pY黑色网络安全信息站

访问列表190许可ip {client network} {client network mask} any9pY Black Coastline Network Security Information Station

访问列表190拒绝ip任何任何[log] 9pY黑色网络安全信息站

9pY黑色网络安全信息站

接口{内部网络接口} {网络接口号} 9pY Black Coast网络安全信息站

ip访问组190 in9pY黑色网络安全信息站

9pY黑色网络安全信息站

以下是客户端边界路由器的ACL示例：9pY黑色网络安全信息站

9pY黑色网络安全信息站

访问列表187 deny ip {客户端网络} {客户端网络掩码} any9pY Black Coastline网络安全信息站

访问列表187允许ip任何any9pY Black Coast网络安全信息站

9pY黑色网络安全信息站

访问列表188 allow ip {客户端网络} {客户端网络掩码} any9pY黑色网络安全信息站

访问列表188拒绝ip任何任何9pY Black Coastline网络安全信息站

9pY黑色网络安全信息站

接口{外部网络接口} {网络接口号} 9pY黑色网络安全信息站

ip访问组187 in9pY黑色网络安全信息站

ip access-group 188 out9pY黑色网络安全信息站

9pY黑色网络安全信息站

如果打开CEF功能，则通过使用单播RPF，可以充分缩短访问控制列表（ACL）的长度，以提高路由器性能。为了支持单播RPF，您只需要在路由器上完全打开CEF；启用此功能的网络接口不必是CEF交换接口。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

4、使用CAR（控制访问速率）将ICMP数据包的流量限制为9pY Black Coast网络安全信息站

9pY黑色网络安全信息站

请参考以下示例：9pY黑色网络安全信息站

9pY黑色网络安全信息站

xy9pY黑色网络安全信息站界面

速率限制输出访问组2020 3000000 512000 786000conform-action9pY黑色网络安全信息站

传输超动作下降9pY黑色网络安全信息站

9pY黑色网络安全信息站

access-list 2020允许icmp任何回声回复9pY黑色网络安全信息站

9pY黑色网络安全信息站

有关更多详细信息，请参阅IOS基本功能。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

5、将SYN数据包的流量设置为9pY黑色网络安全信息站

9pY黑色网络安全信息站

界面{int} 9pY黑色网络安全信息站

速率限制输出访问组100000 100000conform-action9pY黑色网络安全信息站

传输超动作下降9pY黑色网络安全信息站

速率限制输出访问组152 00 100000conform-action9pY黑色网络安全信息站

传输超动作下降9pY黑色网络安全信息站

9pY黑色网络安全信息站

访问列表152允许tcp任何主机eq www9pY Black Coastline网络安全信息站

访问列表153允许tcp任何主机eq www建立9pY Black Coastline网络安全信息站

9pY黑色网络安全信息站

在应用程序的实现中需要进行必要的修改，更换：9pY黑色网络安全信息站

45000000是9pY黑色网络安全信息站的最大连接带宽

1000000是介于SYN洪水流量的30％到50％之间的值。 9pY黑色网络安全信息站

突发正常（正常突然变化）和突发最大（最大突然变化）两个比率是正确的值。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

请注意，如果将突变率设置为大于30％，则许多合法的SYN数据包可能会丢失。使用“ show interfaces rate-limit”命令查看网络接口的正常速率和过多速率，这可以帮助确定适当的突变率。在确保正常通信的基础上，SYN速率限制值设置标准应尽可能小。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

警告：通常建议在网络正常工作时测量SYN数据包流率，并根据基准值进行调整。在测量过程中，必须确保网络的正常运行，以免出现较大的误差。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

此外，建议考虑在可能会成为SYN攻击的主机上安装IP过滤工具包，例如IP过滤器。 9pY黑色网络安全信息站

9pY黑色网络安全信息站

6、收集证据并联系网络安全部门或组织9pY Black Coastline网络安全信息站

9pY黑色网络安全信息站

如果可能，捕获攻击数据包以进行分析。建议使用诸如SUN工作站或Linux之类的高速计算机来捕获数据包。常用的数据包捕获工具包括TCPDump和snoop。基本语法为：9pY黑色网络安全信息站

9pY黑色网络安全信息站

tcpdump -i接口-s 1500 -w capture_file9pY黑色网络安全信息站

9pY黑色网络安全信息站

-d接口-o capture_file -s 15009pY黑色网络安全信息站

9pY黑色网络安全信息站

在此示例中，假定MTU大小为1500。如果MTU大于1500，则需要修改相应的参数。将这些捕获的数据包和日志作为证据提供给相关的网络安全部门或机构

文章来自：CCIE那小东西保留所有权利。本网站上的文章是作者的原创文章，但来源除外，可以自由引用，但请注明出处。禁止重印全文。

本文标题：防止对路由器的（DDoS）攻击

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-325560-1.html