目前網(wǎng)絡(luò)上各種各樣的病毒和攻擊肆虐，毫無顧忌，造成了很大的損失，為此越來越多的路由器都開始帶有防火墻功能，對(duì)于高端路由器，更是可以通過命令對(duì)路由器進(jìn)行一定的設(shè)置，以減少病毒和攻擊帶來的損失，本文以H3C路由器為例，介紹如何防止DDOS攻擊。

一、使用ip verfy unicast reverse-path檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包，該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包，單一地址反向傳輸路徑轉(zhuǎn)發(fā)在ISP實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊，這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。

二、使用Unicast RPF 需要打開路由器的CEF swithing選項(xiàng)，不需要將輸入接口配置為CEF交換，只要該路由器打開了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換模式，反向傳輸路徑轉(zhuǎn)發(fā)屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。

三、使用訪問控制列表過濾列出的所有地址

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

四、ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。

access-list 190 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any

access-list 190 deny ip any any [log]

interface {內(nèi)部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)}

ip access-group 190 in

五、如果打開了CEF功能，通過使用單一地址反向路徑轉(zhuǎn)發(fā)，能夠充分地縮短訪問控制列表的長度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開CEF;打開這個(gè)功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口。

六、如果突變速率設(shè)置超過30%，可能會(huì)丟失許多合法的SYN數(shù)據(jù)包，使用show interfaces rate-limit命令查看該網(wǎng)絡(luò)接口的正常和過度速率，能夠幫助確定合適的突變速率，這個(gè)SYN速率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小。

最后要說一下，一般情況下推薦在網(wǎng)絡(luò)正常工作時(shí)測量SYN數(shù)據(jù)包流量速率，以此基準(zhǔn)數(shù)值加以調(diào)整，必須在進(jìn)行測量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。