
首页 > 网络安全 > 网络 > 正文

如何利用路由器防止DoS攻击

绿盟科技 (2005-04-04 17:55:10)

拒绝服务（DoS）攻击是目
进行正常访问，从而导致宕机或

前黑客广泛使用的一种攻击手段，它
网络瘫痪。

通过独占网络资源、使其他主机不能

　　DoS攻击主要分为Smurf、SY
器和其他网络资源；SYN Flood
原理类似，使用UDP echo请求而

N Flood和Fraggle三种，在Smurf攻
攻击使用数量巨大的TCP半连接来占
不是ICMP echo请求发起攻击。

击中，攻击者使用ICMP数据包阻塞服务
用网络资源；Fraggle攻击与Smurf攻击

　　尽管网络安全专家都在着力
弱点。正确配置路由器能够有效
DoS攻击的特性，保护路由器自

开发阻止DoS攻击的设备，但收效不
防止DoS攻击。以Cisco路由器为例，
身和内部网络的安全。

大，因为DoS攻击利用了TCP协议本身的
Cisco路由器中的IOS软件具有许多防止

　　使用扩展访问列表

　　扩展访问列表是防止DoS攻击的有效工具。它
Show ip access-list命令能够显示每个扩展访问
DoS攻击的种类。如果网络中出现了大量建立TCP连
就可以改变访问列表的配置，阻止DoS攻击。

既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。
列表的匹配数据包，根据数据包的类型，用户就可以确定
接的请求，这表明网络受到了SYN Flood攻击，这时用户

　　使用QoS

　　使用服务质量优化（QoS）特征，如加权公平
GTS）以及定制队列（CQ）等，都可以有效阻止DoS
效果是有差别的。例如，WFQ对付Ping Flood攻击
常会在WFQ中表现为一个单独的传输队列，而SYN F
。此外，人们可以利用CAR来限制ICMP数据包流量
量速度，防止SYN Flood攻击。使用QoS防止DoS攻
对DoS攻击的不同类型采取相应的防范措施。

队列（WFQ）、承诺访问速率（CAR）、一般流量整形（
攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的
要比防止SYN Flood攻击更有效，这是因为Ping Flood通
lood攻击中的每一个数据包都会表现为一个单独的数据流
的速度，防止Smurf攻击，也可以用来限制SYN数据包的流
击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针

　　使用单一地址逆向转发

　　逆向转发（RPF）是路由器
路由器接收到一个源IP地址为10
为该IP地址提供任何路由信息，
地址伪装的攻击。

的一个输入功能，该功能用来检查路
.10.10.1的数据包，但是CEF（Cisco
路由器就会丢弃该数据包，因此逆向

由器接口所接收的每一个数据包。如果
Express Forwarding）路由表中没有
转发能够阻止Smurf攻击和其他基于IP

　　使用RPF功能需要将路由器设为快速转发模式
为CEF交换。RPF在防止IP地址欺骗方面比访问列表
化；第二RPF所需要的操作维护较少；第三RPF作为
使用访问列表小得多。

（CEF switching），并且不能将启用RPF功能的接口配置
具有优势，首先它能动态地接受动态和静态路由表中的变
一个反欺骗的工具，对路由器本身产生的性能冲击，要比

　　使用TCP拦截

　　Cisco在IOS 11.3版以后，

引入了TCP拦截功能，这项功能可以

有效防止SYN Flood攻击内部主机。

　　在TCP连接请求到达目标主
监视两种模式下工作。在拦截模
，如果连接成功，则代表客户机
器会一直拦截和发送数据包。对
防止自身的资源被SYN攻击耗尽
了所配置的建立时间，路由器就

机之前，TCP拦截通过拦截和验证来
式下，路由器拦截到达的TCP同步请
建立与服务器的连接，并将两个连接
于非法的连接请求，路由器提供更为
。在监视模式下，路由器被动地观察
会关闭此连接。

阻止这种攻击。TCP拦截可以在拦截和
求，并代表服务器建立与客户机的连接
进行透明合并。在整个连接期间，路由
严格的对于half-open的超时限制，以
流经路由器的连接请求，如果连接超过

　　在Cisco路由器上开启TCP拦
二是开启TCP拦截。配置访问列
网络。在配置时，用户通常需要
，路由器将会允许所有的请求经

截功能需要两个步骤：一是配置扩展
表是为了定义需要进行TCP拦截的源
将源地址设为any，并且指定具体的
过。

访问列表，以确定需要保护的IP地址；
地址和目的地址，保护内部目标主机或
目标网络或主机。如果不配置访问列表

　　使用基于内容的访问控制

　　基于内容的访问控制(CBAC)是对Cisco传统访
TCP和UDP数据包，防止DoS攻击。

问列表的扩展，它基于应用层会话信息，智能化地过滤

　　CBAC通过设置超时时限值和会话门限值来决定
接是指一个没有完成三阶段握手过程的会话。对UD

会话的维持时间以及何时删除半连接。对TCP而言，半连
P而言，半连接是指路由器没有检测到返回流量的会话。

　　CBAC正是通过监视半连接的
间内出现大量半连接的时候，用
和试图建立连接的频率，当已经
立连接的需求，路由器持续删除
的频率超过门限值，路由器就会
个门限值。通过这种连续不断的

数量和产生的频率来防止洪水攻击。
户可以判断是遭受了洪水攻击。CBAC
存在的半连接数量超过了门限值，路
半连接，直到存在的半连接数量低于
采取相同的措施，删除一部分连接请
监视和删除，CBAC可以有效防止SYN

每当有不正常的半连接建立或者在短时
每分钟检测一次已经存在的半连接数量
由器就会删除一些半连接，以保证新建
另一个门限值；同样，当试图建立连接
求，并持续到请求连接的数量低于另一
Flood和Fraggle攻击。

　　路由器是企业内部网络的第
那么企业内部网络的安全也就无
用户需要注意的是，以上介绍的
资源的占用也有很大差别，在实

一道防护屏障，也是黑客攻击的一个
从谈起，因此在路由器上采取适当措
几种方法，对付不同类型的DoS攻击
际环境中，用户需要根据自身情况和

重要目标，如果路由器很容易被攻破，
施，防止各种DoS攻击是非常必要的。
的能力是不同的，对路由器CPU和内存
路由器的性能来选择使用适当的方式。

(http://www.fanqiang.com)

原文链接：http://www.chinaitlab.net/netprod/article_show.asp?id=1003114

相关文章

关於 DDoS 攻击事件的探讨 2001-11-01 09:00:01
增强Sendmail的抗DoS攻击能力 2001-05-10 20:30:33
族群式DDOS（Tribe Flood Network）攻击 2001-05-19 07:00:00
VPN及目前Firewall 在DDoS 攻击防上的缺陷 2001-05-20 08:10:00
Cisco路由器上如何防止DDoS 2001-06-25 07:00:00
DDos介绍 2001-09-26 07:00:01
WLAN中如何对付DoS攻击？ 2005-04-01 11:29:42


★ 感谢所有的作者为我们学习技术知识提供了一条捷径 ★ www.fanqiang.com