
首页 > 网络安全 > 网络 > 正文

Cisco路由器上如何防止DDoS

中联绿盟 (2005-04-04 17:56:56)

Cisco路由器上防止分布式拒绝服务（DDoS）攻击的一些建议

　　1、使用 ip verfy unicast reverse-path 网络接口命令

　　这个功能检查每一个经过路
所到达网络接口的所有路由项中
器接收到一个源IP地址为1.2.3.
数据包传输时所需的路由），则

由器的数据包。在路由器的CEF（Cis
，如果没有该数据包源IP地址的路由
4的数据包，如果CEF路由表中没有为
路由器会丢弃它。

co Express Forwarding）表该数据包
，路由器将丢弃该数据包。例如，路由
IP地址1.2.3.4提供任何路由（即反向

　　单一地址反向传输路径转发
和其它基于IP地址伪装的攻击。
需要打开路由器的"CEF sw
输入接口配置为CEF交换（switc
其它交换（switching）模式。R
，处理路由器接收的数据包。

（Unicast Reverse Path Forwardin
这能够保护网络和客户免受来自互联
ithing"或"CEF distribu
hing）。只要该路由器打开了CEF功
PF（反向传输路径转发）属于在一个

g）在ISP（局端）实现阻止SMURF攻击
网其它地方的侵扰。使用Unicast RPF
ted switching"选项。不需要将
能，所有独立的网络接口都可以配置为
网络接口或子接口上激活的输入端功能

　　在路由器上打开CEF功能是
IOS 12.0及以上版本中，但不支

非常重要的，因为RPF必须依靠CEF。
持Cisco IOS 11.2或11.3版本。

Unicast RPF包含在支持CEF的Cisco

　　2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址

　　参考以下例子：

　　interface xy

　　ip access-group 101 in

　　access-list 101 deny ip 10.0.0.0 0.255.2

55.255 any

　　access-list 101 deny ip 192.168.0.0 0.0.

255.255 any

　　access-list 101 deny ip

172.16.0.0 0.15.255.255 any

　　access-list 101 permit ip any any

　　3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文

　　参考以下例子：

　　{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}

　　ISP端边界路由器应该只接受源地址属于客户
户端网络过滤的通信。以下是ISP端边界路由器的

端网络的通信，而客户端网络则应该只接受源地址未被客
访问控制列表（ACL）例子：

　　access-list 190 permit i

p {客户端网络} {客户端网络掩码}

any

　　access-list 190 deny ip any any [log]

　　interface {内部网络接口} {网络接口号}

　　ip access-group 190 in

　　以下是客户端边界路由器的ACL例子：

　　access-list 187 deny ip {客户端网络} {客户端网络掩码} any

　　access-list 187 permit ip any any

　　access-list 188 permit i

p {客户端网络} {客户端网络掩码}

any

　　access-list 188 deny ip any any

　　interface {外部网络接口} {网络接口号}

　　ip access-group 187 in

　　ip access-group 188 out

　　如果打开了CEF功能，通过
表（ACL）的长度以提高路由器
的网络接口并不需要是CEF交换

使用单一地址反向路径转发（Unicas
性能。为了支持Unicast RPF，只需
接口。

t RPF），能够充分地缩短访问控制列
在路由器完全打开CEF；打开这个功能

　　4、使用CAR（Control Access Rate）限制ICMP数据包流量速率

　　参考以下例子：

　　interface xy

　　rate-limit output access-group 2020 3000

000 512000 786000 conform-action

　　transmit exceed-action drop

　　access-list 2020 permit icmp any any ech

o-reply

　　请参阅IOS Essential Features 获取更详细资料。

　　5、设置SYN数据包流量速率

　　interface {int}

　　rate-limit output access

-group 153 45000000 100000 10000

0 conform-action

　　transmit exceed-action drop

　　rate-limit output access

-group 152 1000000 100000 100000

conform-action

　　transmit exceed-action drop

　　access-list 152 permit tcp any host eq www

　　access-list 153 permit tcp any host eq w

ww established

　　在实现应用中需要进行必要的修改，替换：

　　45000000为最大连接带宽

　　1000000为SYN flood流量速率的30%到50%之间的数值。

　　burst normal（正常突变）

和 burst max（最大突变）两个速率

为正确的数值。

　　注意，如果突变速率设置超
rate-limit"命令查看该网
制数值设置标准是保证正常通信

过30%，可能会丢失许多合法的SYN数
络接口的正常和过度速率，能够帮助
的基础上尽可能地小。

据包。使用"show interfaces
确定合适的突变速率。这个SYN速率限

　　警告：一般推荐在网络正常工作时测量SYN数
时确保网络的正常工作以避免出现较大误差。

据包流量速率，以此基准数值加以调整。必须在进行测量

　　另外，建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

　　6、搜集证据并联系网络安全部门或机构

　　如果可能，捕获攻击数据包
据包捕获工具包括TCPDump和sno

用于分析。建议使用SUN工作站或Lin
op等。基本语法为：

ux等高速计算机捕获数据包。常用的数

　　tcpdump -i interface -s 1500 -w capture_file

　　snoop -d interface -o capture_file -s 1500

　　本例中假定MTU大小为1500。如果MTU大于1500
证据提供给有关网络安全部门或机构。

，则需要修改相应参数。将这些捕获的数据包和日志作为

(http://www.fanqiang.com)

原文链接：http://www.chinaitlab.net/netprod/article_show.asp?id=1000978

相关文章

关於 DDoS 攻击事件的探讨 2001-11-01 09:00:01
族群式DDOS（Tribe Flood Network）攻击 2001-05-19 07:00:00
VPN及目前Firewall 在DDoS 攻击防上的缺陷 2001-05-20 08:10:00
Cisco路由器上如何防止DDoS 2001-06-25 07:00:00
DDos介绍 2001-09-26 07:00:01


★ 感谢所有的作者为我们学习技术知识提供了一条捷径 ★ www.fanqiang.com