拒絕服務(DoS)攻擊是目前黑客廣泛使用的一種攻擊手段,它通過獨佔網絡資源、使其他主機不能進行正常訪問,從而導致宕機或網絡癱瘓。本文主要向大家介紹了幾種利用路由器防禦DOS攻擊的方法,以防此類攻擊給我們造成不便。
方法/步驟
先分析瞭如何做好路由器安全的方法,然後結合具體案例nat123分析了在路由器使用公網IP的情況下如何添加動態域名解析的方法。
使用擴展訪問列表
擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型,也可以阻止DoS攻擊。Show IP access-list命令能夠顯示每個擴展訪問列表的匹配數據包,根據數據包的類型,用戶就可以確定DoS攻擊的種類。如果網絡中出現了大量建立TCP連接的請求,這表明網絡受到了SYN Flood攻擊,這時用戶就可以改變訪問列表的配置,阻止DoS攻擊。
使用QoS
使用服務質量優化(QoS)特徵,如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定製隊列(CQ)等,都可以有效阻止DoS攻擊。需要注意的是,不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如,WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效,這是因為Ping Flood通常會在WFQ中表現為一個單獨的傳輸隊列,而SYN Flood攻擊中的每一個數據包都會表現為一個單獨的數據流。
此外,人們可以利用CAR來限制ICMP數據包流量的速度,防止Smurf攻擊,也可以用來限制SYN數據包的流量速度,防止SYN Flood攻擊。使用QoS防止DoS攻擊,需要用戶弄清楚QoS以及DoS攻擊的原理,這樣才能針對DoS攻擊的不同類型採取相應的防範措施。
使用單一地址逆向轉發
逆向轉發(RPF)是路由器的一個輸入功能,該功能用來檢查路由器接口所接收的每一個數據包。如果路由器接收到一個源IP地址為10.10.10.1的數據包,但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息,路由器就會丟棄該數據包,因此逆向轉發能夠阻止Smurf攻擊和其他基於IP地址偽裝的攻擊。
當我們的路由器使用的是動態公網IP的時候,如何添加動態域名解析呢。
登錄nat123客戶端/域名解析列表/添加域名解析.選擇解析類型為“動態域名解析”。域名網址使用自己的域名,或提示的免費自定義二級域名。
添加動態域名解析後,可以看到實時解析記錄,及解析到的本地公網IP監控記錄。
