文件名称:DoS攻击防护-网络故障应急处理-路由器的配置及管理
文件大小:4.24MB
文件格式:PPT
更新时间:2024-05-15 19:43:50
网络故障 路由器 配置 管理
DoS攻击防护 防止DDos攻击 防止网络设备成为DDos攻击的参与者 采用访问控制列表对所有的入流量进行过滤,滤除源地址为私有和保留地址的数据包 过滤所有的外出流量,以防止源ip地址欺骗 采用承诺访问速率(committed access rate,CAR)对icmp数据包风暴进行限速 对SYN包进行速率限制 使用ip verify unicast reverse-path网络接口命令 用NAT和PAT管理地址 1 确保采取一切可能的手段以防止通过对堡垒主机的非授权访问在上面放置DDoS软件,关闭所有不必要的ip服务,在所有的接口上使用命令no ip directed-broadcast以防止我们的边界路由器变成DDoS攻击的广播放大器 3 只允许允许的地址的数据包流出边界路由器,可以采用访问控制列表和ip verify unicast reverse-path 接口命令过滤外出流量 4 要求式ios版本ios 11.1cc或12.0+。 首先利用访问控制列表对数据包进行分类,定义出icmp数据流 其次对数据流分完类之后,CAR可以有选择的将数据流量限制在指定的带宽之内,如果超出了约定的速率,就会触发策略行动,对数据包进行丢弃。 rate-limit接口配置命令被用来配置CAR 再次,在我们配置CAR前,接口上的cef(cisco 特快转发 cisco express forwarding)功能必须打开。 Ip verify unicast reverse-path网络接口命令: 这个功能检查每一个经过路由器的数据包。在路由器的cef(cisco express forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源ip地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和 其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF 需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。