本文目录一览:
- 1、如何设置路由器上防止DDoS攻击?
- 2、为什么用BT下载工具,路由器会提示发起了DDOS攻击
- 3、交换机的DDoS攻击怎么解决
- 4、公司路由器中了DDOS攻击,是固定IP,公司网络全断了, 路由器也进不去,各位大哥帮我忙
如何设置路由器上防止DDoS攻击?
1、使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。 单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。 在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。 2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址 参考以下例子: interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文 参考以下例子: {ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络} ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子: access-list 190 permit ip {客户端网络} {客户端网络掩码} any access-list 190 deny ip any any [log] interface {内部网络接口} {网络接口号} ip access-group 190 in 以下是客户端边界路由器的ACL例子: access-list 187 deny ip {客户端网络} {客户端网络掩码} any access-list 187 permit ip any any access-list 188 permit ip {客户端网络} {客户端网络掩码} any access-list 188 deny ip any any interface {外部网络接口} {网络接口号} ip access-group 187 in ip access-group 188 out 如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。 4、使用CAR(Control Access Rate)限制ICMP数据包流量速率 参考以下例子: interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 请参阅IOS Essential Features 获取更详细资料。
为什么用BT下载工具,路由器会提示发起了DDOS攻击
这个问题我也遇到过,确实是卡巴误报的问题。卡巴在“检测”到类似DDOS攻击的网络现象时就会自动断开网络,而且卡巴不能通过设置忽略ddos攻击,这是最郁闷的地方。我的解决方法是在卡巴检测到ddos攻击时,在断开网络之前,关掉卡巴,然后马上再启动卡巴就好了。另外一个可以实行的方法是限制bt客户端的连接数设为小于10个就不会引起卡巴的“敏感”了,但我想你肯定不想这么做,因为下载速度回收影响。
其实不用卡巴的防火墙也可以,用天网就很好。我后来换了天网的,一样用的,可以抵御很大部分攻击。
关于为什么在打开bt是会引起卡巴误报ddos攻击的问题是这样的。ddos是分布式拒绝服务攻击的简称,一般来说ddos是针对一些大的门户网站的,用某些软件模仿大量的网络访问来攻击服务器,使网络服务器不堪重负直至死机,不会有人无聊到用ddos来攻击我们这些小菜的机器的。bt在下载时会有很多机器连接到你的机器上,会有很多的网络访问,与ddos很相像,所以卡巴就会误报了。但这与ddos有很大区别,起码“攻击”力度上就要差很远,因为ddos动辄就要上万的访问量。
交换机的DDoS攻击怎么解决
为网吧业主对病毒可谓谈之色变,有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧网络的安全问题,分享解决这个问题的方法。
1,在PC上安装过滤软件
它与ARP防御软件类似,通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。
2,关键设备前加设防火墙
关
键设备前加设防火墙,过滤内网PC向关键设备发起的DDoS攻击,该方法在每个核心网络设备如核心交换机、路由器、服务器前安装一台硬件防火墙,防护的整
体成本过高,使得该方案无法对网吧众多关键设备进行全面的防护,目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。
3,通过安全交换机过滤网络中所有的DDoS攻击
通过交换机内置硬件DDoS防御模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时,启用自身协议保护,保证自身的CPU不被DDoS报文影响。
一个局域网内有一台机子中了病毒,如果不及时杀毒和隔离,其他的机子很快便会感染病毒。一旦病毒感染全场机器,轻则断网杀毒,投入大量人力物力反复检查;重则系统破坏,网吧被迫停业。希望对你们有帮助
公司路由器中了DDOS攻击,是固定IP,公司网络全断了, 路由器也进不去,各位大哥帮我忙
DDOS也分很多种,比如常见的TCP flood 和UDP flood 等等,您可以安装一个抓包软件如(科来网络分析系统)他自带了安全分析功能,通过安全分析功能先找到是哪种形式的DDOS 。
比如TCP flood 我们可以在被受攻击的主机开启 TCP syn-cookies就可以解决您的问题。
或者UDP flood 可以通过抓取他的 UDP数据包(通常黑客攻击他的数据包头也相同特征),通过包头的特征过滤掉响应的数据包即可。