ddos攻擊路由器是很普遍的，但是一旦攻擊成功就有可能影響到我們的生活，甚至影響到我們的上網(wǎng)，那ddos攻擊路由怎么辦呢？了解網(wǎng)絡(luò)安全常識，首先就要了解常見電腦黑客攻擊類型與預(yù)防方法，下面佰佰安全網(wǎng)小編就帶您認(rèn)識一下吧。

1、路由器被DDoS攻擊，可以使用訪問控制列表（ACL）過濾進(jìn)出報(bào)文參考以下例子：{ISP中心} -- ISP端邊界路由器--客戶端邊界路由器-- {客戶端網(wǎng)絡(luò)}ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。以下是ISP端邊界路由器的訪問控制列表（ACL）例子：

access-list 190 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} anyaccess-list 190 deny ip any any [log]interface {內(nèi)部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號}ip access-group 190 in

2、設(shè)置SYN數(shù)據(jù)包流量速率interface {int}rate-limit output access-group 153 45000000 100000 100000 conform-actiontransmit exceed-action droprate-limit output access-group 152 1000000 100000 100000 conform-actiontransmit exceed-action dropaccess-list 152 permit tcp any host eq wwwaccess-list 153 permit tcp any host eq www established .

在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改，替換：45000000為最大連接帶寬1000000為SYN flood流量速率的30%到50%之間的數(shù)值。burst normal（正常突變）和burst max（最大突變）兩個速率為正確的數(shù)值。注意，如果突變速率設(shè)置超過30%，可能會丟失許多合法的SYN數(shù)據(jù)包。使用"show interfaces rate-limit"命令查看該網(wǎng)絡(luò)接口的正常和過度速率，能夠幫助確定合適的突變速率。這個SYN速率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小。警告：一般推薦在網(wǎng)絡(luò)正常工作時(shí)測量SYN數(shù)據(jù)包流量速率，以此基準(zhǔn)數(shù)值加以調(diào)整。必須在進(jìn)行測量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。另外，建議考慮在可能成為SYN攻擊的主機(jī)上安裝IP Filter等IP過濾工具包。

3、使用訪問控制列表（ACL）過濾RFC 1918中列出的所有地址參考以下例子：

interface xyip access-group 101 inaccess-list 101 deny ip 10.0.0.0 or 0.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 permit ip any any .

4、使用CAR（Control Access Rate）限制ICMP數(shù)據(jù)包流量速率參考以下例子：

interface xyrate-limit output access-group 2020 3000000 512000 786000 conform-actiontransmit exceed-action dropaccess-list 2020 permit icmp any any echo-reply.

5、使用ip verfy unicast reverse-path網(wǎng)絡(luò)接口命令這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個源IP地址為1.2.3.4的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會丟棄它。

6、搜集證據(jù)并聯(lián)系網(wǎng)絡(luò)安全部門或機(jī)構(gòu)如果可能，捕獲攻擊數(shù)據(jù)包用于分析。建議使用SUN工作站或Linux等高速計(jì)算機(jī)捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDump和snoop等。

基本語法為：tcpdump -i interface -s 1500 -w capture_filesnoop -d interface -o capture_file -s 1500.

關(guān)于網(wǎng)絡(luò)安全小知識，佰佰安全網(wǎng)小編為您介紹和普及這么多了，看完上面的介紹，您對“ddos攻擊路由怎么辦”這個問題了解多少了呢？如果您在上網(wǎng)的時(shí)候發(fā)現(xiàn)路由器被ddos攻擊，您可以參照上面小編為您的介紹方法來進(jìn)行防范和刪除攻擊痕跡。

責(zé)任編輯:慕丹萍