在天下网吧-网吧路由-网吧天下栏目上一篇文章中，我们看到了：

上一篇文章： 网吧路由器的几大功能特点

希望对各位网吧网管或者网吧维护，做网吧系统的各位大大有用，那么今天我们一起来看下：网吧路由器如何设置才能有效抵御DoS攻击？

　　网吧路由器是网吧网络的第一道防护屏障，也是病毒入侵的一个重要目标。ARP欺骗和DoS攻击的主要目标便是网吧路由器。因此，在路由器上采取适当措施，预防各种攻击是非常有必要的。之前小编分享过文章《受ARP欺骗时网吧路由器如何设置？》，下面小编以思科路由器为例说说网吧路由器抵御DoS攻击的解决方案。
　　DoS攻击是目前网络黑客广泛使用的一种攻击手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致宕机或网络瘫痪。
　　CiSCo路由器中的IOS软件具有许多防止DoS攻击的特性，保护路由器自身和内部网络的安全。DoS攻击利用了TCP协议本身的弱点，正确配置路由器能够有效防止DoS攻击。
　　1.使用基于内容的访问控制：基于内容的访问控制(CBAC)是对CiSCo传统访问列表的扩展，它基于应用层会话信息，智能化地过滤TCP和UDP数据包，防止DoS攻击。
　　CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候，用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率，当已经存在的半连接数量超过了门限值，路由器就会删除一些半连接，以保证新建立连接的需求，路由器持续删除半连接，直到存在的半连接数量低于另一个门限值。
　　2.使用QoS：使用服务质量优化特征，如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYNFlood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。
　　在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的对于half-open的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。
　　在Ci