在天下网吧-网吧路由-网吧天下栏目上一篇文章中,我们看到了:
网吧路由器是网吧网络的第一道防护屏障,也是病毒入侵的一个重要目标。ARP欺骗和DoS攻击的主要目标便是网吧路由器。因此,在路由器上采取适当措施,预防各种攻击是非常有必要的。之前小编分享过文章《受ARP欺骗时网吧路由器如何设置?》,下面小编以思科路由器为例说说网吧路由器抵御DoS攻击的解决方案。
DoS攻击是目前网络黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致宕机或网络瘫痪。
CiSCo路由器中的IOS软件具有许多防止DoS攻击的特性,保护路由器自身和内部网络的安全。DoS攻击利用了TCP协议本身的弱点,正确配置路由器能够有效防止DoS攻击。
1.使用基于内容的访问控制:基于内容的访问控制(CBAC)是对CiSCo传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,防止DoS攻击。
CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值。
2.使用QoS:使用服务质量优化特征,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效阻止DoS攻击。需要注意的是,不同的QoS策略对付不同DoS攻击的效果是有差别的。此外,人们可以利用CAR来限制ICMP数据包流量的速度,防止Smurf攻击,也可以用来限制SYN数据包的流量速度,防止SYNFlood攻击。使用QoS防止DoS攻击,需要用户弄清楚QoS以及DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。
在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于half-open的超时限制,以防止自身的资源被SYN攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。
在Ci
好了,关于【网吧路由器如何设置才能有效抵御DoS攻击?】这个问题今天就说到这,有些地方说得不是很好,如果你有更好的补充请发表评论或者上网吧论坛提出吧。网吧论坛地址:http://bbs.txwb.com
如果有下一页,请点击下一页哦,文章还没说完呢。
本文来源:网络整理 作者:佚名