思科路由器防御DDOS

核心提示： 3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文参考以下例子：{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络} ISP端边界路由器应该只接受源地址属于客户端网络的通信，思科路由器防御DDOS(2)，而客户端网络则应该只接受源地址未被客户

3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文

参考以下例子：

{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}

ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子：

access-list 190 permit ip {客户端网络} {客户端网络掩码} any

access-list 190 deny ip any any [log]

interface {内部网络接口} {网络接口号}

ip access-group 190 in

以下是客户端边界路由器的ACL例子：

access-list 187 deny ip {客户端网络} {客户端网络掩码} any

access-list 187 permit ip any any

access-list 188 permit ip {客户端网络} {客户端网络掩码} any

access-list 188 deny ip any any

interface {外部网络接口} {网络接口号}

ip access-group 187 in

ip access-group 188 out

假如打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的网络接口并不需要是CEF交换接口。

4、使用CAR（Control Access Rate）限制ICMP数据包流量速率

参考以下例子：

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

请参阅IOS Essential Features 获取更具体资料。

5、设置SYN数据包流量速率