科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道应用软件路由器CAR限速策略 防范DoS攻击3

路由器CAR限速策略 防范DoS攻击3

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

路由器CAR限速策略 防范DoS攻击

作者:ddvip 来源:ddvip` 2010年1月4日

关键字: 思科 路由器

  • 评论
  • 分享微博
  • 分享邮件

路由器CAR限速策略 防范DoS攻击3

 

CAR的配置

  我们通常在网络的边缘路由器上配置CAR 。配置CAR主要包括以下几部分:

  1. 确定“感兴趣”的流量类型也就是我们需要监视的流量,主要通过下列方式确定:

  (1)基于IP前缀,此种方式是通过rate-limit access list来定义的。

  (2)基于QoS分组。

  (3)基于MAC地址。

  (4)基于standard或extended的IP access list。

  2.在相应的端口配置rate-limit:

  一般的写法是:

  interface X

  rate-limit {input output} [access-group number ] bps burst-normal burst-max conform-

  action action exceed-action action

  上述命令的含义是:

  interface: 用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input、output上选择有所不同。

  Input output:确定需要限制输入或输出的流量。如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。

  access-group number: number是前面用access list定义流量的access list号码。

  bps:用户希望该流量的速率上限,单位是bps。

  burst-normal burst-max:这个是指token bucket的大小,一般采用8000、16000、32000这些值,视bps值的大小而定。

  conform-action:在速率限制以下的流量的处理策略。

  exceed-action:超过速率限制的流量的处理策略。

  action:处理策略,包括以下几种:

  ◆ transmit:传输。

  ◆ drop:丢弃。

  ◆ set precedence and transmit:修改IP前缀然后传输。

  ◆ set QoS group and transmit:将该流量划入一个QoS group内传输。

  ◆ continue:不动作,看下一条rate-limit命令中有无流量匹配和处理策略,如无,则transmit。

  ◆ set precedence and continue:修改IP前缀然后continue。

  ◆ set QoS group and continue:划入QoS group然后continue。

  具体应用

  CAR限制某种流量的速率之外,还可以用来抵挡DoS型攻击,诸如Smurf攻击使得网络上充斥着大量带有非法源地址的ICMP,占用网络的资源。我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络(如图3所示)。

路由器CAR限速策略 防范DoS攻击

  图3

  客户端边界路由器上的配置:

  interface s0 rate-limit input access-group 200 3000000 80000 80000

  conform-action transmit exceed-action drop

  这里我们把icmp包的流量定义在3Mbps,token bucket的大小为8000字节。

  access-list 200 permit icmp any any echo-reply

  这样一旦受到Smurf攻击时,在一定程度上我们可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。

  为了更好地运用CAR限速策略,我们需要弄清楚DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章