路由器CAR限速策略 防范DoS攻击3

路由器CAR限速策略 防范DoS攻击3

CAR的配置

　　我们通常在网络的边缘路由器上配置CAR 。配置CAR主要包括以下几部分：

　　1. 确定“感兴趣”的流量类型也就是我们需要监视的流量，主要通过下列方式确定：

　　（1）基于IP前缀，此种方式是通过rate-limit　access list来定义的。

　　（2）基于QoS分组。

　　（3）基于MAC地址。

　　（4）基于standard或extended的IP access list。

　　2．在相应的端口配置rate-limit:

　　一般的写法是：

　　interface X

　　rate-limit {input　output} [access-group number ] bps burst-normal burst-max conform-

　　action action exceed-action action

　　上述命令的含义是：

　　interface: 用户希望进行流量控制的端口，可以是Ethernet也可以是serial口，但是不同类型的interface在下面的input、output上选择有所不同。

　　Input　output:确定需要限制输入或输出的流量。如果在以太网端口配置，则该流量为output；如果在serial端口配置，则该流量为input。

　　access-group number: number是前面用access list定义流量的access list号码。

　　bps:用户希望该流量的速率上限，单位是bps。

　　burst-normal burst-max：这个是指token bucket的大小，一般采用8000、16000、32000这些值，视bps值的大小而定。

　　conform-action：在速率限制以下的流量的处理策略。

　　exceed-action:超过速率限制的流量的处理策略。

　　action:处理策略，包括以下几种：

　　◆ transmit:传输。

　　◆ drop:丢弃。

　　◆ set precedence and transmit:修改IP前缀然后传输。

　　◆ set QoS group and transmit:将该流量划入一个QoS group内传输。

　　◆ continue:不动作，看下一条rate-limit命令中有无流量匹配和处理策略，如无，则transmit。

　　◆ set precedence and continue:修改IP前缀然后continue。

　　◆ set QoS group and continue:划入QoS group然后continue。

　　具体应用

　　CAR限制某种流量的速率之外，还可以用来抵挡DoS型攻击，诸如Smurf攻击使得网络上充斥着大量带有非法源地址的ICMP，占用网络的资源。我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络（如图3所示）。

　　图3

　　客户端边界路由器上的配置：

　　interface s0 rate-limit input access-group 200 3000000 80000 80000

　　conform-action transmit exceed-action drop

　　这里我们把icmp包的流量定义在3Mbps，token bucket的大小为8000字节。

　　access-list 200 permit icmp any any echo-reply

　　这样一旦受到Smurf攻击时，在一定程度上我们可以限制ICMP包的转发速率和大小，减少对网络和主机造成的破坏。

　　为了更好地运用CAR限速策略，我们需要弄清楚DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。