ddos攻击路由器教程_路由器ddos攻击怎么整

如何设置路由器上防止DDoS攻击？

1、使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。 单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。 在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。 2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址 参考以下例子： interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文 参考以下例子： {ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络} ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子： access-list 190 permit ip {客户端网络} {客户端网络掩码} any access-list 190 deny ip any any [log] interface {内部网络接口} {网络接口号} ip access-group 190 in 以下是客户端边界路由器的ACL例子： access-list 187 deny ip {客户端网络} {客户端网络掩码} any access-list 187 permit ip any any access-list 188 permit ip {客户端网络} {客户端网络掩码} any access-list 188 deny ip any any interface {外部网络接口} {网络接口号} ip access-group 187 in ip access-group 188 out 如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的网络接口并不需要是CEF交换接口。 4、使用CAR（Control Access Rate）限制ICMP数据包流量速率 参考以下例子： interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 请参阅IOS Essential Features 获取更详细资料。

网站受到DDOS攻击怎么办？

ddos攻击意思是黑客通过几千台甚至上万台肉鸡每秒像你的网站ip发送几G甚至几T的流量，对你网站ip进行的流量攻击，一般受攻击的网站会因为流量猛涨，内存占用过高而打不开。原理如图

防御的方法：

（1）可以通过花钱像服务器运营商购买更多的流量或带宽即提高网站服务器配置，当黑客的攻击流量小于你服务器拥有的流量，网站还是可以打开，黑客的目的就没达到，如果黑客还对你网站ip发动ddos攻击，他的肉鸡流量也会有损耗。

（2）网站服务器只开放80端口，其他所有端口都关闭，即在防火墙上做阻止策略。

（3）检查访问者ip是否是真实ip，使用Unicast Reverse-Path-Forwarding等反向路由器查询检查访问者ip是否真实。

END

注意事项

肉鸡是指被黑客控制的个人电脑或网站服务器，个人电脑相对少，因为现在的电脑一般都装了杀软，很难中木马了，而网站服务器，特别是win系统的vps却很容易中木马，黑客通过网站漏洞上传木马文件至网站目录，然后通过提权，进而控制你的服务器成为黑客的肉鸡

网站受到DDOS攻击怎么办

一、确保系统的安全

1、确保服务器的系统文件是最新的版本,并及时更新系统补丁。

2、管理员需对所有主机进行检查，知道访问者的来源。

3、过滤不必要的服务和端口，可以使用工具来过滤不必要的服务和端口，即在路由器上过滤假IP。

4、限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间,限制SYN/ICMP流量。

5、正确设置防火墙，在防火墙上运行端口映射程序或端口扫描程序。

6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。

7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。

8、充分利用网络设备保护网络资源。

二、隐藏服务器的真实IP地址

服务器防御DDOS攻击最根本的措施就是隐藏服务器真实IP地址。

当服务器对外传送信息时就可能会泄露IP，例如，我们常见的使用服务器发送邮件功能就会泄露服务器的IP，因而，我们在发送邮件时，需要通过第三方代理发送，这样子显示出来的IP是代理IP，因而不会泄露真实IP地址。

在资金充足的情况下，可以选择高防服务器，且在服务器前端加CDN中转，所有的域名和子域都使用CDN来解析。

三、负载均衡技术

这一类主要针对DDOS攻击中的CC攻击进行防护，这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。

当然这种现象也会在访问量较大的网站上正常发生，但我们一定要把这些正常现象和分布式拒绝服务攻击区分开来。

在企业网站加了负载均衡方案后，不仅有对网站起到CC攻击防护作用，也能将访问用户进行均衡分配到各个web服务器上，减少单个web服务器负担，加快网站访问速度。

服务器被ddos攻击了怎么办?

1.减少公开暴露

对于企业来说，减少公开暴露是防御 DDoS 攻击的有效方式，对 PSN 网络设置安全群组和私有网络，及时关闭不必要的服务等方式，能够有效防御网络黑客对于系统的窥探和入侵。具体措施包括禁止对主机的非开放服务的访问，限制同时打开的 SYN 最大连接数，限制特定 IP 地址的访问，启用防火墙的防 DDoS 的属性等。

2.利用扩展和冗余

DDoS 攻击针对不同协议层有不同的攻击方式，因此我们必须采取多重防护措施。利用扩展和冗余可以防患于未然，保证系统具有一定的弹性和可扩展性，确保在 DDoS 攻击期间可以按需使用，尤其是系统在多个地理区域同时运行的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。

微软针对所有的 Azure 提供了域名系统(DNS)和网络负载均衡，Rackspace 提供了控制流量流的专属云负载均衡。结合 CDN 系统通过多个节点分散流量，避免流量过度集中，还能做到按需缓存，使系统不易遭受 DDoS 攻击。

3.充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有 10M 带宽的话，无论采取什么措施都很难对抗当今的 SYNFlood 攻击，至少要选择 100M 的共享带宽，最好的当然是挂在1000M 的主干上了。但需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的，若把它接在 100M 的交换机上，它的实际带宽不会超过 100M，再就是接在 100M 的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为 10M，这点一定要搞清楚。

4.分布式服务拒绝 DDoS 攻击

所谓分布式资源共享服务器就是指数据和程序可以不位于一个服务器上，而是分散到多个服务器。分布式有利于任务在整个计算机系统上进行分配与优化，克服了传统集中式系统会导致中心主机资源紧张与响应瓶颈的缺陷，分布式数据中心规模越大，越有可能分散 DDoS 攻击的流量，防御攻击也更加容易。

5.实时监控系统性能

除了以上这些措施，对于系统性能的实时监控也是预防 DDoS 攻击的重要方式。不合理的 DNS 服务器配置也会导致系统易受 DDoS 攻击，系统监控能够实时监控系统可用性、API、CDN 以及 DNS 等第三方服务商性能，监控网络节点，清查可能存在的安全隐患，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机加强监控是非常重要的。

当然最好的办法还是选择使用香港的高防服务器。