路由器怎么防dos攻击

路由器在我们的生活中不可缺少，而且也是到处攻击的主要对象，那路由器怎么防dos攻击呢？了解网络安全常识，首先就要了解常见电脑黑客攻击类型与预防方法，下面佰佰安全网小编就带您认识一下吧。

1、禁止主机对ping广播作出反应

当前绝大部分的操作系统都可以通过特别的设置，使主机系统对于ICMP ECHO广播不做出回应。通过阻止放大器网络上的主机对ICMP ECHO(ping)广播做出回应，可以阻止该广播网络成为攻击的帮凶。

2、限制icmp echo的流量

当大量的数据涌入一个接口的时候，即使使用了访问策略对ICMP包进行了删除，接口还是可能会因为忙于不断删除大量数据而导致接口不能提供正常服务。

与被动的删除数据相比，一个主动的方法是，在接口上设置承诺速率限制(committed access rate，简称CAR)，将特定数据的流量限制在一个范围之内，允许其适量的通过，同时保证了其它流量的正常通过。

在UDP flooding中，攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口，导致changen端口产生大量的随机字符到echo端口，而echo端口又将接收到的字符返回，最后导致两个系统都因耗尽资源而崩溃。

注意：为了防御UDP flooding，我们必须防止路由器的诊断端口或服务向管理域之外的区域开放，如果不需要使用这些端口或者服务，应该将其关闭。

防止IP源地址欺骗的最有效方法就是验证源地址的真实性，在Cisco路由器上，我们可以采用下列两种方法：

a、在网络边界实施对IP源地址欺骗的过滤。阻止IP源地址欺骗的一个最简单有效的方法是通过在边界路由器使用向内的访问列表，限制下游网络发进来的数据包确实是在允许接受的地址范围，不在允许范围的数据将被删除。同时，为了追溯攻击者，可以使用log记录被删除的数据信息。

b、使用反向地址发送 。使用访问控制列表在下游入口处做ip限制，是基于下游ip地址段的确定性 。但在上游入口处，流入数据的ip地址范围有时是难于确定的。在无法确定过滤范围时，一个可行的方法是使用反向地址发送(Unicast Reverse Path Forwarding)。

反向地址发送是Cisco路由器的新版IOS提供的一项特性，简称uRPF。uRPF的工作原理是：当路由器在一个接口上收到一个数据包时，它会查找CEF(Cisco Express Forward)表，验证是否存在从该接收接口到包中指定的源地址之间的路由，即反向查找路径，验证其真实性，如果不存在这样的路径就将数据包删除。相比访问控制列表，uRPF具有很多优点，例如：耗费CPU资源少、可以适应路由器路由表的动态变化(因为CEF表会跟随路由表的动态变化而更新)，所以维护量更少，对路由器的性能影响较小。

关于网络安全小知识，佰佰安全网小编为您介绍和普及这么多了，看完上面的介绍，您对“路由器怎么防dos攻击”这个问题了解多少了呢？如果你想了解更多关于预防dos攻击的详细知识，您可以关注我们佰佰安全网上的相关内容介绍。

责任编辑:慕丹萍