dos攻击防范

在应对常见的DoS攻击时，路由器本身的配置信息非常重要，管理员可以通过以下几个方面，来防止不同类型的DoS攻击。

扩展访问列表是防止DoS攻击的有效工具，其中ess-list命令可以显示匹配数据包，数据包的类型反映了DoS攻击的种类，由于DoS攻击大多是利用了TCP协议的弱点，所以网络中如果出现大量建立TCP连接的请求，说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容，从而达到阻止攻击源的目的。

使用QoS也可以阻止DoS攻击，但不同的变量设置要针对不同的DoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击，此时就需要利用QoS的WFQ特征，让整个外部网络的访问队列更规整，削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性，则效果不佳，这主要是由于数据包的独立性造成WFQ无法正确选择过滤，而总体的洪水流量不会因此而改变访问通道。

同样，比疯狂Ping攻击更可怕的DoS攻击类型——Smurf攻击来说，我们可以利用QoS的CAR特征来防御，通过限制ICMP数据包流量的速度，让其堵塞网络的目的无法达成。

如果用户的路由器具备TCP拦截功能，也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截，如果数据包合法，允许实现正常通信，否则，路由器将显示超时限制，以防止自身的资源被耗尽，说到底，利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。

路由器作为企业内部核心的通信设备，其除了具备基本的网络分发工作外，还承担着安全保卫任务。现在越来越多的网络攻击首先选中核心路由，一旦拿下root对整个网络无疑是灭顶之灾。但同时，作为企业内部网络的第一道防护，防止各种DoS攻击也责无旁贷。