ddos攻击器路由器_ddos攻击交换机

交换机的DDoS攻击怎么解决

为网吧业主对病毒可谓谈之色变，有过网吧或机房管理经验朋友肯定知道，机器中的病毒是很让人头疼的事情，尤其是内网服务器DDoS攻击和交换机的DDoS攻击，直接影响网吧 *** 的安全问题，分享解决这个问题的 *** 。

1，在PC上安装过滤软件

它与ARP防御软件类似，通过监控网卡中所有的报文，并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力，该类型的软件一般仅过滤TCP协议，而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。

2，关键设备前加设防火墙

关

键设备前加设防火墙，过滤内网PC向关键设备发起的DDoS攻击，该 *** 在每个核心 *** 设备如核心交换机、路由器、服务器前安装一台硬件防火墙，防护的整

体成本过高，使得该方案无法对网吧众多关键设备进行全面的防护，目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。

3，通过安全交换机过滤 *** 中所有的DDoS攻击

通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS攻击报文，进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时，启用自身协议保护，保证自身的CPU不被DDoS报文影响。

一个局域网内有一台机子中了病毒，如果不及时杀毒和隔离，其他的机子很快便会感染病毒。一旦病毒感染全场机器，轻则断网杀毒，投入大量人力物力反复检查;重则系统破坏，网吧被迫停业。希望对你们有帮助

为什么我DDOS攻击,有时候有反映,有时候没有?这是怎么回事?

以下几点是防御DDOS攻击几点:

1、采用高性能的 *** 设备

2、充足的 *** 带宽保证

3、安装专业抗DDOS防火墙

你攻击不到，可能是人家做了1，3预防。

有时有反映有时没反映，可能是当时的（2） *** 导致的，你攻击成功的时候，可能当时该段 *** 比较繁忙，所以有反映。没反映的时候，可能他的 *** 有足够带宽来应付你的攻击，也就是说你的攻击还不够猛..

Cisco 29交换机能防止DDoS吗？要怎样设置交换机才能防止DDoS攻击呢？

可以采用硬\软结合的方式.

硬件,可以采用思科设备. 配置:

Cisco路由器上防止分布式拒绝服务（DDoS）攻击的一些建议

1、使用 ip verfy unicast reverse-path *** 接口命令

这个功能检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达 *** 接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。

单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止 *** URF攻击和其它基于IP地址伪装的攻击。这能够保护 *** 和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的\"CEF swithing\"或\"CEF distributed switching\"选项。不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的 *** 接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个 *** 接口或子接口上激活的输入端功能，处理路由器接收的数据包。

在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址

参考以下例子：

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文

参考以下例子：

{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端 *** }

ISP端边界路由器应该只接受源地址属于客户端 *** 的通信，而客户端 *** 则应该只接受源地址未被客户端 *** 过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子：

access-list 190 permit ip {客户端 *** } {客户端 *** 掩码} any

access-list 190 deny ip any any [log]

interface {内部 *** 接口} { *** 接口号}

ip access-group 190 in

以下是客户端边界路由器的ACL例子：

access-list 187 deny ip {客户端 *** } {客户端 *** 掩码} any

access-list 187 permit ip any any

access-list 188 permit ip {客户端 *** } {客户端 *** 掩码} any

access-list 188 deny ip any any

interface {外部 *** 接口} { *** 接口号}

ip access-group 187 in

ip access-group 188 out

如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的 *** 接口并不需要是CEF交换接口。

4、使用CAR（Control Access Rate）限制ICMP数据包流量速率

参考以下例子：

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

tran *** it exceed-action drop

access-list 2020 permit icmp any any echo-reply

请参阅IOS Essential Features 获取更详细资料。

5、设置SYN数据包流量速率

interface {int}

rate-limit output access-group 153 45000000 100000 100000 conform-action

tran *** it exceed-action drop

rate-limit output access-group 152 1000000 100000 100000 conform-action

tran *** it exceed-action drop

access-list 152 permit tcp any host eq www

access-list 153 permit tcp any host eq www established

在实现应用中需要进行必要的修改，替换：

45000000为更大连接带宽

1000000为SYN flood流量速率的30%到50%之间的数值。

burst normal（正常突变）和 burst max（更大突变）两个速率为正确的数值。

注意，如果突变速率设置超过30%，可能会丢失许多合法的SYN数据包。使用\"show interfaces rate-limit\"命令查看该 *** 接口的正常和过度速率，能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。

警告：一般推荐在 *** 正常工作时测量SYN数据包流量速率，以此基准数值加以调整。必须在进行测量时确保 *** 的正常工作以避免出现较大误差。

另外，建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

6、搜集证据并联系 *** 安全部门或机构

如果可能，捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为：

tcpdump -i interface -s 1500 -w capture_file

snoop -d interface -o capture_file -s 1500

本例中假定MTU大小为1500。如果MTU大于1500，则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关 *** 安全部门或机构。

软件方式:

系统中的防火墙,流量检测以及限制. 软件有很多，防火墙也有很多.关键在硬件设备把关.

防御ddos攻击应该怎么做

DDOS攻击是最常见的 *** 攻击方式之一，到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好像有1,000个人同时给你家里打 *** ，这时候你的朋友还打得进来吗?不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。下面锐速云介绍几种措施：

1、采用高性能的 *** 设备引首先要保证 *** 设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。

再就是假如和 *** 提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

2、尽量避免 NAT 的使用无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换 NAT

的使用，因为采用此技术会较大降低 *** 通信能力，其实原因很简单，因为NAT 需要对地址来回转换，转换过程中需要对 *** 包的校验和进行计算，因此浪费了很多 CPU

的时间，但有些时候必须使用 NAT，那就没有好办法了。

3、充足的 *** 带宽保证 *** 带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗当今的SYNFlood 攻击，

至少要选择 100M 的共享带宽，更好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M 的并不意味着它的 *** 带宽就是千兆的，若把它接在

100M 的交换机上，它的实际带宽不会超过100M，

再就是接在100M的带宽上也不等于就有了百兆的带宽，因为 *** 服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

4、找专业的 *** 安全防护公司比如墨者安全这类的高防公司为您架设防御系统，墨者安全无需客户迁移机房就能有阻止DDOS和CC攻击，实现DDOS云防护清洗、

强效抵抗CC攻击;支持HTTPS及最新的HTTP/2协议，HTTPS全链路支持，具备T级超强防护能力，最新自研指纹识别架构WAF防火墙，提供1T超大防护宽带，单IP防护能力更大可达数百G，超大宽带，从容应对超大流量攻击。全方位保护游戏企业的服务器，有预防性的构建 *** 防御部署，消除 *** 安全隐患。

企业应该如何防御ddos攻击？

一、寻找机会应对

如果已遭受攻击，那所能做的防范工作是非常有限的，因为在未准备好的情况下，有大流量灾难性攻击冲向用户，很可能在用户还没回过神之际， *** 已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在之一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的 *** ，将这些IP地址在服务器或路由器上过滤掉。

找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此 *** 对于公司 *** 出口只有一个，而又遭受到来自外部的DDoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

最后还有一种比较折中的 *** 是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效地防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

二、预防为主

DoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规 *** ：

1. 过滤所有RFC1918IP地址

RFC1918IP地址是内部网的IP地址，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此 *** 并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DDoS的攻击。

2. 用足够的机器承受黑客攻击

是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此 *** 需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业 *** 实际运行情况不相符。

3. 充分利用 *** 设备保护 *** 资源

所谓 *** 设备是指路由器、防火墙等负载均衡设备，它们可将 *** 有效地保护起来。当 *** 被攻击时更先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而更大程度的削减了DDoS的攻击。

4. 配置防火墙

防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux漏洞少和天生防范攻击优秀的系统。

5. 限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的更大流量来限制SYN/ICMP封包所能占有的更高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的 *** 访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是更好的防范DOS的 *** ，虽然目前该 *** 对于DDoS效果不太明显了，不过仍然能够起到一定的作用。

6. 定期扫描

要定期扫描现有的 *** 主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的更佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到 *** 主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

怎么通过交换机过滤网吧 *** 中所有的DDoS攻击

网吧首先不太会有DDos攻击吧，这种一般都是针对网站的。你应该是遇到的广播风暴吧

交换机看是你是用的三层还是四层的交换机。如果没有划分vlan你也不太好弄。

如果可以划分vlan基本上就可以杜绝你说的这种情况。

如果不可以更好使用多层交换机也可以实现