第十四章 Cisco路由器如何防止DDoS攻擊

1、使用ipverfyunicastreverse-path網絡接口命令

這個功能檢查每一個經過路由器的數據包。在路由器的CEF（CiscoExpressForwarding）表該數據包所到達網絡接口的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。例如，路由器接收到一個源IP地址為1.2.3.4的數據包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數據包傳輸時所需的路由），則路由器會丟棄它。

單一地址反向傳輸路徑轉發（UnicastReversePathForwarding）在ISP（局端）實現阻止SMURF攻擊和

其它基於IP地址偽裝的攻擊。這能夠保護網絡和客戶免受來自互聯網其它地方的侵擾。使用UnicastRPF需要打開路由器的"CEFswithing"或"CEFdistributedswitching"選項。不需要將輸入接口配置為CEF

交換（switching）。隻要該路由器打開了CEF功能，所有獨立的網絡接口都可以配置為其它交換（switching）模式。RPF（反向傳輸路徑轉發）屬於在一個網絡接口或子接口上激活的輸入端功能，處理路由器接收的數據包。

在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF。UnicastRPF包含在支持CEF的CiscoIOS12.0及以上版本中，但不支持CiscoIOS11.2或11.3版本。

2、使用訪問控製列表（ACL）過濾RFC1918中列出的所有地址

參考以下例子：

interfacexy

ipaccess-group101in

access-list101denyip10.0.0.00.255.255.255any

access-list101denyip192.168.0.00.0.255.255any

access-list101denyip172.16.0.00.15.255.255any

access-list101permitipanyany

3、參照RFC2267，使用訪問控製列表（ACL）過濾進出報文

參考以下例子：

{ISP中心}--ISP端邊界路由器--客戶端邊界路由器--{客戶端網絡}

ISP端邊界路由器應該隻接受源地址屬於客戶端網絡的通信，而客戶端網絡則應該隻接受源地址未被客戶端網絡過濾的通信。以下是ISP端邊界路由器的訪問控製列表（ACL）例子：

access-list190permitip{客戶端網絡}{客戶端網絡掩碼}any

access-list190denyipanyany[log]

interface{內部網絡接口}{網絡接口號}

ipaccess-group190in

以下是客戶端邊界路由器的ACL例子：

access-list187denyip{客戶端網絡}{客戶端網絡掩碼}any

access-list187permitipanyany

access-list188permitip{客戶端網絡}{客戶端網絡掩碼}any

access-list188denyipanyany