4.1 DoS攻击概述

拒绝服务攻击(DoS)是目前互联网上常见的攻击手段。DoS攻击方式有很多种,最基本的DoS攻击是利用大量的合理服务请求来占用服务资源,使合法用户无法得到服务的响应。而攻击报文多采用伪装源IP地址以防暴露其踪迹。

预防DoS攻击的方法之一就是在网络的接入设备上设置入口过滤,来限制伪装源IP的报文进入网络,这样可以在攻击的早期防止DoS的发生,因而具有较好的效果。ISP可通过此项措施防止攻击进入Internet,局域网的网管也有义务确保局域网不会成为此类攻击的发源地。

锐捷交换机采用基于RFC2827的入口过滤规则来预防DoS攻击,该过滤采用硬件实现,不会给网络转发增加负担。

入口过滤的设置位置通常有两种:

1、ISP在接入路由器上设置:

这种设置可防范攻击从局域网进入Internet。

2、局域网在三层交换机上设置:

这种设置可防范局域网内部发起的攻击。

Last updated