4.1 DoS攻击概述

拒绝服务攻击（DoS）是目前互联网上常见的攻击手段。DoS攻击方式有很多种，最基本的DoS攻击是利用大量的合理服务请求来占用服务资源，使合法用户无法得到服务的响应。而攻击报文多采用伪装源IP地址以防暴露其踪迹。

预防DoS攻击的方法之一就是在网络的接入设备上设置入口过滤，来限制伪装源IP的报文进入网络，这样可以在攻击的早期防止DoS的发生，因而具有较好的效果。ISP可通过此项措施防止攻击进入Internet，局域网的网管也有义务确保局域网不会成为此类攻击的发源地。

锐捷交换机采用基于RFC2827的入口过滤规则来预防DoS攻击，该过滤采用硬件实现，不会给网络转发增加负担。

入口过滤的设置位置通常有两种：

1、ISP在接入路由器上设置：

这种设置可防范攻击从局域网进入Internet。

这种设置可防范局域网内部发起的攻击。

Last updated 4 years ago