怎样使用路由器防止DoS攻击_路由器知识大全
怎样使用路由器防止DoS攻击
学习啦【路由器知识大全】 编辑：若木
　　欢迎大家来到学习啦，本文为大家讲解怎样使用路由器防止DoS攻击，欢迎大家阅读借鉴。
　　拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段，它通过独占网络资源、使其他主机不 能进行正常访问，从而导致宕机或网络瘫痪。
　　DoS攻击主要分为Smurf、SYN Flood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYN Flood攻击使用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似，使用UDP echo请求而不是ICMP echo请求发起攻击。
　　尽管网络安全专家都在着力开发阻止DoS攻击的设备，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例，Cisco路由器中的IOS软件具有许多防止DoS攻击的特性，保护路由器自身和内部网络的安全。
　　使用扩展访问列表
　　扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。Show ip access-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求，这表明网络受到了SYN Flood攻击，这时用户就可以改变访问列表的配置，阻止DoS攻击。
　　使用QoS
　　使用服务质量优化(QoS)特征，如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。例如，WFQ对付Ping Flood攻击要比防止SYN Flood攻击更有效，这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列，而SYN Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYN Flood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。
　　使用单一地址逆向转发
　　逆向转发(RPF)是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包，但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。
　　使用RPF功能需要将路由器设为快速转发模式(CEF switching)，并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势，首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具，对路由器本身产生的性能冲击，要比使用访问列表小得多。
　　使用TCP拦截
　　Cisco在IOS 11.3版以后，引入了TCP拦截功能，这项功能可以有效防止SYN Flood攻击内部主机。
　　在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCP同步请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的对于half-open的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。
　　在Cisco路由器上开启TCP拦截功能需要两个步骤：一是配置扩展访问列表，以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址，保护内部目标主机或网络。在配置时，用户通常需要将源地址设为any，并且指定具体的目标网络或主机。如果不配置访问列表，路由器将会允许所有的请求经过。
　　使用基于内容的访问控制
　　基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展，它基于应用层会话信息，智能化地过滤TCP和UDP数据包，防止DoS攻击。
　　CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言，半连接是指一个没有完成三阶段握手过程的会话。对UDP而言，半连接是指路由器没有检测到返回流量的会话。
　　CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候，用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率，当已经存在的半连接数量超过了门限值，路由器就会删除一些半连接，以保证新建立连接的需求，路由器持续删除半连接，直到存在的半连接数量低于另一个门限值;同样，当试图建立连接的频率超过门限值，路由器就会采取相同的措施，删除一部分连接请求，并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除，CBAC可以有效防止SYN Flood和Fraggle攻击。
　　路由器是企业内部网络的第一道防护屏障，也是黑客攻击的一个重要目标，如果路由器很容易被攻破，那么企业内部网络的安全也就无从谈起，因此在路由器上采取适当措施，防止各种DoS攻击是非常必要的。用户需要注意的是，以上介绍的几种方法，对付不同类型的DoS攻击的能力是不同的，对路由器CPU和内存资源的占用也有很大差别，在实际环境中，用户需要根据自身情况和路由器的性能来选择使用适当的方式。
本文已影响 人
[怎样使用路由器防止DoS攻击]相关的文章
看过本文的人还看了
【路由器知识大全】图文推荐
Copyright & 2006 -
All Rights Reserved
学习啦 版权所有DOS完整教程介绍 _ 路由器设置|192.168.1.1|无线路由器设置|192.168.0.1 - 路饭网
您的位置： >
> 阅读资讯：DOS完整教程介绍
DOS完整教程介绍
DOS完整教程介绍
【转帖】DOS完整教程－－很基础的东东
您现在的位置：建站无忧()∷文章首页&软件技术&操作系统&DOS完整教程（新手必看）
DOS完整教程（新手必看）
作者：未知 来源于： 发布时间： 19:38:25
文字作为dos 应该说是新手所必经之路 不论谈网络安全还是系统操作都是紧密相连
近期一位好友强烈要偶写关于dos教程 想来想去没什么好写 无意在织站黑客协会
发现精华之转贴 于是呼就拿了回来~请广大c班同学认真学习
dos使用常识
dos（disk operating system）是一个使用得十分广泛的磁盘操作系统，就连眼下流行的windows9x/me系统都是以它为基矗
常见的dos有两种：ibm公司的pc-dos和微软公司的ms-dos，它们的功能、命令用途格式都相同，我们常用的是ms-dos。
自从dos在1981年问世以来，版本就不断更新，从最初的dos1.0升级到了最新的dos8.0（windows me系统），纯dos 的最高版本为dos6.22，这以后的新版本dos都是由windows系统所提供的，并不单独存在。下面的讲解所使用的dos为windows98 4.10.2222a的dos7.0系统。
dos的基础知识
(1）dos的组成
dos分为核心启动程序和命令程序两个部分。
dos的核心启动程序有boot系统引导程序、io.sys、msdos.sys和。它们是构成dos系统最基础的几个部分，有了它们系统就可以启动。
但光有启动程序还不行，dos作为一个字符型的操作系统，一般的操作都是通过命令来完成。dos命令分为内部命令和外部命令。内部命令是一些常用而所占空间不大的命令程序，如dir、cd等，它们存在于文件中，会在系统启动时加载到内存中，以方便调用。而其它的一些外部命令则以单独的可执行文件存在，在使用时才被调入内存。
（小知识：可执行的程序文件有*.com和*.exe两种，一般来讲，*.exe文件为软件执行程序，而*.com文件则为命令程序）
2）dos的启动
如果你安装了win98，在电脑启动时按住ctrl不放，出现启动选择菜单，选择5&command prompt only&即可进入dos方式。
目前我们常用的操作系统有windows 9x/me,nt,2000等，都是可视化的界面。在这些系统之前的人们使用的操作系统是dos系统。dos系统目前已经没有什么人使用了，但是dos命令却依然存在于我们使用的windows系统之中。大部分的dos命令都已经在windows里变成了可视化的界面，但是有一些高级的dos命令还是要在dos环境下来执行。所以学习命令行对于我们熟练操作windows系统是很有必要的。
不同的操作系统要用不同的命令进入命令行界面。
在win9x/me的开始菜单中的运行程序中键入&command&命令，可进入命令行界面。
在win2000/nt的开始菜单中的运行程序中键?cmd&命令，可进入命令行界面。
下面我用讲到的dos命令都可以在windows me操作系统中执行。
那么，我们如何进入命令行窗口？
开始&&〉运行&&〉键入command命令&&〉回车
进入了命令行操作界面（dos窗口），在dos窗口中只能用键盘来操作。
在dos中通过输入英文命令加回车键这种方式来执行程序。
3）dos的系统提示符
dos启动后，会显示&c:&&以及一个闪动的光标，这及是dos的系统提示符，它表示了当前所在的盘符和目录，我们可以输入&[盘符] :&来进行转换，如&a:&、&e:&。这里要注意输入的盘符一定要是存在的。
（小知识：盘符从a到z，通常a、b盘为软驱，硬盘的盘符从c开始，而光驱的盘符为最后一个）
(4）文件及目录
电脑中的数据主要都是以文件形式存储的，也可以说dos以文件的形式来管理数据。
文件是相关数据的集合，若干数据聚集在一起组成一个文件。每个文件都有文件名，文件名由主文件名和后缀名两部分组成，中间有小圆点隔开。dos6.22及其以前版本最多仅支持8个字符的主文件名和3个字符的后缀名，而从windows 95的dos7.0开始就可支持128个字符的主文件名和后缀名。字母、汉字、数字和一些特殊符号如&!、@、#&都可以作为文件名，但不能有&/、\、|、:、?&等符号。
通常我们可以通过文件的后缀名看出该文件的类型，比如：
后缀名 文件类型
exe 可执行程序文件
com 可执行命令文件
bat 可执行批处理文件
txt 文本文件
dat 数据文件
bak 备份文件
为了方便用户进行操作，dos还允许使用通配符。所谓通配符，就是&？&与&*&这两个符号，它们可以用来代替文件名中的某些字符。&？&代表一个合法的字符或空字符，比如&ab?d.exe&文件就可以表示&abcd.exe&、&abdd.exe&、&abzd.exe&等。
而&*&则代表若干个字符，如&*.bat&就代表当前目录下所有后缀名为&bat&的文件。
dos以目录树的形式管理磁盘，这里的目录就相当于windows中的文件夹。和文件夹一样，目录也是一层一层的，构成一个树的形式。在一个盘符中最底层的目录为根目录，根目录下的目录都称为它的子目录，根目录用&\&表示，一个目录的上一层目录用&..&表示。我们可以通过路径来查找某一个文件或目录，路径就如同地址一样，可以使用户方便、准确地进行查找。比如&c:\windows\command\deltree.exe&就是一个文件的路径。
DOS的内部命令是进行操作的基础，完成了对它们的学习你就跨进了DOS系统的大门。
1）DIR--显示指定路径上所有文件或目录的信息
它的格式为&DIR [盘符：][路径][文件名] [参数]&，比如&DIR E:\FF.M3U&。输入后回车则会显示出相关信息（如图1）。另外它还有几个参数：
/W：宽屏显示，一排显示5个文件名，而不会显示修改时间，文件大小等信息；
/P：分页显示，当屏幕无法将信息完成显示时，可使用其进行分页显示；
/A：显示具有特殊属性的文件，这里的属性有&H&隐藏、&R&只读等，我们可以输入&DIR *.* /AH&来显示当前目录下所有具有隐藏属性的文件；
/S：显示当前目录及其子目录下所有的文件，通过这个参数，我们可以进行某个文件或目录的查找，比如我们可以在&C:&&后输入&DIR *.DAT /S&来查找C盘中所有后缀名为DAT的文件。
几种参数可以同时使用，例如&DIR *.COM /W /P /S&。
2）MD--建立目录
它的格式为&MD [盘符][路径]&，例如&MD TEMP&。
注意：该命令一次只能建立一个目录。
3）RD--删除目录
格式为&RD [盘符][路径]&。
注意：该命令只能删除空目录，并且不能删除当前目录。
4）CD--进入指定目录
格式为& CD [路径]&，例如&CD HAPPY&。
注意：只能进入当前盘符中的目录。其中&CD\&为回到根目录，&CD..&为回到上一层目录。
5）COPY--拷贝文件
格式为&COPY [源目录或文件] [目的目录或文件]&，比如&COPY C:\*.COM D:\&，我们也可以输入&COPY C:\ D:\Command.BAK&来进行文件拷贝并改名。
注意：使用该命令进行文件拷贝时，目的目录一定要存在。
6）DEL--删除文件
格式为&DEL [盘符][路径][文件名] [参数]&，比如&DEL C:\DATA\*.BAK&。它有一个参数：&/P&，可以使用户在删除多个文件时对每个文件都显示删除询问.
7）REN--改名
格式为&REN [原名] [现名]&，7.0以后版本的DOS都支持对文件名和目录名的修改，而以前的DOS只能修改文件名。
8）TYPE--显示文本文件
格式为&TYPE [文件名]&，能对文本文件进行查看。
9）discopy--磁盘复制
[功能] 复制出一个和原来磁盘内容一模一样的磁盘
[格式] diskcopy源驱动器名目的驱动器名
[说明] 它的主要用途就是用来备份。比如我们的电脑在刚买来时，会随机附带一些设备驱动程序磁盘，这些驱动程序在以后都有可能用到，为防止这些磁盘的损坏，一定要将它们都备份一套，这时，使用diskcopy命令是比较快捷和方便的。
10) deltree--删除目录树
[格式] [C:][path]DELTREE [C1:][path1] [[C2:][path2] [&]]
[说明] 这个命令将整个指定目录树全部消灭，而不管它是否是只读、隐藏与否。使用应特别小心。它是一个危险命令。
11) mem--查看你的计算机内存有多少，以及内存的使用情况。
[格式] 直接键入mem命令
12) chkdsk--检查你的磁盘的使用情况。
[格式] chkdsk磁盘名
[说明] 例如要检查A盘使用情况，就输入chkdskA: ，检查c盘使用情况，就输入chkdskC: ，如果直接输入chkdsk，就检查当前磁盘的使用情况。
13) sys--传递系统文件命令。将DOS的两个隐含的系统IO.SYS和MSDOS.SYS传送到目标磁盘的特定位置上，并将文件复制过去。完成后，目标盘成为DOS的启动盘。
[格式] [C:][path]SYS [C1:][path] d2:
[说明] 由于这几个文件需要复制到特定位置上，所以用COPY命令完成的复制未必能够启动机器。能过SYS命令，DOS可以将目标盘已占据特定位置的文件移动，并将系统文件复制到相应位置上。参数C1:path用来指明系统文件所在目录。如不指明，则缺省为当前盘的当前目录。所以这个命令一般要在源盘的根目录进行。
14) pass--设定DOS寻找.COM、.EXE、.BAT文件的所在目录
[格式] path=[[drive:]path[;&]]或path
[说明] 只打path没有参数时，只显示环境变量内容。有参数时，重新设置path变量。在没有指定path环境变量时，用户发出的命令，DOS首先判断其是否为内部命令，再查找当前目录中是否有主文件名是该命令的可执行文件，如果均不是，则显示信息&Bad command or filename&。如果发出了指定路径的命令，则在指定径中依次查找，仍找不到则出现上述提示。
15) cls--清除显示器屏幕上的内容，使DOS提示符到屏幕左上角。
[格式] cls
16) time--显示和设置DOS的系统时间
[格式] time [hh[:mm[:ss[.cc]]]
17) date--显示和设置DOS的系统日期
[格式] date [MM-DD-YY]
18) ver--显示正在运行的DOS系统版本号
[格式] ver
常用的外部命令
DOS的外部命令
DOS的外部命令就是一些应用程序，能够使用户的操作更加方便和深入。这些外部命令都是以文件的形式存在，Windows系统的DOS外部命令保存在Windwos主目录下的&Command&目录中。下面就让我们来看看常用的一些DOS外部命令。
1）FORMAT（）--格式化命令
众所周知，新买的磁盘都必须经过格式化后方能使用，FORMAT命令可以完成对软盘和硬盘的格式化操作，格式为&FORMAT [盘符] [参数]&，例如：&FORMAT A: /S&。它有两个常见的参数：
/Q：进行快速格式化；
/S：完成格式化，并将系统引导文件拷贝到该磁盘。
注意：该命令会清除目的磁盘上的所有数据，一定要小心使用。如果进行了普通的格式化，那磁盘上的数据还有可能恢复，但如果加上了&/Q&，那要恢复就比蹬天还难了。
2）EDIT（）--编辑命令
其实它就是一个文本编辑软件，使用它可以在DOS下方便地对文本文件进行编辑，格式为&EDIT [文件名] [参数]&，它的参数不是特别实用，我在此就不多讲。
3）SYS（）--系统引导文件传输命令
它能够将IO.SYS等几个文件传输到目的磁盘，使其可以引导、启动。格式为&SYS [盘符]&
4）ATTRIB（Attrib.EXE）--文件属性设置命令
通过该命令，我们可以对文件进行属性的查看和更改。格式为&ATTRIB [路径][文件名] [参数]&，如果不加参数则为显示文件属性。它的参数有&+？&和&-？&两种，&？&代表属性代号，这些代号有：&H&隐藏；&S&系统；&R&只读，&+&表示赋予，&-&表示去除。
5）XCOPY（Xcopy.EXE）--拷贝命令
该命令在&COPY&的基础上进行了加强，能够对多个子目录进行拷贝。它的参数比较多，但是最常用的是&/S&，它可以对一个目录下属的多个子目录进行拷贝，另外&/E&可以拷贝空目录。格式为&XCOPY [源路径][源目录/文件名] [目的目录/文件名] [参数]&。
6）SCANDISK（Scandisk.EXE）--磁盘扫描程序
这个命令在实际的操作中有很大的用处，它能对磁盘进行扫描并修复，能够解决大部分的磁盘文件损坏问题。格式为&SCANDISK [盘符：] [参数]&下面是它的几个参数：
/fragment ［驱动器名:\路径\文件名］：使用这个参数可以显示文件是否包含有间断的块，我们可以通过运行磁盘整理程序来解决这个问题；
/all：检查并修复所有的本地驱动器；
/autofix：自动修复错误，即在修复时不会出现提示；
/checkonly：仅仅检查磁盘，并不修复错误；
/custom：根据Scandisk.ini文件的内容来运行Scandisk，Scandisk.ini是一个文本文件，它包含了对Scandisk程序的设置，其中的［custom］块是在加上&/custom&参数后才执行的，用户可以根据自己的不同情况来进行不同的设置；
/nosave：在检查出有丢失簇后直接删除，并不转化为文件；
/nosummary：不显示检查概要，完成检查后将直接退出程序；
/surface：在完成初步检查后进行磁盘表面扫描；
/mono：以单色形式运行Scandisk。
我们可以根据不同的情况来加上不同的参数。我们可以执行&scandisk /all /checkonly /nosave /nosummary&来完成对磁盘的检查并且自动退出，另外还可以编辑scandisk.ini文件中设置，再运行&scandisk /custom&。如果被损坏的文件比较多，我们可以使用&/autofix&来进行自动修复，不然会忙死你的。
7）CHKDSK（Chkdsk.EXE）--磁盘检查命令
它会检查磁盘，并会显示一个磁盘状态报告。格式为&CHKDSK [盘符：] [参数]&，最常用的参数是&/F&，可以对文件错误进行修复。
8）MOVE（Move.EXE）--文件移动命令
使用它可以对文件进行移动。格式为&MOVE [源文件] [目的路径]&。同时也可以使用通配符。
9）DELTREE（Deltree.EXE）--删除命令
这可是DEL命令的超级加强版，它不仅可以删除文件，并且会将指定目录和其下的所有文件和子目录一并删掉。使用它，我们可以很方便的对目录进行彻底的删除。格式&DELTREE [文件/路径] [参数]&，参数有一个&/Y&，使用时系统会对每个文件进行询问，回答&Y&后才删除。
10）FDISK（Fdisk.EXE）--分区命令
我们可以使用它对硬盘进行分区操作，我在下一部分会进行具体讲解。
以上就是常用的一些DOS外部命令，使用它们可以使你的操作更方便，同时也是进行系统修复所必不可少的。请大家好好地掌握每一个命令及其用处。
更多的DOS命令
ctty 改变控制设备
emm386 扩展内存管理
fdisk 硬盘分区
lh/loadhigh 将程序装入高端内存
move 移动文件，改目录名
prompt 设置提示符
smartdrv 设置磁盘加速器
subst 路径替换
xcopy 拷贝目录和文件
attrib 设置文件属性
defrag 磁盘碎片整理
doskey 调用和建立DOS宏命令
debug 程序调试命令
fc 文件比较
more 分屏显示
vol 显示指定的磁盘卷标号
setver 设置版本
set 设置环境变量
大家如果感兴趣的话，不妨自己在DOS窗口中打打这些命令试试看。
本文地址：
相关文章列表