前段時間EeSafe給大家介紹了不少鑒別和預防DDoS攻擊的經驗和方法,現在再教大家一招利用路由器的一些安全特性控制DDoS估計的小竅門,以便更好地維護網絡安全。
當前路由器提供了豐富的安全特征,通過這些安全特征,可以很大程度上控制DDoS攻擊的泛濫。
1、源IP地址過濾
在ISP所有網絡接入或匯聚節點對源IP地址過濾,可以有效減少或杜絕源IP地址欺騙行為,使SMURF、TCP-SYN flood等多種方式的DDoS攻擊無法實施。
2、流量限制
在網絡節點對某些類型的流量,如ICMP、UDP、TCP-SYN流量進行控制,將其大小限制在合理的水平,可以減輕拒絕DDoS攻擊對承載網及目標網絡帶來的影響。
3、ACL過濾
在不影響業務的情況下,對蠕蟲攻擊端口和DDoS工具的控制端口的流量進行過濾。
4、TCP攔截
針對TCP-SYN flood攻擊,用戶側可以考慮啟用網關設備的TCP攔截功能進行抵御。由於開啟TCP攔截功能可能對路由器性能有一定影響,因此在使用該功能時應綜合考慮。