路由器如何抵制DDOS攻擊

    前段時間EeSafe給大家介紹了不少鑒別和預防DDoS攻擊的經驗和方法，現在再教大家一招利用路由器的一些安全特性控制DDoS估計的小竅門，以便更好地維護網絡安全。

    當前路由器提供了豐富的安全特征，通過這些安全特征，可以很大程度上控制DDoS攻擊的泛濫。

    1、源IP地址過濾

    在ISP所有網絡接入或匯聚節點對源IP地址過濾，可以有效減少或杜絕源IP地址欺騙行為，使SMURF、TCP-SYN flood等多種方式的DDoS攻擊無法實施。

    2、流量限制

    在網絡節點對某些類型的流量，如ICMP、UDP、TCP-SYN流量進行控制，將其大小限制在合理的水平，可以減輕拒絕DDoS攻擊對承載網及目標網絡帶來的影響。

    3、ACL過濾

    在不影響業務的情況下，對蠕蟲攻擊端口和DDoS工具的控制端口的流量進行過濾。

    4、TCP攔截

    針對TCP-SYN flood攻擊，用戶側可以考慮啟用網關設備的TCP攔截功能進行抵御。由於開啟TCP攔截功能可能對路由器性能有一定影響，因此在使用該功能時應綜合考慮。