无线路由器防火墙应用举例(一)――DOS攻击防护的使用.docVIP

无线路由器防火墙应用举例（一）――DOS攻击防护的使用 DoS（Denial of Service，拒绝服务）是一种利用大量的虚拟信息流耗尽目标主机的资源，目标主机被迫全力处理虚假信息流，从而使合法用户无法得到服务响应的网络攻击行为。在正常情况下，路由器的速度将会因为这种攻击导致运行速度降低。 在我司无线路由器中，可以对ICMP-FLOOD、UDP-FLOOD、TCP-SYN-FLOOD等几种常见的DoS攻击进行检测和防范。在路由器管理界面“安全设置”—“高级安全选项”中既可使用默认参数，也可自行设置参数来检测这些DOS攻击行。其配置界面如下： ICMP Flood（ICMP 泛滥）：当 ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了 ICMP 泛滥。 UDP Flood（UDP 泛滥）：与 ICMP 泛滥相似，当以减慢系统速度为目的向该点发送 UDP 封包，以至于系统再也无法处理有效的连接时，就发生了 UDP 泛滥。 SYN Attack（SYN 攻击）：当网络中充满了会发出无法完成的连接请求的 SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务 DoS 时，就发生了 SYN 泛滥攻击。 我司无线路由器对DoS类攻击的判断依据为：设置一个阈值（单位为每秒数据包个数PPS＝Packet Per Second），如果在规定的时间间隔内（1秒），某种数据包超过了设置的阈值，即认定为发生了一次洪泛攻击，那么在接下来2秒的时间内，忽略掉来自相同攻击源的这一类型数据包，同时将该主机放入“DoS被禁主机列表”中。这里值越小越“敏感”，但一般也不能太小。太小会影响某些网络功能的正常应用。我们可以根据自己的环境在实际应用中动态调整，正常情况下，使用我司出厂默认值即可。