Cómo configurar el enrutador para evitar ataques de DOS

Esta función requiere soporte de enrutador. Por ejemplo, en la página de configuración del enrutador, no hay una función de ataque anti-DOS directa. También puede activar el firewall del enrutador, lo que también puede lograr un cierto efecto.

DoS (Denegación de Servicio) es un método que utiliza una gran cantidad de flujo de información virtual para agotar los recursos del host objetivo. El host objetivo se ve obligado a lidiar con el flujo de información falsa con todas sus fuerzas. , para que los usuarios legítimos no puedan obtener respuestas de servicio. En circunstancias normales, la velocidad del enrutador se reducirá debido a este ataque.

Inundación ICMP (ICMP Flood): cuando la gran cantidad de solicitudes de respuesta generadas por el ping ICMP excede el límite máximo del sistema, de modo que el sistema consume todos los recursos para responder hasta que ya no puede procesar el flujo de información de red válido. Se produce una inundación de ICMP.

Inundación UDP: similar a la inundación ICMP, UDP ocurre cuando los paquetes DP se envían a un punto con el propósito de ralentizar el sistema para que ya no pueda manejar conexiones válidas.

Ataque SYN: cuando la red está tan inundada de paquetes SYN que emiten solicitudes de conexión incompletas que la red ya no puede manejar solicitudes de conexión legítimas, lo que resulta en una denegación de servicio (DoS). .

La base para que el enrutador juzgue los ataques DoS es establecer un umbral (la unidad es el número de paquetes por segundo PPS = Paquete por segundo, si está dentro del intervalo de tiempo especificado (1 segundo), un cierto). Si el paquete de datos excede el umbral establecido, se considera que se ha producido un ataque de inundación. En los próximos 2 segundos, este tipo de paquete de datos procedente de la misma fuente de ataque se ignorará y el host se colocará en el "DoS". estado. Lista de hosts prohibidos". Cuanto menor sea el valor aquí, más "sensible" será, pero generalmente no puede ser demasiado pequeño. Demasiado pequeño afectará la aplicación normal de algunas funciones de la red. Los usuarios pueden ajustar dinámicamente la definición de cálculo en aplicaciones reales de acuerdo con el entorno de uso. En general, se puede utilizar el valor predeterminado del enrutador.