思科路由器IP源地址的攻击怎么办

1.在UDPflooding中，攻击者将目标系统的changen端口连接到伪造源地址指向的主机的echo端口，导致changen端口产生大量随机字符到echo端口，echo端口返回接收到的字符，最终导致两个系统都因资源耗尽而崩溃。

其次，为了防止UDP泛滥，我们必须防止路由器的诊断端口或服务向管理域之外的区域开放。如果不需要这些端口或服务，应该关闭它们。防止IP源地址欺骗的最有效方法是验证源地址的真实性。在Cisco路由器上，我们可以采用以下两种方法:

1.在网络边界实现IP源地址欺骗的过滤。防止IP源地址欺骗最简单有效的方法之一是在边界路由器处使用向内访问列表，从而限制下游网络发送的数据包在允许的地址范围内，不在允许范围内的数据将被删除。同时，为了追踪攻击者，可以通过日志记录被删除的数据信息。

2.在下游入口使用反向地址发送和使用访问控制列表限制ip是基于下游ip地址段的确定性，但在上游入口，传入数据的ip地址范围有时难以确定。当无法确定过滤范围时，一个可行的方法是使用反向地址发送。

3.uRPF的工作原理是:路由器在一个接口上接收到数据包时，会查找CEF(CiscoExpressForward，思科快速转发)表，验证从接收接口到数据包中指定的源地址是否存在路由，即反向搜索路径验证其真实性，如果没有这样的路径，则删除该数据包。与访问控制列表相比，uRPF有很多优点，比如消耗的CPU资源更少，可以适应路由器路由表的动态变化(因为CEF表会随着路由表的动态变化而更新)，所以需要的维护更少，对路由器性能的影响也更小。

4.在攻击中，攻击者向网络的广播地址发送ping数据包。路由器收到广播包后，默认会将第三层广播转换为第二层广播。接收到二层广播后，广播网段上的所有以太网接口卡都会向主机系统发送中断请求，并对广播做出响应，从而消耗主机资源，响应可能会对源地址指示的目标造成攻击。因此，在大多数情况下

5.大多数情况下不需要使用路由器的定向广播功能，也有特殊情况可以使用定向广播。例如，如果SMB或NT服务器需要让远程局域网看到自己，它必须向这个局域网发送定向广播，但这个应用程序可以通过使用WINS服务器来解决。

不及物动词目前大多数 *** 作系统都可以通过特殊的设置使主机系统不响应ICMPECHO广播。通过阻止网络上的主机响应ICMP回应广播，可以防止广播网络成为攻击的帮凶。

总结:从上面我们可以知道，当大量数据流入一个接口时，即使使用访问策略删除了ICMP数据包，该接口仍然可能忙于删除大量数据，导致该接口无法提供正常服务。相对于被动删除数据，一种主动的方法是在接口上设置承诺速率限制，将特定数据的流量限制在一个范围内，允许其正常通过，同时保证其他流量的正常通过。