DoS(拒绝服务)是一种利用大量虚拟信息流耗尽目标主机资源,迫使目标主机全力处理虚假信息流,使合法用户得不到服务响应的网络攻击。正常情况下,路由器的速度会因为这种攻击而降低。
在我们公司的无线路由器中,我们可以检测和防止几种常见的DoS攻击,如ICMP-FLOOD、UDP-FLOOD、TCP-SYN-FLOOD等。在路由器管理界面上安全设置&mdash高级安全选项您可以使用默认参数或设置自己的参数来检测这些DOS攻击。其配置界面如下:
ICMP泛洪(当ICMPping生成的大量响应请求超过系统的最大限制时,就会发生ICMP泛洪,从而使系统消耗所有资源进行响应,直到无法再处理有效的网络信息流。
UDPflood:与ICMPflood类似,当UDP数据包被发送到该点以降低系统速度,从而使系统无法再处理有效连接时,就会发生UDPflood。
SYN攻击(SYNfloodingattack发生在网络充满SYN数据包时,这些数据包会发出无法完成的连接请求,使网络无法再处理合法的连接请求,从而导致拒绝服务(DoS)。
我们无线路由器对DoS攻击的判断依据是:设置一个阈值(单位是每秒包数PPS=每秒包数)。如果某个数据包在指定的时间间隔(1秒)内超过设定的阈值,则认为发生了泛洪攻击。然后,在接下来的2秒钟内,忽略来自同一攻击源的此类数据包,并将主机放入DoS禁止主机列表英寸此处的值越小,越敏感,但一般不能太小。太小会影响一些网络功能的正常应用。我们可以根据自己的环境在实际应用中动态调整。正常情况下,我们可以使用出厂默认值。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)