杨越的回答:经过艰苦研究,终于配置出能防内网各种DDOS攻击包括上面这种TCP SYN FLOOD攻击的路由器,它采用FREEBSD操作系统,防火墙为系统自带,运行于内核模式下,高速高效,让目前已知的内部DDOS完全无效。 方案特点:客户机根本不发包,你说路由器还会掉线么?当然不会啦!所有的TCP拒绝服务攻击器都失效了,变SB了,不发包了,哈哈。 方案简介: 所需条件:只要是我装的软路由就可以实现。不用在客户机上装任何软件,不用更改网络结构,不用更改交换机配置。客户机操作系统不限,不管是WIN2000,WIN2003,还是XP。 技术原理:路由器自动识别来自内网的攻击行为,正常的上网数据包不加以过滤,不受丝毫影响。凡是TCP攻击包不管什么类型,不论包大小,到达路由器后,由内核自动分析出来,找出攻击特征,然后向发起攻击的客户机下发一个指令,客户机收到这个指令后出现网络协议错误而停止发包,网卡流量变为0,即使攻击程序还在运行,但已经没有流量发往路由器了,网络不会掉线,交换机也不会收到攻击包。客户机这时仍然可以上网,游戏,没任何影响。整个过程会在两三秒内完成,攻击流量会在几秒内消失!此方案可以防御完美各种TCP SYN FLOOD,TCP ACK FLOOD,TCP CONNECTION FLOOD等,包...经过艰苦研究,终于配置出能防内网各种DDOS攻击包括上面这种TCP SYN FLOOD攻击的路由器,它采用FREEBSD操作系统,防火墙为系统自带,运行于内核模式下,高速高效,让目前已知的内部DDOS完全无效。 方案特点:客户机根本不发包,你说路由器还会掉线么?当然不会啦!所有的TCP拒绝服务攻击器都失效了,变SB了,不发包了,哈哈。 方案简介: 所需条件:只要是我装的软路由就可以实现。不用在客户机上装任何软件,不用更改网络结构,不用更改交换机配置。客户机操作系统不限,不管是WIN2000,WIN2003,还是XP。 技术原理:路由器自动识别来自内网的攻击行为,正常的上网数据包不加以过滤,不受丝毫影响。凡是TCP攻击包不管什么类型,不论包大小,到达路由器后,由内核自动分析出来,找出攻击特征,然后向发起攻击的客户机下发一个指令,客户机收到这个指令后出现网络协议错误而停止发包,网卡流量变为0,即使攻击程序还在运行,但已经没有流量发往路由器了,网络不会掉线,交换机也不会收到攻击包。客户机这时仍然可以上网,游戏,没任何影响。整个过程会在两三秒内完成,攻击流量会在几秒内消失!此方案可以防御完美各种TCP SYN FLOOD,TCP ACK FLOOD,TCP CONNECTION FLOOD等,包括最恐怖的伪造源地址为内网其它机器的真实IP和MAC地址的SYN攻击。 至于UDP,ICMP,那就不用讨论了,一般的路由只要限速就没事了。 此方法已经在FREEBSD软路由上实现。 查看原帖>> 陌人陌言#的回答:拒绝服务攻击(dos)是目前难以防范的攻击手段。此处所讲述的“dos攻击”主要指局域网内部由于病毒爆发、人为的恶作剧以及其它情况产生的大量的icmp-flood数据包、udp-flood数据包、tcp-syn-flood数据包等造成的网络堵塞,海量的垃圾数据将消耗掉大量的资源从而导致局域网内部计算机不能访问外部互联网。现在大部分路由器都自带有对dos攻击的防范功能,只需将其开启即可。 【安全设置】->【高级安全选项】里的默认参数如下: icmp-flood数据包阈值: (5~3600) [ 50 ]包/秒 udp-flood数据包阈值: (5~3600) [ 500 ]包/秒 tcp-syn-flood数据包阈值:(5~3600) [ 50 ]包/秒 在路由器相关的配置界面【高级安全选项】中启用dos攻击防范选项即可,如下图所示。 提示:dos攻击一般是采用一对一的方式,当攻击目标cpu速度低、内存小或者网络带宽小等各项性能指标不高时,那么它的攻击效果是明显的。 一般来讲,路由器都有一个最大并发连接数的限制,如果路由器内产生的并发连接数已经接近极限或者满载,这将导致内网的其它计算机打开网页的时候感觉很卡或者根本打不开网页。如上所示,tp-link r460多功能路由器开启“dos攻击防范”功能后,在实际操作中发现,这不仅有效实现了防范局域网产生dos攻击的初衷,而且还可以实现对设置不当的bt下载进行封杀的功能 |
