1、使用【shǐ yòng】 ip verfy unicast reverse-path 网络接🐑口命令

　　这个功🔟能检查【néng jiǎn chá】每一个经过路由器【qì】🏇的数据【de shù jù】🌷包。在路由【zài lù yóu】器【qì】🏇的CEF(Cisco ExpressForwarding)表该数【biǎo gāi shù】据包所🏼到达网【dào dá wǎng】🚙络接口的所有路由项😽中，如果【rú guǒ】👡没有该数【shù】🐞据包源📲IP地址的路由，路由器【qì】🏇将丢弃该数【shù】据包。例如，路由器【qì】🏇接收到【jiē shōu dào】一个源IP地址为1.2.3.4的数据【de shù jù】🌷包，如果【rú guǒ】👡CEF路由表🍱中没有【zhōng méi yǒu】为IP地址1.2.3.4提供任何路由🏟(即反向【jí fǎn xiàng】😔数【shù】据包传输时【chuán shū shí】所需的【suǒ xū de】🗃路由)，则路由【zé lù yóu】器【qì】🏇会丢弃它。

　　单一地【dān yī dì】址反向传【fǎn xiàng chuán】输路💼径转发(Unicast Reverse PathForwarding)在ISP(局端【jú duān】)实现阻🍄止➗SMURF攻击和【gōng jī hé】🚫其它基于IP地址伪装的攻【zhuāng de gōng】击。这能🀄够保护网络和客户免受来自互联网其它地方📉的侵扰。使用【shǐ yòng】🚄Unicast RPF需要打开路由【kāi lù yóu】器的"CEF swithing"或"CEF distributedswitching"选项。不需要【bú xū yào】🚲将输入【jiāng shū rù】🤘接口配【jiē kǒu pèi】置为【zhì wéi】CEF交换🔘(switching)。只要该👡路由器打开了🗻CEF功能【gōng néng】🀄，所有独【suǒ yǒu dú】立的网络接口【luò jiē kǒu】💎都可以配置为【pèi zhì wéi】其它交换🔘(switching)模式🆘。RPF(反向传【fǎn xiàng chuán】输路💼径转发)属于在一个网【yī gè wǎng】络接口【luò jiē kǒu】💎或子接【huò zǐ jiē】口上激活的输⛑入端功👣能🀄，处理路由器接【yóu qì jiē】🔸收的数据包【jù bāo】。

　　在路由器上打开CEF功能是【gōng néng shì】💬非常重【fēi cháng chóng】要的😎，因为【yīn wéi】👈RPF必须依👓靠CEF.Unicast RPF包含在支持【chí】CEF的🌳Cisco IOS 12.0及以上🥏版本中【bǎn běn zhōng】，但不支【dàn bú zhī】持【chí】Cisco IOS 11.2或11.3版本。

　　2、使用访📪问控制【wèn kòng zhì】列表💈(ACL)过滤【guò lǜ】RFC 1918中列出【zhōng liè chū】🚈的所有地址

　　参考以下例子：

　　interface xy

　　ip access-group 101 in

　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any

　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any

　　access-list 101 deny ip 172.16.0.0 0.15.255.255 any

　　access-list 101 permit ip any any

　　3、参照💔RFC 2267,使用访问控制列表【liè biǎo】(ACL)过滤进出报文【chū bào wén】😏

　　参考以下例子：

　　-- ISP端边界路由器【lù yóu qì】🦔 -- 客户端🎫边界路由器【lù yóu qì】🦔 --

　　ISP端边界【duān biān jiè】🚟路由器【lù yóu qì】应该只【yīng gāi zhī】接受📳源地址【yuán dì zhǐ】属于客户端网络【luò】🐇的通信，而客户【ér kè hù】端网络【luò】🐇则应该🔋只接受📳源地址【yuán dì zhǐ】未被客【wèi bèi kè】户端网络【luò】🐇过滤的通信。以下是ISP端边界【duān biān jiè】🚟路由器【lù yóu qì】的访问控制列表(ACL)例子🌐：

　　access-list 190 permit ip any

　　access-list 190 deny ip any any [log]

　　interface

　　ip access-group 190 in

　　以下是【yǐ xià shì】♓客户端😣边界路由器的ACL例子【lì zǐ】：

　　access-list 187 deny ip any

　　access-list 187 permit ip any any

　　access-list 188 permit ip any

　　access-list 188 deny ip any any

　　interface

　　ip access-group 187 in

　　ip access-group 188 out

　　如果打开了🚠CEF功能【gōng néng】㊙，通过使📊用单一地址反【dì zhǐ fǎn】🗓向路径转发(Unicast RPF)，能够充【néng gòu chōng】🕝分地缩短访问【duǎn fǎng wèn】控制列【kòng zhì liè】表(ACL)的长度以提高🦎路由器【lù yóu qì】性能。为了支📧持🚿Unicast RPF,只需在路由器【lù yóu qì】完全打【wán quán dǎ】开CEF;打开这【dǎ kāi zhè】个功能【gōng néng】㊙的网络【de wǎng luò】接口⏺并不需要♈是【shì】CEF交换接口⏺。

　　4、使用🙊CAR(Control Access Rate)限制【xiàn zhì】ICMP数据包流量速【liú liàng sù】🙊率

　　参考以下例子：

　　interface xy

　　rate-limit output access-group 2020 3000000 512000 786000 conform-action

　　transmit exceed-action drop

　　access-list 2020 permit icmp any any echo-reply

　　请参阅【qǐng cān yuè】IOS Essential Features 获取更【huò qǔ gèng】🎫详细资👞料。

　　5、设置SYN数据包流量速率

　　interface

　　rate-limit output access-group 153 45000000 100000 100000 conform-action

　　transmit exceed-action drop

　　rate-limit output access-group 152 1000000 100000 100000 conform-action

　　transmit exceed-action drop

　　access-list 152 permit tcp any host eq www

　　access-list 153 permit tcp any host eq www established

　　在实现【zài shí xiàn】应用中需要进【xū yào jìn】行必要🔥的修改🐥，替换：

　　45000000为最大连接带宽

　　1000000为SYN flood流量速率的【lǜ de】30%到【dào】🚊50%之间的🕔数值。

　　burst normal(正常突🃏变【biàn】)和 burst max(最大突🌃变【biàn】)两个速【liǎng gè sù】率为正确的数🍢值【zhí】。

　　注意⛴，如果突【rú guǒ tū】变速📁率设置超过30%,可能会【kě néng huì】丢失许【diū shī xǔ】多合法🥤的SYN数据包【shù jù bāo】。使用【shǐ yòng】🔟"show interfaces rate-limit"命令查看该网【kàn gāi wǎng】络接口【luò jiē kǒu】的正常🍬和过度速率【sù lǜ】🛣，能够帮📫助确定合适的突变速📁率。这个SYN速率【sù lǜ】限🔀制数值设置标🍵准是保证正常【zhèng zhèng cháng】通信的基础上尽可能地小【dì xiǎo】。

　　警告：一般推荐在网【jiàn zài wǎng】🚾络正常工作时【gōng zuò shí】测量【cè liàng】💥SYN数据包流量速率【lǜ】🙁，以此基准数值加以调整。必须在【bì xū zài】进行测【jìn háng cè】量💥时确保网络📞的正常工作以【gōng zuò yǐ】避免出📝现较大👲误差🗂。

　　另外，建议考虑在可能成为➖SYN攻击的【gōng jī de】主机上🎥安装🕊IP Filter等【děng】IP过滤工【guò lǜ gōng】具包。

　　6、搜集证【sōu jí zhèng】🐣据并联系网络安全部👯门或机构【gòu】

　　如果可🗄能🌠，捕获攻【bǔ huò gōng】击数据【jī shù jù】🖍包用于❗分析😺。建议使用SUN工作站或Linux等【děng】高速🤩计算机捕获数【bǔ huò shù】🏬据包【jù bāo】。常用的数据包【shù jù bāo】捕获工具包括TCPDump和【hé】snoop等【děng】。基本语法为：

　　tcpdump -i interface -s 1500 -w capture_file

　　snoop -d interface -o capture_file -s 1500

　　本例中【běn lì zhōng】假定MTU大小为📥1500.如果🚓MTU大于1500,则需要修改相🗞应参数💅。将这些【jiāng zhè xiē】捕获的【bǔ huò de】数据包和日志🏚作为证【zuò wéi zhèng】据提供💏给有关【gěi yǒu guān】网络安全部门【quán bù mén】或机构。