目前网络上各种各样的病毒【de bìng dú】🖲和攻击【hé gōng jī】🏖肆虐，毫无顾忌【jì】，造成了【zào chéng le】很大的损失🔧，为此越⤵来越多🌋的路由🕦器🍔都开始【dōu kāi shǐ】带有防【dài yǒu fáng】火墙功能，对于高【duì yú gāo】端路由🚲器🍔，更是可以通过🛢命令对🎯路由器【lù yóu qì】🥨进行一【jìn háng yī】定的设置，以减少病毒和【bìng dú hé】攻击🏖带来的【dài lái de】损失🔧，本文以H3C路由器【lù yóu qì】🥨为例【wéi lì】，介绍如🌴何防止DDOS攻击🏖。

一🏞、使用【shǐ yòng】ip verfy unicast reverse-path检查每【jiǎn chá měi】一🏞个经过路由【lù yóu】器的数据包【bāo】🤖，该数据【gāi shù jù】🍷包【bāo】所到达网络【dá wǎng luò】接口的所有路🍖由项中，如果没【rú guǒ méi】🍵有该数🚌据包源【jù bāo yuán】🥕IP地址的路由【lù yóu】，路由【lù yóu】器将丢弃该数据【gāi shù jù】🍷包【bāo】，单一【dān yī】🏞地址反向传输路径转【lù jìng zhuǎn】发在【fā zài】👆ISP实现阻🚮止【zhǐ】SMURF攻击和【gōng jī hé】🚼其它基于IP地址伪装的攻击，这能够🏞保护网络和客💆户免受来自互【lái zì hù】联网其🖤它地方的侵扰。

二【èr】、使用Unicast RPF 需要打⛵开路由【kāi lù yóu】📎器的CEF swithing选项🤶，不需要【bú xū yào】将输入🖖接口配【jiē kǒu pèi】🙎置为【zhì wéi】CEF交换【jiāo huàn】，只要该路由器打开了CEF功能，所有独立的网【lì de wǎng】络接口【kǒu】⛔都可以【dōu kě yǐ】配置为【zhì wéi】其它交🎰换模式，反向传【fǎn xiàng chuán】输路径转发属于在一【yú zài yī】个网络接口【kǒu】⛔或子接【huò zǐ jiē】口【kǒu】🦐上激活的输入😭端功能，处理路由器接收的数⛵据包。

三、使用访问控制列表过滤列出的所有地址

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

四😩、ISP端边界路由器【lù yóu qì】应该只【yīng gāi zhī】接受源地址【yuán dì zhǐ】属于客户端网【duān wǎng】💾络的通信💰，而客户【ér kè hù】端网【duān wǎng】💾络则应【luò zé yīng】该🕑只接受源地址【yuán dì zhǐ】未被客🈳户端网【duān wǎng】💾络过滤👨的通信💰。

access-list 190 permit ip {客户端【kè hù duān】网络【wǎng luò】🐂} {客户端【kè hù duān】网络【wǎng luò】🐂掩码😝} any

access-list 190 deny ip any any [log]

interface {内部网络接【wǎng luò jiē】🎻口} {网络接【wǎng luò jiē】🎻口号【kǒu hào】🚦}

ip access-group 190 in

五🥦、如果打【rú guǒ dǎ】开🌗了CEF功能，通过使【tōng guò shǐ】用单一🌏地址反向路径【xiàng lù jìng】转发🔋，能够充🎥分地缩短访问控制列🔢表的长【biǎo de zhǎng】度以提🦋高路由💍器性能🎡。为了支持Unicast RPF，只需在【zhī xū zài】🎰路由器完全打开🌗CEF;打开🌗这个功【zhè gè gōng】能的网【néng de wǎng】络接口【kǒu】并不需要是【yào shì】CEF交换接【jiāo huàn jiē】口【kǒu】。

六、如果突【rú guǒ tū】🕳变速率🔨设置超【shè zhì chāo】过30%，可能会丢失许🈴多合法的【de】SYN数据包，使用【shǐ yòng】show interfaces rate-limit命令查【mìng lìng chá】看该网【kàn gāi wǎng】络接口【luò jiē kǒu】🏵的【de】正常和过度速率🕗，能够帮🍇助确定合适的【hé shì de】突变速率🔨，这个👆SYN速率🕗限制数值设置【zhí shè zhì】标准是保✳证正常通信的【de】基础上🏸尽可能【jìn kě néng】地小。

最后要说一下【shuō yī xià】🕊，一般情【yī bān qíng】况下推荐在网😨络正常工作时测量【cè liàng】🚉SYN数据包💠流量【liàng】速率【lǜ】，以此基【yǐ cǐ jī】准数值【zhǔn shù zhí】📃加以调整，必须在进行测量【cè liàng】🚉时确保网络🍉的正常工作以避免出现较大【xiàn jiào dà】误差🍲。