返回
路由器CAR限速策略防范DoS攻击

路由器CAR限速策略防范DoS攻击

ID:44300826

大小:72.00 KB

页数:4页

时间:2019-10-20

路由器CAR限速策略防范DoS攻击_第1页
路由器CAR限速策略防范DoS攻击_第2页
路由器CAR限速策略防范DoS攻击_第3页
路由器CAR限速策略防范DoS攻击_第4页
资源描述:

《路由器CAR限速策略防范DoS攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、路由器CAR限速策略防范DoS攻击对于网站來说,最怕的就是DoS拒绝服务攻击。拒绝服务(DoS)攻击是口前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致网络瘫痪,我们可以通过在接入路由器上采用CAR限速策略来达到抵御攻击的目的。DoS是DenialofService的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其n的是使计算机或网络无法提供正常的服务。DoS网络攻击的一个重要特征是网络中会充斥着大量带冇非法源地址的ICMP包,我们町以通过在路由器I

2、二对ICMP包配置CAR來设置速率上限的方法来保护网络。工作机制CAR是CommittedAccessRate的简写,意思、是:承诺访问速率,CAR主要有两个作用:对一个端口或子端口(Subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。CAR只能对IP包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(QscoExpressForward)的路由器或交换机上使用。要对流量进行控制我们首先要做的是对数据包分类识别(PacketOa

3、ssification),然后再对英进行流量控i

4、i'J(AccessRateLimiting),CAR就是两者的结合。工作流程如图1所示。图1首先我们要定义感兴趣的流量,所谓感兴趣的流量就是对其进行流量控制的数据包类型。可以选择以下-几种不同的方式来进行流量识别:(1)基于IP前缀,此种方式是通过rate-limitaccesslist来定义的。(2)QoS分组。(3)IPaccesslist,可通过standard或extendedaccesslist来定义。采川上述方法定义了感兴趣的流量后,

5、进行第二步的流量限制(TrafficLimitation)。CAR采用一种名为tokenbucket的机制來进行流量限制(如图2所示)。图2限流器使用tokenbucket的算法监视流量flow的带宽利用率。在每个流入的帧到达的吋候,就把它们的长度加到tokenbucket(id号桶)上。每隔0.25毫秒(四千分Z—秒),就从tokenbucket减去OR(CommittedInformationRate,承诺信息速率)或者说是平均限流速率的值。这样做的思路是,保持tokenbucket等于0,从

6、而稳定数据速率。限流器允许流量速率突发超出平均速率一定的量。tokenbucket增长到突发值(以字节为单位)水平Z间的质量是允许的有效突发量,这也叫做in-profiletraffic(限内流虽:)。当tokenbucket的大小超过了突发值,限流器就认为流量“过大”了。这时我们口J以定义一个PIR(PeakInformationRate,峰值信息速率)。当流量超出最人突发值达到PIR的时候,限流器就认为流量违规,这类流量也叫做out-of-profiletraffic(限外流量)。所以当实际的

7、流量通过限流器(tokenbucket)后,可以看到会冇两种情况发生:(1)实际流量小于或等于用户希望速率,帧离开bucket的实际速率将和其來到的速率-•样,bucket内可以看作是空的。流量不会超过用户的希望值。(2)实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快,这样在一•段时间内,帧将填满该bucket,继续到来的帧将溢th(excess)bucket,则CAR采収和应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率

8、保证在用户定义的希望值內。CAR的配置我们通常在网络的边缘路rh器上配置CAR。配置CAR主要包括以下儿部分:1•确定“感兴趣”的流虽类型也就是我们需要监视的流屋,主要通过下列方式确定:(1)基于IP前缀,此种方式是通过rate-limitaccesslist來定义的。(2)基于QoS分组。(3)基于MAC地址。(4)基于standard或extended的IPaccesslist。2.在相应的端口配置rate-limit:•般的写法是:interfaceXrate-limit{inputoutp

9、ut}[access-groupnumber]bpsburst・normalburst・maxconforactionactionexceed-actionaction上述命令的含义是:interface:用户希望进彳亍流量控制的端口,可以是曰hernet也可以是serial口,但是不同类型的interface在下面的input、output上选择有所不同。Inputoutput:确定需要限制输入或输出的流屋。如果在以A网端口配置,则该流量为output;如果在serial端口配置

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。