目前（qián）網絡上各種各樣的病毒和攻擊肆（sì）虐，毫無顧忌（jì），造（zào）成了（le）很大的損（sǔn）失，為此越來越多的路由器（qì）都（dōu）開（kāi）始（shǐ）帶有防火牆功（gōng）能，對於高端（duān）路由器（qì），更（gèng）是可以通過（guò）命令（lìng）對路（lù）由器進行一定的（de）設置（zhì），以減少病（bìng）毒（dú）和攻擊帶來（lái）的損失，本文以H3C路由器為例，介紹如何防止DDOS攻擊（jī）。

一、使用ip verfy unicast reverse-path檢查每一個（gè）經過路由器的數據包，該數據包所到達網絡接口的所（suǒ）有路（lù）由項中，如果沒有該（gāi）數據（jù）包源IP地址的路（lù）由（yóu），路由器（qì）將丟棄（qì）該數據包，單一地址反向傳輸路徑轉（zhuǎn）發在ISP實現阻止（zhǐ）SMURF攻擊和其它基於IP地址（zhǐ）偽裝的（de）攻擊，這能夠保護網絡和客戶免（miǎn）受來自（zì）互聯網其它地方的（de）侵擾（rǎo）。

二、使用Unicast RPF 需要打開路由器的CEF swithing選項，不需要將輸入接口配（pèi）置（zhì）為（wéi）CEF交換，隻（zhī）要該（gāi）路（lù）由器（qì）打開（kāi）了CEF功（gōng）能，所（suǒ）有（yǒu）獨立的網絡接口都可以（yǐ）配置為其它（tā）交換模式，反向傳輸（shū）路徑轉（zhuǎn）發屬（shǔ）於在一（yī）個網絡接口或子接口上（shàng）激（jī）活的輸入端功能，處理路由器接收的數據（jù）包。

三、使用（yòng）訪問控製列（liè）表過濾列出的所有地址

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

四、ISP端（duān）邊界路由器應該隻接受源地址屬於客（kè）戶端網絡的（de）通信，而（ér）客戶端（duān）網絡則應該隻接受源（yuán）地（dì）址未被（bèi）客戶端網絡過濾（lǜ）的通信。

access-list 190 permit ip {客戶（hù）端網絡} {客戶（hù）端網絡掩碼} any

access-list 190 deny ip any any [log]

interface {內部網絡（luò）接（jiē）口（kǒu）} {網（wǎng）絡接口號}

ip access-group 190 in

五、如果打開了CEF功能，通過使（shǐ）用單一（yī）地址反向路（lù）徑轉發，能夠充分（fèn）地（dì）縮短訪問控製列表的長度（dù）以提（tí）高路由器性能。為了支持（chí）Unicast RPF，隻需（xū）在路由器完（wán）全打（dǎ）開（kāi）CEF;打開這個功能的網絡接口並不（bú）需（xū）要是（shì）CEF交（jiāo）換接口（kǒu）。

六（liù）、如（rú）果（guǒ）突變速率設置超過30%，可（kě）能會丟失許（xǔ）多合法的SYN數（shù）據包（bāo），使用（yòng）show interfaces rate-limit命（mìng）令查看該網絡接口的正常和過度速率（lǜ），能夠（gòu）幫助確定合適的突變速率，這個SYN速率限製數值設（shè）置（zhì）標準是保證正常通信的基礎（chǔ）上盡可能（néng）地小。

最（zuì）後要說一下，一般情（qíng）況下推薦在網絡正（zhèng）常（cháng）工作（zuò）時測量SYN數（shù）據包流量（liàng）速率，以此基準數（shù）值（zhí）加（jiā）以調整，必須在進行測量時確（què）保網絡的正常工作以避（bì）免出（chū）現較大誤差。