二、受害者的策略
由Smurf攻击产生的攻击数据流量在经过了“放大器网络“放大之后,当到达最终攻击目标时,数据流量可能是非常巨大的。为了保护被攻击的系统免于崩溃,我们可以采取以下两种策略:
使用控制访问列表过滤数据
在最终攻击目标的网络边界路由器上使用访问控制列表,拒绝将ping攻击数据包发往被攻击的主机。但这是一个粗努的方法,因为当你在路由器上完全限制了发往被攻击主机的ping数据包之后,其它希望正常通过的ping数据包也将无法通过。另外,在边界路由器上使用访问控制列表过滤ping数据之后,虽然可以保护路由器连接的内部网络免受攻击,但攻击的数据还是会大量涌入路由器,导致路由器接口的阻塞。
使用CAR限制速率
在最终攻击目标的网络边界路由器上使用CAR限制是一种更为可取的方法。通过CAR可以将流入网络的某一类数据包的总流量限制在一定的范围,从而可以保证其它数据的正常通过。
结论
本文讨论的基于路由器配置来防御dos攻击的方法在实际应用中有非常显著的效果。当前绝大部分的网络仍然使用路由器作为边界连接设备,所以本文阐述的方法具有普遍实施的意义。