无线安全：详解路由器的DDoS防御设置

更新时间：2020/4/30 9:44:57信息编号：2056-942278

所属分类：
所在区域：: 北京　朝阳
详细地址：: 大望路
联系人：: 何经理
电　　话：: 15601064618
联系QQ：: 3071471093

收录查询： 百度搜狗 360 分享更易传播

小生活网提醒您：1、在办理服务前请确认对方资质, 夸大的宣传和承诺不要轻信！2.任何要求预付定金、汇款至个人银行账户等方式均存在风险，谨防上当受骗！

详细介绍

无线安全：详解路由器的DDoS防御设置

艾锑无限科技专业：IT外包、企业外包、网站外包、中小企业云服务平台等北京IT外包服务

DDoS攻击的原理是什么？我们又该如何在路由器中实现DDoS防御的操作，下面就一起来看看x.b.a.i.x.i.n.g.c.o.m。

　　一、路由器设置实现DDoS防御之DDoS攻击原理讨论

　　在分布式“拒绝服务”（DDoS）的攻击过程中，一群恶意的主机或被恶意主机感染的主机将向受攻击的服务器发送大量的数据。在这种情况下，靠近网络边缘的网络节点将会变得资源枯竭。原因有二：一是靠近服务器的节点通常在设计时只要求处理少量的用户数据; 二是由于数据在网络核心区的聚集使处于边缘的节点会接收更多的数据。此外，服务器系统本身也很容易受到攻击，在极度超载的情况下会瘫痪。

　　DDoS攻击被视为一种资源管理问题。本文的目的就是要保护服务器系统在全局性网络中不会收到过量的服务请求小百姓网www.xbaixing.com。当然，这种机制也可以很容易地变为对网络节点的保护。为此，必须采取一种预防性措施：在攻击性数据包聚集到使服务器瘫痪之前，在传送路径上的路由器中对流量进行调节，避免攻击的发生。具体实现机制是要在与服务器有数级距离的上游路由器设置门限值，只有在这个门限值以内的数据量可以通过路由器，而其他数据将被放弃或路由至其他路由器。

　　这种防御系统中的一个主要因素是各个路由点输出“适当”的数据量。“适当”必须视当时的需求分配而定，因此服务器与网络之间要进行动态协商。本文中的协商方法由服务器（S）发起，如果服务器在低于设计容量（Us）的情况下运行，则不需要路由器设置门限值；如果服务器的负载（Ls）超过了设计容量，则可以在服务器的上游路由器设置门限值来进行自我保护小_百_姓_网。

　　此后，如果当前的门限值不能使S的负载低于Us，则应降低门限值；反之，如果Ls《 Us，则应升高门限值；如果门限值的升高没有使负载在监视期内明显增加，则可以取消门限值。控制算法的目标就是将服务器的负载控制在［Ls，Us］范围之内。

　　很显然，不可能要求保留所有网络服务器的状态信息，因为这样会造成状态信息爆炸。但按需求选择保护机制是可行的，这一观点是基于DDoS攻击是一种个别现象而非普遍情况的假设。在任何时间段内，我们认定只有少数的网络受到攻击，大部分网络在“健康”状态下运行。此外，恶意攻击者通常选择那些访问用户最多的“主要站点”攻击，这些站点就可以利用以下的网络结构来保证自身的安全www.xbaixing.com。

　　二、路由器设置实现DDoS防御之系统的模式讨论

　　本文提及的所有数据量和服务器负载量的单位均为 kbps。系统网络拓扑图如图1所示。本文给出了网络模型G=（V，E），其中V代表一系列节点，E表示边缘。所有的叶状节点均为主机和数据来源。内部节点为路由器，路由器不会产生数据但可以接收来自主机的数据或转发来自其他路由器的数据。R表示内部路由节点，所有的路由器均假设是可以信任的x.b.a.i.x.i.n.g.c.o.m。主机 H=V-R，被分为普通的正常用户Hg和恶意用户Ha，E是网络链路模型，默认为双向。