作业帮路由器CAR限速策略防范DoS攻击[1]
来源:学生作业帮助网 编辑:作业帮 时间:2024/05/10 19:21:03 Cisco认证
![路由器CAR限速策略防范DoS攻击[1]](/uploads/image/n/397118-38-8.jpg?t=%E8%B7%AF%E7%94%B1%E5%99%A8CAR%E9%99%90%E9%80%9F%E7%AD%96%E7%95%A5%E9%98%B2%E8%8C%83DoS%E6%94%BB%E5%87%BB%5B1%5D)
路由器CAR限速策略防范DoS攻击[1]Cisco认证
【网络综合 - Cisco认证】
对于网站来说,最怕的就是DoS拒绝服务攻击。拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致网络瘫痪,我们可以通过在接入路由器上采用CAR限速策略来达到抵御攻击的目的。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。DoS网络攻击的一个重要特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包配置CAR来设置速率上限的方法来保护网络。
工作机制
CAR是Committed Access Rate的简写,意思是:承诺访问速率,CAR主要有两个作用:对一个端口或子端口(Subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。CAR只能对IP包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(Cisco Express Forward)的路由器或交换机上使用。
要对流量进行控制我们首先要做的是对数据包分类识别(Packet Classification),然后再对其进行流量控制(Access Rate Limiting),CAR 就是两者的结合。
首先我们要定义感兴趣的流量,所谓感兴趣的流量就是对其进行流量控制的数据包类型。可以选择以下几种不同的方式来进行流量识别:
(1)基于IP前缀,此种方式是通过rate-limit access list来定义的。
(2)QoS 分组。
(3)IP access list,可通过standard或extended access list来定义。
采用上述方法定义了感兴趣的流量后,进行第二步的流量限制(Traffic Limitation)。CAR采用一种名为token bucket的机制来进行流量限制。
限流器使用token bucket的算法监视流量flow的带宽利用率。在每个流入的帧到达的时候,就把它们的长度加到token bucket (记号桶)上。每隔0.25毫秒(四千分之一秒),就从token bucket减去CIR(Committed Information Rate,承诺信息速率)或者说是平均限流速率的值。这样做的思路是,保持token bucket等于0,从而稳定数据速率。
限流器允许流量速率突发超出平均速率一定的量。token bucket增长到突发值(以字节为单位)水平之间的质量是允许的有效突发量,这也叫鰅n-profile traffic(限内流量)。当token bucket 的大小超过了突发值,限流器就认为流量“过大”了。这时我们可以定义一个PIR(Peak Information Rate,峰值信息速率)。当流量超出最大突发值达到PIR的时候,限流器就认为流量违规,这类流量也叫做out-of-profile traffic(限外流量)。所以当实际的流量通过限流器(token bucket)后, 可以看到会有两种情况发生:
(1)实际流量小于或等于用户希望速率,帧离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。
(2)实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快,这样在一段时间内,帧将填满该bucket,继续到来的帧将溢出(excess)bucket,则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率保证在用户定义的希望值内。
CAR的配置
我们通常在网络的边缘路由器上配置CAR 。配置CAR主要包括以下几部分:
1. 确定“感兴趣”的流量类型也就是我们需要监视的流量,主要通过下列方式确定:
(1)基于IP前缀,此种方式是通过rate-limit access list来定义的。
(2)基于QoS分组。
(3)基于MAC地址。
(4)基于standard或extended的IP access list。
2.在相应的端口配置rate-limit:
一般的写法是:
interface X
rate-limit {input output} [access-group number ] bps burst-normal burst-max conform-
action action exceed-action actionCisco认证
对于网站来说,最怕的就是DoS拒绝服务攻击。拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致网络瘫痪,我们可以通过在接入路由器上采用CAR限速策略来达到抵御攻击的目的。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。DoS网络攻击的一个重要特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包配置CAR来设置速率上限的方法来保护网络。
工作机制
CAR是Committed Access Rate的简写,意思是:承诺访问速率,CAR主要有两个作用:对一个端口或子端口(Subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。CAR只能对IP包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(Cisco Express Forward)的路由器或交换机上使用。
要对流量进行控制我们首先要做的是对数据包分类识别(Packet Classification),然后再对其进行流量控制(Access Rate Limiting),CAR 就是两者的结合。
首先我们要定义感兴趣的流量,所谓感兴趣的流量就是对其进行流量控制的数据包类型。可以选择以下几种不同的方式来进行流量识别:
(1)基于IP前缀,此种方式是通过rate-limit access list来定义的。
(2)QoS 分组。
(3)IP access list,可通过standard或extended access list来定义。
采用上述方法定义了感兴趣的流量后,进行第二步的流量限制(Traffic Limitation)。CAR采用一种名为token bucket的机制来进行流量限制。
限流器使用token bucket的算法监视流量flow的带宽利用率。在每个流入的帧到达的时候,就把它们的长度加到token bucket (记号桶)上。每隔0.25毫秒(四千分之一秒),就从token bucket减去CIR(Committed Information Rate,承诺信息速率)或者说是平均限流速率的值。这样做的思路是,保持token bucket等于0,从而稳定数据速率。
限流器允许流量速率突发超出平均速率一定的量。token bucket增长到突发值(以字节为单位)水平之间的质量是允许的有效突发量,这也叫鰅n-profile traffic(限内流量)。当token bucket 的大小超过了突发值,限流器就认为流量“过大”了。这时我们可以定义一个PIR(Peak Information Rate,峰值信息速率)。当流量超出最大突发值达到PIR的时候,限流器就认为流量违规,这类流量也叫做out-of-profile traffic(限外流量)。所以当实际的流量通过限流器(token bucket)后, 可以看到会有两种情况发生:
(1)实际流量小于或等于用户希望速率,帧离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。
(2)实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快,这样在一段时间内,帧将填满该bucket,继续到来的帧将溢出(excess)bucket,则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率保证在用户定义的希望值内。
CAR的配置
我们通常在网络的边缘路由器上配置CAR 。配置CAR主要包括以下几部分:
1. 确定“感兴趣”的流量类型也就是我们需要监视的流量,主要通过下列方式确定:
(1)基于IP前缀,此种方式是通过rate-limit access list来定义的。
(2)基于QoS分组。
(3)基于MAC地址。
(4)基于standard或extended的IP access list。
2.在相应的端口配置rate-limit:
一般的写法是:
interface X
rate-limit {input output} [access-group number ] bps burst-normal burst-max conform-
action action exceed-action action