目前網絡上各（gè）種各樣的病毒和攻擊肆虐，毫無顧忌，造成了很大的（de）損失，為此越來越多的路由器都開始帶有防火牆（qiáng）功能，對於高端路由器，更是可以通過命令對路由（yóu）器進行一定的（de）設置，以減（jiǎn）少病毒和攻（gōng）擊帶來的損失，本文以H3C路由器為例，介紹如何防止DDOS攻擊。

一、使用ip verfy unicast reverse-path檢查每一個經過路（lù）由器的數據包，該數據包所到達網絡接口的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄（qì）該（gāi）數據包，單一（yī）地址反向傳輸路徑轉發在ISP實現阻（zǔ）止SMURF攻擊和其它基於IP地址偽裝的（de）攻擊（jī），這能夠保護網絡和客（kè）戶免（miǎn）受來自互聯網（wǎng）其它地方的侵擾。

二、使用Unicast RPF 需要打（dǎ）開路由器的（de）CEF swithing選項，不（bú）需要將輸入接口配置為（wéi）CEF交換，隻要（yào）該路（lù）由器打開了CEF功能，所有獨立的網絡接口（kǒu）都可（kě）以配置為其它交換模式，反向傳輸路徑轉發屬於（yú）在一個網絡接口或子接口上激活的輸入端功能，處理路由器接收的數據包。

三、使用訪問控製列表過濾列出的所有地址

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

四、ISP端邊界路由器應該隻接受源地址屬於客戶端網絡的通信，而客戶端網絡則應該（gāi）隻接受源地（dì）址未被客戶端網絡過濾的通信。

access-list 190 permit ip {客戶端（duān）網絡} {客戶端網絡掩碼} any

access-list 190 deny ip any any [log]

interface {內部網絡接口} {網絡接口號}

ip access-group 190 in

五、如果打開了CEF功能（néng），通過使用單一地址反向（xiàng）路徑（jìng）轉發（fā），能夠充分地（dì）縮短訪問控製列表的長度以（yǐ）提高（gāo）路（lù）由器性能。為了支持Unicast RPF，隻需在路由器完全打開CEF;打開這個功能（néng）的網絡接口並不需要是CEF交換接口。

六、如果突變速率設置超過30%，可能會丟失許多合法的SYN數據包（bāo），使用show interfaces rate-limit命令查看該網絡接口的正常（cháng）和過度速率，能夠幫助確定合適的突變速率，這（zhè）個SYN速率限製數值設置標準是保證正常通信的基礎上盡可能地（dì）小。

最（zuì）後要說一下，一（yī）般情況（kuàng）下推薦在網絡正常工作時測量SYN數（shù）據包流量速率，以此基（jī）準數值加以調整，必須在進行測量時確保（bǎo）網絡的正常工作以避免出現較大誤差。