遭到拒绝服务攻击的路由器的解决办法

来源：ChinaITLab 作者：出处：巧巧读书 2005-08-22 进入讨论组

　　本来没什么的，但是亲身经历了的，就写下来给大家看看，不要见笑。

　　前一个星期，我在上网，突然发现公司德网速特别慢。我就登陆到路由器上看看。这是我们公司的其中一个网段中心路由器，是cisco 4600.它上连到160电报局。是两条2M的PCM的专线。我用 sho int sX 他出现的现象是下载的流量非常低，才300K多，但上联的数据每条都达到了4M多。我的上联是2M啊！根据经验，我觉得有问题，可能是遭到攻击了。但我又没有用防火墙，主要是带宽太窄，怕影响网速。我在它的网段下的一台SOLAORIS8的计算机上。用snoop 命令，来抓包。发现有大量的来自国外的网段的计算机，不停地向我发大量的广播包。由此我可以判断，我收到了国外黑客的DDOS攻击。
　　但它的计算机也接收我的回包，这样的话，它也受影响啊？由此判断，向我发包的计算机，不是它本身的计算机，一定别人的计算机，被它黑掉了，被他控制了计算机。他可能写了一个小程序，不停地向我发广播包。
　　这个攻击的原理是，由于互联网是基于TCP/IP Protocal的，他每发给我一个广播包到我的陆由器，我的路由器下的网段的每台计算机都要回给她一个应答包。也就是说我在这个路有器下有500台计算机，他发一个广播包，我就要回500个应答包。这就造成了我的陆由器下行量很小，但上行量非常大，最终造成网络瘫痪。
　　解决的办法是，我从solairs 8的计算机上，用snoop 命令，看到了发包的ipaddr或域名，我就陆由器上丢掉它。具体是这样做的。
　　我在config t 模式下：
　　ip route xxx.xxx.xxx.0 255.255.255.0.null 0(其中XXX.是他过来包的ip addre)
　　后来我一共禁掉了8个网段，终于好了。我发现用 access list 也可以禁掉，道理是一样的。但这样就会出现一个问题，有一些国外得网站不能访问了。要是它再换网段，在这样禁掉，那到最后，什么都不能访问了。
　　看来这不是解决的最终办法，我就开始看有关cisco ios 的书。终于找到了。问题出在我的陆由器IOS的版本太低了，是11。x。现在的版本12。0以上，就能实现屏蔽广播包这个功能！把陆由器的IOS升级到12。0以上，在每个上连的端口上写上一句话：no ip unreachables .就可以了。
　　事情到这就解决了，希望给大家一点帮助，给没有升级的路由器，马上升级吧！看来要多留意新的知识和技术啊。
　　
　　FW:泛洪攻击，用扩展列表应该也可以解决问题啊
　　deny udp any any eq snmp log-input
　　deny icmp any any echo log-input转载:http://www.qqread.com/route/e811319008.html