Cisco路由器如何防止DDoS攻击

　　3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文

　　参考以下例子：

　　{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}

　　ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子：

　　access-list 190 permit ip {客户端网络} {客户端网络掩码} any

　　access-list 190 deny ip any any [log]

　　interface {内部网络接口} {网络接口号}

　　ip access-group 190 in

　　以下是客户端边界路由器的ACL例子：

　　access-list 187 deny ip {客户端网络} {客户端网络掩码} any

　　access-list 187 permit ip any any

　　access-list 188 permit ip {客户端网络} {客户端网络掩码} any

　　access-list 188 deny ip any any

　　interface {外部网络接口} {网络接口号}

　　ip access-group 187 in

　　ip access-group 188 out

　　如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的网络接口并不需要是CEF交换接口。

　　4、使用CAR（Control Access Rate）限制ICMP数据包流量速率

　　参考以下例子：

　　interface xy

　　rate-limit output access-group 2020 3000000 512000 786000 conform-action

　　transmit exceed-action drop

　　access-list 2020 permit icmp any any echo-reply

　　5、设置SYN数据包流量速率

　　interface {int}