【正文】 TCP重傳不靈活和不可適應通過排隊機制來適應網(wǎng)絡擁塞入接口和出接口工具出接口工具沒有緩存的速率限制有緩存的速率限制下圖能明顯顯示出2種不同的流量限制。 防御原理 CAR使用CAR(Control Access Rate)功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡中存在DDoS攻擊，并通過Sniffer或者其它手段得知發(fā)起DDoS攻擊的數(shù)據(jù)流的類型，然后可以給該數(shù)據(jù)流設置一個上限帶寬，這樣超過了該上限的攻擊流量就被丟棄，可以保證網(wǎng)絡帶寬不被占滿。 uRPF URPF（Unicast Reverse Path Forwarding，單播反向路徑轉發(fā)）的主要功能是用于防止基于源地址欺騙的網(wǎng)絡攻擊行為。源地址欺騙攻擊為入侵者構造出一系列帶有偽造源地址的報文，對于使用基于 IP地址驗證的應用來說，此攻擊方法可以導致未被授權用戶以他人身份獲得訪問系統(tǒng)的權限，甚至是以管理員權限來訪問。即使響應報文不能達到攻擊者，同樣也會造成對被攻擊對象的破壞。如圖 1所示，在Router A上偽造源地址為 ，向服務器Router B發(fā)起請求，Router B響應請求時將向真正的“”發(fā)送報文。這種非法報文對RouterB和Router C都造成了攻擊。URPF技術可以應用在上述環(huán)境中，阻止基于源地址欺騙的攻擊。 利用CAR進行DDOS防御實驗實際操作與結果，首先在GNS3中鋪設結構，將本地物理網(wǎng)卡配置到C 1，將虛擬網(wǎng)卡VMnet1配置到C2上，對R1兩個端口進行配置： F0/0: F0/1: 配置好后，如下圖所示，選好網(wǎng)卡，運行cmd，ping ,能夠成功ping通。Ping ，也能成功ping通。，并將其應用至f0/1端口。 t未發(fā)現(xiàn)丟包現(xiàn)象，在R1中特權模式下show interfaces ratelimit，未出現(xiàn)丟包現(xiàn)象。 –t –l 3100，由于之前的限速配置時將限制在1500Byte，偶爾允許2000Bype通過。但這里是3100，所以出現(xiàn)大量丟包。限速后，在GNS3中R1輸入show interfaces ratelimit，出現(xiàn)丟包現(xiàn)象如下圖所示。由上可知，本次防范實驗成功完成。四、遇到的問題與解決，無法ping到相應網(wǎng)關。解決：在虛擬機上為選擇相應虛擬網(wǎng)卡，之后在老師指導下才知道.，由于老師演示過快，我們沒記住怎么進行icmp flood攻擊解決：在老師再次講解下，我們會使用engage packetbuilder工具。，使用GNS3時，無法將路由器拖拽進實驗板。解決：因為在剛剛打開GNS3時沒將相應IOS導入gns3中，之后導入后，可以將路由器拖入，但是還是忘記開啟路由器了，經(jīng)過很多次的操作，終于能正確地使用GNS3。，無法導入虛擬機的虛擬網(wǎng)卡解決：因為虛擬網(wǎng)卡被禁用，之前沒注意。五、小結 通過這次課程設計我們懂得了理論與實際相結合的重要性，只有理論知識是遠遠不夠的，只有把所學的理論知識與實踐相結合起來，才能提高自己的實際動手能力和獨立思考的能力。在設計的過程中遇到問題，可以說得是困難重重，這畢竟第一次做的，難免會遇到過各種各樣的問題，同時在設計的過程中發(fā)現(xiàn)了自己的不足之處。對所學的知識理解得不夠深刻，掌握得不夠牢固，比如說對engage packetbuilder工具的應用，以及Smurf攻擊等邊邊角角的零碎但都很重要的知識??通過這次課程設計之后，學到了很多新的知識，對DoS與DDoS的區(qū)別有了認識，以及DDoS攻擊的攻擊原理有了非常準確的把握，能夠比較清楚的對其工作原理進行描述，了解其攻擊工作機制。 網(wǎng)絡攻擊與防御技術是我們對所學專業(yè)建立感性認識、鞏固所學理論知識、培養(yǎng)專業(yè)技能和實際工作能力的重要環(huán)節(jié)。通過課程的學習，可加強防范對信息資源的非法訪問和抵御黑客的襲擊，提高抗威脅能力，最大限度的減少或避免因信息泄露、破壞等安全問題所造成的經(jīng)濟損失及對其形象的影響。使我們了解本專業(yè)實際的知識，培養(yǎng)我們理論聯(lián)系實際及初步的獨立工作能力，為今后從事信息安全相關工作打下基礎。參考文獻[1.] 計算機網(wǎng)絡安全教程(第二版) 梁亞聲 機械工業(yè)出版社 2008年7月[2.] Cisco Press CCNA Security Official Exam Certification Guide 2012[3.] ).amp。 2011第 22 頁