如何在Cisco路由器上配置拒绝DoS攻击

只能说至今没有什么完美的解决方案，给你介绍下dos攻击的几种类型吧。
1.死亡之ping：就是发送大量大尺寸的ping数据包，阻塞网络
2.teardrop：发送大量小尺寸的坏帧造成网络崩溃
3.udp flood：udp泛洪
4.SYN flood：tcp syn泛洪（也叫syn半开攻击）
5.land：发送给受害机源地址为受害机ip的数据包，这样受害机会与本机建立大 量会话以消耗其资源
6.smurf：发送icmp ack消息，其源地址为广播地址，这样造成受害机本地大量泛红目的地址为广播地址的icmp请求造成广播风暴
7.praggle：和smurf原理相同，但是采用了udp echo广播

解决办法：
1.禁用icmp
2.无
3.4.禁止外部主机发起的TCP UDP主动连接，限制同一IP可以建立的tcp会话数量
5.禁止本地地址发起的会话
6.7.禁止ip定向广播

cisco设备上的配置：
1.基本的防火墙配置-应用到不可信端口
ip access-list ext xxx
perimit tcp any host 服务器ip eq 开放服务端口
permit tcp any any est //禁止外部网络发起的tcp syn连接，只允许内部网络发起的syn会话
permit icmp any host 服务器ip echo-reply
permit icmp any host 服务器ip time-exceeded
permit icmp any host 服务器ip unreachable
deny ip host 255.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip host 0.0.0.0 any
deny ip 内部网络地址 any //这里要添加所有已知的内部网络
deny
deny ip any any log

2.iso服务禁用
no ip