流量整形命令

A. 求洪水病毒解決方法

你可以訪問騰訊電腦管家官網，下載安裝一個電腦管家

使用電腦管家的殺回毒功能答來查殺一下

管家的殺毒部分採用的是4+1引擎，包含自主研發的第二代反病毒引擎鷹眼，採用了新的機器學習技術，CPU虛擬機執行技術，所以可以准確的識別和清除各種頑固的木馬病毒

B. 網吧遭受DOS攻擊,洪水攻擊,只針對網吧靜態IP,造成網路癱瘓,如何解決

拒絕服務(DoS)攻擊是目前黑客廣泛使用的一種攻擊手段，它通過獨占網路資源、使其他主機不 能進行正常訪問，從而導致宕機或網路癱瘓。 DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種，在Smurf攻擊中，攻擊者使用ICMP數據包阻塞伺服器和其他網路資源;SYN Flood攻擊使用數量巨大的TCP半連接來佔用網路資源;Fraggle攻擊與Smurf攻擊原理類似，使用UDP echo請求而不是ICMP echo請求發起攻擊。 盡管網路安全專家都在著力開發阻止DoS攻擊的設備，但收效不大，因為DoS攻擊利用了TCP協議本身的弱點。正確配置路由器能夠有效防止DoS攻擊。以Cisco路由器為例，Cisco路由器中的IOS軟體具有許多防止DoS攻擊的特性，保護路由器自身和內部網路的安全。 使用擴展訪問列表 擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型，也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個擴展訪問列表的匹配數據包，根據數據包的類型，用戶就可以確定DoS攻擊的種類。如果網路中出現了大量建立TCP連接的請求，這表明網路受到了SYN Flood攻擊，這時用戶就可以改變訪問列表的配置，阻止DoS攻擊。 使用QoS 使用服務質量優化(QoS)特徵，如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定製隊列(CQ)等，都可以有效阻止DoS攻擊。需要注意的是，不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如，WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效，這是因為Ping Flood通常會在WFQ中表現為一個單獨的傳輸隊列，而SYN Flood攻擊中的每一個數據包都會表現為一個單獨的數據流。此外，人們可以利用CAR來限制ICMP數據包流量的速度，防止Smurf攻擊，也可以用來限制SYN數據包的流量速度，防止SYN Flood攻擊。使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對DoS攻擊的不同類型採取相應的防範措施。 使用單一地址逆向轉發 逆向轉發(RPF)是路由器的一個輸入功能，該功能用來檢查路由器介面所接收的每一個數據包。如果路由器接收到一個源IP地址為10.10.10.1的數據包，但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息，路由器就會丟棄該數據包，因此逆向轉發能夠阻止Smurf攻擊和其他基於IP地址偽裝的攻擊。 使用RPF功能需要將路由器設為快速轉發模式(CEF switching)，並且不能將啟用RPF功能的介面配置為CEF交換。RPF在防止IP地址欺騙方面比訪問列表具有優勢，首先它能動態地接受動態和靜態路由表中的變化;第二RPF所需要的操作維護較少;第三RPF作為一個反欺騙的工具，對路由器本身產生的性能沖擊，要比使用訪問列表小得多。 使用TCP攔截 Cisco在IOS 11.3版以後，引入了TCP攔截功能，這項功能可以有效防止SYN Flood攻擊內部主機。 在TCP連接請求到達目標主機之前，TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監視兩種模式下工作。在攔截模式下，路由器攔截到達的TCP同步請求，並代表伺服器建立與客戶機的連接，如果連接成功，則代表客戶機建立與伺服器的連接，並將兩個連接進行透明合並。在整個連接期間，路由器會一直攔截和發送數據包。對於非法的連接請求，路由器提供更為嚴格的對於half-open的超時限制，以防止自身的資源被SYN攻擊耗盡。在監視模式下，路由器被動地觀察流經路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關閉此連接。 在Cisco路由器上開啟TCP攔截功能需要兩個步驟:一是配置擴展訪問列表，以確定需要保護的IP地址;二是開啟TCP攔截。配置訪問列表是為了定義需要進行TCP攔截的源地址和目的地址，保護內部目標主機或網路。在配置時，用戶通常需要將源地址設為any，並且指定具體的目標網路或主機。如果不配置訪問列表，路由器將會允許所有的請求經過。 使用基於內容的訪問控制 基於內容的訪問控制(CBAC)是對Cis

C. 如何防止dos攻擊

擊手段，它通過獨占網路資源、使其他主機不 能進行正常訪問，從而導致宕機或網路癱瘓。

DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種，在Smurf攻擊中，攻擊者使用ICMP數據包阻塞伺服器和其他網路資源;SYN Flood攻擊使用數量巨大的TCP半連接來佔用網路資源;Fraggle攻擊與Smurf攻擊原理類似，使用UDP echo請求而不是ICMP echo請求發起攻擊。

盡管網路安全專家都在著力開發阻止DoS攻擊的設備，但收效不大，因為DoS攻擊利用了TCP協議本身的弱點。正確配置路由器能夠有效防止DoS攻擊。以Cisco路由器為例，Cisco路由器中的IOS軟體具有許多防止DoS攻擊的特性，保護路由器自身和內部網路的安全。

使用擴展訪問列表

擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型，也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個擴展訪問列表的匹配數據包，根據數據包的類型，用戶就可以確定DoS攻擊的種類。如果網路中出現了大量建立TCP連接的請求，這表明網路受到了SYN Flood攻擊，這時用戶就可以改變訪問列表的配置，阻止DoS攻擊。

使用QoS

使用服務質量優化(QoS)特徵，如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定製隊列(CQ)等，都可以有效阻止DoS攻擊。需要注意的是，不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如，WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效，這是因為Ping Flood通常會在WFQ中表現為一個單獨的傳輸隊列，而SYN Flood攻擊中的每一個數據包都會表現為一個單獨的數據流。此外，人們可以利用CAR來限制ICMP數據包流量的速度，防止Smurf攻擊，也可以用來限制SYN數據包的流量速度，防止SYN Flood攻擊。使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對DoS攻擊的不同類型採取相應的防範措施。

使用單一地址逆向轉發

逆向轉發(RPF)是路由器的一個輸入功能，該功能用來檢查路由器介面所接收的每一個數據包。如果路由器接收到一個源IP地址為10.10.10.1的數據包，但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息，路由器就會丟棄該數據包，因此逆向轉發能夠阻止Smurf攻擊和其他基於IP地址偽裝的攻擊。

使用RPF功能需要將路由器設為快速轉發模式(CEF switching)，並且不能將啟用RPF功能的介面配置為CEF交換。RPF在防止IP地址欺騙方面比訪問列表具有優勢，首先它能動態地接受動態和靜態路由表中的變化;第二RPF所需要的操作維護較少;第三RPF作為一個反欺騙的工具，對路由器本身產生的性能沖擊，要比使用訪問列表小得多。

使用TCP攔截

Cisco在IOS 11.3版以後，引入了TCP攔截功能，這項功能可以有效防止SYN Flood攻擊內部主機。

在TCP連接請求到達目標主機之前，TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監視兩種模式下工作。在攔截模式下，路由器攔截到達的TCP同步請求，並代表伺服器建立與客戶機的連接，如果連接成功，則代表客戶機建立與伺服器的連接，並將兩個連接進行透明合並。在整個連接期間，路由器會一直攔截和發送數據包。對於非法的連接請求，路由器提供更為嚴格的對於half-open的超時限制，以防止自身的資源被SYN攻擊耗盡。在監視模式下，路由器被動地觀察流經路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關閉此連接。

在Cisco路由器上開啟TCP攔截功能需要兩個步驟:一是配置擴展訪問列表，以確定需要保護的IP地址;二是開啟TCP攔截。配置訪問列表是為了定義需要進行TCP攔截的源地址和目的地址，保護內部目標主機或網路。在配置時，用戶通常需要將源地址設為any，並且指定具體的目標網路或主機。如果不配置訪問列表，路由器將會允許所有的請求經過。

使用基於內容的訪問控制

基於內容的訪問控制(CBAC)是對Cisco傳統訪問列表的擴展，它基於應用層會話信息，智能化地過濾TCP和UDP數據包，防止DoS攻擊。

CBAC通過設置超時時限值和會話門限值來決定會話的維持時間以及何時刪除半連接。對TCP而言，半連接是指一個沒有完成三階段握手過程的會話。對UDP而言，半連接是指路由器沒有檢測到返迴流量的會話。

CBAC正是通過監視半連接的數量和產生的頻率來防止洪水攻擊。每當有不正常的半連接建立或者在短時間內出現大量半連接的時候，用戶可以判斷是遭受了洪水攻擊。CBAC每分鍾檢測一次已經存在的半連接數量和試圖建立連接的頻率，當已經存在的半連接數量超過了門限值，路由器就會刪除一些半連接，以保證新建立連接的需求，路由器持續刪除半連接，直到存在的半連接數量低於另一個門限值;同樣，當試圖建立連接的頻率超過門限值，路由器就會採取相同的措施，刪除一部分連接請求，並持續到請求連接的數量低於另一個門限值。通過這種連續不斷的監視和刪除，CBAC可以有效防止SYN Flood和Fraggle攻擊。

路由器是企業內部網路的第一道防護屏障，也是黑客攻擊的一個重要目標，如果路由器很容易被攻破，那麼企業內部網路的安全也就無從談起，因此在路由器上採取適當措施，防止各種DoS攻擊是非常必要的。用戶需要注意的是，以上介紹的幾種方法，對付不同類型的DoS攻擊的能力是不同的，對路由器CPU和內存資源的佔用也有很大差別，在實際環境中，用戶需要根據自身情況和路由器的性能來選擇使用適當的方

D. 流量整形和流量監管的命令有哪寫

目錄樹：
流量相關概念
正常流量定義
網路定義的cir、bc、be
網路流量控制機制
流量整形和流量監管特點
流量整形內容：
一、 GTS
1、 基於介面
int s0
traffic-shape rate 256000 //出口流量以256Kbit/s進行整形
tafffic-shape adaptive 64000 //收到BECN後CIR被降低為64kbit/s

show traffic s0
show traffic queue
2、 基於流的GTS
Acess-list 101
traffic-shape group 101 xx xx xx
3、 CB shaping
class-map myclass
match any
policy-map mypolicy
class myclass
shape average 256000 16384 0 //以配置的CIR 256Kbit/s發送通信,而不傳送任何過量的突發位。bc=16384
shape adaptive 64000 ////收到BECN後CIR被降低為64kbit/s
int s0
service-policy output mypolicy

show interface shape
二、 FRTS
1、 FRTS
基於介面的GTS
Encapsulation fram-relay
Frame-relay adp 2000 定義BECN，擁塞的時候最小的流量為這個，適合TCP
當為UDP的時候
Traffic-shap fecn-adptive 發送一個測試幀。

：
2、 DE位
access-list 100 permit ip host 1.1.1.1 host 2.2.2.2
frame-relay de-list 3 protocol ip list 100
interface Serial1/0
ip address 12.0.0.1 255.255.255.0
encapsulation frame-relay
serial restart-delay 0
no fair-queue
frame-relay traffic-shaping
frame-relay de-group 3 102
驗證：show frame-relay pvc 102

3、 CBFRTS（基於PVC或者DLCI號）
map-class frame-relay shape
frame-relay cir 2048000
fram bc 256000
fram min 1024000
fram adaptive interface-congestion 30

int s0/0
frame-relay traffic-shape
frame-relay interface-dlci 107
class shape

如果對所有的PVC做
fram-relay class shape

流量監管內容：
一、 CAR
1、 基於介面的CAR
CAR(承諾訪問速率)：

CAR提供了兩項功能：限制速率和設置優先順序。CAR語句要求同時設置速率限制和IP優先順序
它根據報文的ToS或CoS值（對於IP報文是指IP優先順序或者DSCP等等）IP報文的五元組（指源地址目的地址協議埠號）等信息進行報文分類，完成報文的標記和流量監管。

使用QOS組

int s0/0
rate-limit access-group 1 input 45000000 22500 22500 conform-action set-qos-transmit 3 exceed-action drop
rate-limit input 45000000 22500 22500 conform-action set-qos-transmit 0 exceed-action drop

access-list 1 permit 10.10.10.0 0.0.0.255

2、 基於流量的CAR【access-list】【甚至可以基於MAC】
int s0
rate-limit input access-group 1 input 45000000 22500 22500 conform-action set-prec-transmit 5 exceed-action set-prece-transmit 5
rate-limit input 45000000 22500 22500 conform-action set-prec-transmit 4 exceed-action set-prece-transmit 4
access-list 1 permit 10.10.10.0 0.0.0.255

show interface rate-limit
二、Cbpolicy【CB shape】
1、基於class-map
Class-map match-all class
Match ip add
Policy-map TT
Policy xxxx

最後思考是否發現所有的東西都可以在MQC中做呢？

E. 路由器介面配置命令中的 group 與 class有什麼區別

介面下使用access-group調用access-list 可以用於允許或拒絕以下流量：
1.穿越路由器的流量
2.抵達路由器的流量
比如你只允許內網192.168.1.0/24網段的主機訪問外部1.1.1.1這個IP地址
access-list 101 per 192.168.1.0 0.0.0.255 host 1.1.1.1
interface g0/0（內網介面）
ip access-group 101 out

line vty下使用access-class調用access-list 可以用於允許或拒絕以下流量：
1.抵達路由器的流量（如telnet、SSH）
比如你只允許來自10.0.0.1這個IP地址的主機SSH管理你的路由器
access-list 102 permit tcp host 10.0.0.1 any eq 22
line vty 0 4
access-class 102 in
=================================================
ip access-group用在介面下；access-class用在VTY線下
access-class命令前面沒有「ip」

都說這么詳細了樓主你還不滿意？

F. 題如下 :在路由器DCR-2655上使用qos進行流量整形。使其到對端網路的CIR為80000，

R2_config_g0/3#traffic-shape rate 8000 （這8000是CIR）

R2_config_g0/3#traffic-shape rate 8000 8000 （這8000 是Burst size,）

R2_config_g0/3#traffic-shape rate 8000 8000 9000 （這9000是Exess Burst size）

Burst size你可以在traffic-shape rate 8000輸入完這條命令後輸入？號你就可以看見如下圖