流量整形命令

A. 求洪水病毒解决方法

你可以访问腾讯电脑管家官网，下载安装一个电脑管家

使用电脑管家的杀回毒功能答来查杀一下

管家的杀毒部分采用的是4+1引擎，包含自主研发的第二代反病毒引擎鹰眼，采用了新的机器学习技术，CPU虚拟机执行技术，所以可以准确的识别和清除各种顽固的木马病毒

B. 网吧遭受DOS攻击,洪水攻击,只针对网吧静态IP,造成网络瘫痪,如何解决

拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段，它通过独占网络资源、使其他主机不 能进行正常访问，从而导致宕机或网络瘫痪。 DoS攻击主要分为Smurf、SYN Flood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYN Flood攻击使用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似，使用UDP echo请求而不是ICMP echo请求发起攻击。 尽管网络安全专家都在着力开发阻止DoS攻击的设备，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例，Cisco路由器中的IOS软件具有许多防止DoS攻击的特性，保护路由器自身和内部网络的安全。 使用扩展访问列表 扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。Show ip access-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求，这表明网络受到了SYN Flood攻击，这时用户就可以改变访问列表的配置，阻止DoS攻击。 使用QoS 使用服务质量优化(QoS)特征，如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。例如，WFQ对付Ping Flood攻击要比防止SYN Flood攻击更有效，这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列，而SYN Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYN Flood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。 使用单一地址逆向转发 逆向转发(RPF)是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包，但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。 使用RPF功能需要将路由器设为快速转发模式(CEF switching)，并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势，首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具，对路由器本身产生的性能冲击，要比使用访问列表小得多。 使用TCP拦截 Cisco在IOS 11.3版以后，引入了TCP拦截功能，这项功能可以有效防止SYN Flood攻击内部主机。 在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCP同步请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的对于half-open的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。 在Cisco路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表，以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址，保护内部目标主机或网络。在配置时，用户通常需要将源地址设为any，并且指定具体的目标网络或主机。如果不配置访问列表，路由器将会允许所有的请求经过。 使用基于内容的访问控制 基于内容的访问控制(CBAC)是对Cis

C. 如何防止dos攻击

击手段，它通过独占网络资源、使其他主机不 能进行正常访问，从而导致宕机或网络瘫痪。

DoS攻击主要分为Smurf、SYN Flood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYN Flood攻击使用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似，使用UDP echo请求而不是ICMP echo请求发起攻击。

尽管网络安全专家都在着力开发阻止DoS攻击的设备，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例，Cisco路由器中的IOS软件具有许多防止DoS攻击的特性，保护路由器自身和内部网络的安全。

使用扩展访问列表

扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。Show ip access-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求，这表明网络受到了SYN Flood攻击，这时用户就可以改变访问列表的配置，阻止DoS攻击。

使用QoS

使用服务质量优化(QoS)特征，如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。例如，WFQ对付Ping Flood攻击要比防止SYN Flood攻击更有效，这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列，而SYN Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYN Flood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。

使用单一地址逆向转发

逆向转发(RPF)是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包，但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。

使用RPF功能需要将路由器设为快速转发模式(CEF switching)，并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势，首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具，对路由器本身产生的性能冲击，要比使用访问列表小得多。

使用TCP拦截

Cisco在IOS 11.3版以后，引入了TCP拦截功能，这项功能可以有效防止SYN Flood攻击内部主机。

在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCP同步请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的对于half-open的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。

在Cisco路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表，以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址，保护内部目标主机或网络。在配置时，用户通常需要将源地址设为any，并且指定具体的目标网络或主机。如果不配置访问列表，路由器将会允许所有的请求经过。

使用基于内容的访问控制

基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展，它基于应用层会话信息，智能化地过滤TCP和UDP数据包，防止DoS攻击。

CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言，半连接是指一个没有完成三阶段握手过程的会话。对UDP而言，半连接是指路由器没有检测到返回流量的会话。

CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候，用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率，当已经存在的半连接数量超过了门限值，路由器就会删除一些半连接，以保证新建立连接的需求，路由器持续删除半连接，直到存在的半连接数量低于另一个门限值;同样，当试图建立连接的频率超过门限值，路由器就会采取相同的措施，删除一部分连接请求，并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除，CBAC可以有效防止SYN Flood和Fraggle攻击。

路由器是企业内部网络的第一道防护屏障，也是黑客攻击的一个重要目标，如果路由器很容易被攻破，那么企业内部网络的安全也就无从谈起，因此在路由器上采取适当措施，防止各种DoS攻击是非常必要的。用户需要注意的是，以上介绍的几种方法，对付不同类型的DoS攻击的能力是不同的，对路由器CPU和内存资源的占用也有很大差别，在实际环境中，用户需要根据自身情况和路由器的性能来选择使用适当的方

D. 流量整形和流量监管的命令有哪写

目录树：
流量相关概念
正常流量定义
网络定义的cir、bc、be
网络流量控制机制
流量整形和流量监管特点
流量整形内容：
一、 GTS
1、 基于接口
int s0
traffic-shape rate 256000 //出口流量以256Kbit/s进行整形
tafffic-shape adaptive 64000 //收到BECN后CIR被降低为64kbit/s

show traffic s0
show traffic queue
2、 基于流的GTS
Acess-list 101
traffic-shape group 101 xx xx xx
3、 CB shaping
class-map myclass
match any
policy-map mypolicy
class myclass
shape average 256000 16384 0 //以配置的CIR 256Kbit/s发送通信,而不传送任何过量的突发位。bc=16384
shape adaptive 64000 ////收到BECN后CIR被降低为64kbit/s
int s0
service-policy output mypolicy

show interface shape
二、 FRTS
1、 FRTS
基于接口的GTS
Encapsulation fram-relay
Frame-relay adp 2000 定义BECN，拥塞的时候最小的流量为这个，适合TCP
当为UDP的时候
Traffic-shap fecn-adptive 发送一个测试帧。

：
2、 DE位
access-list 100 permit ip host 1.1.1.1 host 2.2.2.2
frame-relay de-list 3 protocol ip list 100
interface Serial1/0
ip address 12.0.0.1 255.255.255.0
encapsulation frame-relay
serial restart-delay 0
no fair-queue
frame-relay traffic-shaping
frame-relay de-group 3 102
验证：show frame-relay pvc 102

3、 CBFRTS（基于PVC或者DLCI号）
map-class frame-relay shape
frame-relay cir 2048000
fram bc 256000
fram min 1024000
fram adaptive interface-congestion 30

int s0/0
frame-relay traffic-shape
frame-relay interface-dlci 107
class shape

如果对所有的PVC做
fram-relay class shape

流量监管内容：
一、 CAR
1、 基于接口的CAR
CAR(承诺访问速率)：

CAR提供了两项功能：限制速率和设置优先级。CAR语句要求同时设置速率限制和IP优先级
它根据报文的ToS或CoS值（对于IP报文是指IP优先级或者DSCP等等）IP报文的五元组（指源地址目的地址协议端口号）等信息进行报文分类，完成报文的标记和流量监管。

使用QOS组

int s0/0
rate-limit access-group 1 input 45000000 22500 22500 conform-action set-qos-transmit 3 exceed-action drop
rate-limit input 45000000 22500 22500 conform-action set-qos-transmit 0 exceed-action drop

access-list 1 permit 10.10.10.0 0.0.0.255

2、 基于流量的CAR【access-list】【甚至可以基于MAC】
int s0
rate-limit input access-group 1 input 45000000 22500 22500 conform-action set-prec-transmit 5 exceed-action set-prece-transmit 5
rate-limit input 45000000 22500 22500 conform-action set-prec-transmit 4 exceed-action set-prece-transmit 4
access-list 1 permit 10.10.10.0 0.0.0.255

show interface rate-limit
二、Cbpolicy【CB shape】
1、基于class-map
Class-map match-all class
Match ip add
Policy-map TT
Policy xxxx

最后思考是否发现所有的东西都可以在MQC中做呢？

E. 路由器接口配置命令中的 group 与 class有什么区别

接口下使用access-group调用access-list 可以用于允许或拒绝以下流量：
1.穿越路由器的流量
2.抵达路由器的流量
比如你只允许内网192.168.1.0/24网段的主机访问外部1.1.1.1这个IP地址
access-list 101 per 192.168.1.0 0.0.0.255 host 1.1.1.1
interface g0/0（内网接口）
ip access-group 101 out

line vty下使用access-class调用access-list 可以用于允许或拒绝以下流量：
1.抵达路由器的流量（如telnet、SSH）
比如你只允许来自10.0.0.1这个IP地址的主机SSH管理你的路由器
access-list 102 permit tcp host 10.0.0.1 any eq 22
line vty 0 4
access-class 102 in
=================================================
ip access-group用在接口下；access-class用在VTY线下
access-class命令前面没有“ip”

都说这么详细了楼主你还不满意？

F. 题如下 :在路由器DCR-2655上使用qos进行流量整形。使其到对端网络的CIR为80000，

R2_config_g0/3#traffic-shape rate 8000 （这8000是CIR）

R2_config_g0/3#traffic-shape rate 8000 8000 （这8000 是Burst size,）

R2_config_g0/3#traffic-shape rate 8000 8000 9000 （这9000是Exess Burst size）

Burst size你可以在traffic-shape rate 8000输入完这条命令后输入？号你就可以看见如下图