路由器CAR限速策略 防范DoS

　　【简介】

　　对于网站来说，最怕的就是DoS服务。服务（DoS）是目前黑客广泛使用的一种手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致网络瘫痪，我们可以通过在接入路由器上采用CAR限速策略来达到抵御的目的。

　　对于网站来说，最怕的就是DoS服务。服务（DoS）是目前黑客广泛使用的一种手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致网络瘫痪，我们可以通过在接入路由器上采用CAR限速策略来达到抵御的目的。

　　DoS是DenialofService的简称，即服务，造成DoS的行为被称为DoS，其目的是使计算机或网络无法提供正常的服务。DoS网络的一个重要特征是网络中会着大量带有非法源地址的ICMP包，我们可以通过在路由器上对ICMP包配置CAR来设置速率上限的方法来网络。

　　工作机制

　　CAR是CommittedAccessRate的简写，意思是：承诺访问速率，CAR主要有两个作用：对一个端口或子端口(Subintece)的进出流量速率按某个标准上限进行；对流量进行分类，划分出不同的QoS优先级。CAR只能对IP包起作用，对非IP流量不能进行，另外CAR只能在支持CEF交换（CiscoExpressForward）的路由器或交换机上使用。

　　要对流量进行控制我们首先要做的是对数据包分类识别(PacketClassification)，然后再对其进行流量控制(AccessRateLimiting)，CAR就是两者的结合。其工作流程如图1所示。

　　首先我们要定义感兴趣的流量，所谓感兴趣的流量就是对其进行流量控制的数据包类型。可以选择以下几种不同的方式来进行流量识别：

　　采用上述方义了感兴趣的流量后，进行第二步的流量（TrafficLimitation）。CAR采用一种名为tokenbucket的机制来进行流量（如图2所示）。

　　限流器使用tokenbucket的算法流量flow的带宽利用率。在每个流入的帧到达的时候，就把它们的长度加到tokenbucket(记号桶)上。每隔0.25毫秒（四千分之一秒），就从tokenbucket减去CIR（CommittedInformationRate，承诺信息速率）或者说是平均限流速率的值。这样做的思是，保持tokenbucket等于0，从而稳定数据速率。

　　限流器允许流量速率突发超出平均速率一定的量。tokenbucket增长到突发值（以字节为单位）水平之间的质量是允许的有效突发量，这也叫做in-profiletraffic(限内流量)。当tokenbucket的大小超过了突发值，限流器就认为流量“过大”了。这时我们可以定义一个PIR（PeakInformationRate，峰值信息速率）。当流量超出最大突发值达到PIR的时候，限流器就认为流量违规，这类流量也叫做out-of-profiletraffic(限外流量)。所以当实际的流量通过限流器（tokenbucket）后，可以看到会有两种情况发生：

　　（1）实际流量小于或等于用户希望速率，帧离开bucket的实际速率将和其来到的速率一样，bucket内可以看作是空的。流量不会超过用户的希望值。

　　（2）实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快，这样在一段时间内，帧将填满该bucket，继续到来的帧将溢出(excess)bucket，则CAR采取相应的动作（一般是丢弃或将其IP前缀改变以改变该token的优先级）。这样就了数据流量速率在用户定义的希望值内。

　　・Ps照片转手绘头发画法

　　・Ps合成五彩缤纷的油漆舞者

　　・Ps让红衣穿上白色婚纱

　　・Ps调出婚片古典中性色

　　・Ps把90后MM照片转手绘效果

　　・Ps打造美丽的江南水墨海报

　　・Ps把转为唯美手绘效果

　　・Ps鼠绘唯美的蝴蝶女孩插画

　　・广州琶洲娇俏精美户外写真组图

　　・南大门试牵手老师送祝福组图

　　・大学生赵伟火车站离奇死亡调查结果

　　・赵铭露豪乳呼吁预防乳腺癌高清组图

　　路路由器限速・张紫妍难潜规则陪睡百余次(图)

　　・回应质疑：农村学生上大学是悲剧？

　　・360杀毒免费杀毒软件下载

　　・瑞星免费杀毒软件永久免费

　　・金山毒霸2011免费杀毒软件套装

　　・Avast!免费杀毒软件中文版本下载

　　・可牛免费杀毒软件下载最新正式版

　　・微软免费杀毒软件中文版MSE32位版

　　・微软免费杀毒软件中文版MSE64位版