由器采用CAR限速策略 防范网络DoS

　　[导读]对于网站来说，最怕的就是DoS服务。服务(DoS)是目前黑客广泛使用的一种手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致网络瘫痪，我们可以通过在接入由器上采用CAR限速策略来达到抵御的目的。

　　对于网站来说，最怕的就是DoS服务。服务(DoS)是目前黑客广泛使用的一种手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致网络瘫痪，我们可以通过在接入由器上采用CAR限速策略来达到抵御的目的。

　　DoS是DenialofService的简称，即服务，造成DoS的行为被称为DoS，其目的是使计算机或网络无法提供正常的服务。DoS网络的一个重要特征是网络中会着大量带有非法源地址的ICMP包，我们可以通过在由器上对ICMP包配置CAR来设置速率上限的方法来网络。

　　工作机制

　　CAR是CommittedAccessRate的简写，意思是：承诺访问速率，CAR主要有两个作用：对一个端口或子端口(Subintece)的进出流量速率按某个标准上限进行;对流量进行分类，划分出不同的QoS优先级。CAR只能对IP包起作用，对非IP流量不能进行，另外CAR只能在支持CEF交换(CiscoExpressForward)的由器或交换机上使用。

　　要对流量进行控制我们首先要做的是对数据包分类识别(PacketClassification)，然后再对其进行流量控制(AccessRateLimiting)，CAR就是两者的结合。其工作流程如图1所示。

　　首先我们要定义感兴趣的流量，所谓感兴趣的流量就是对其进行流量控制的数据包类型。可以选择以下几种不同的方式来进行流量识别：

　　采用上述方义了感兴趣的流量后，进行第二步的流量(TrafficLimitation)。CAR采用一种名为tokenbucket的机制来进行流量(如图2所示)。

　　路由器限速限流器使用tokenbucket的算法流量flow的带宽利用率。在每个流入的帧到达的时候，就把它们的长度加到tokenbucket(记号桶)上。每隔0.25毫秒(四千分之一秒)，就从tokenbucket减去CIR(CommittedInformationRate,承诺信息速率)或者说是平均限流速率的值。这样做的思是，保持tokenbucket等于0，从而稳定数据速率。

　　限流器允许流量速率突发超出平均速率一定的量。tokenbucket增长到突发值(以字节为单位)水平之间的质量是允许的有效突发量，这也叫做in-profiletraffic(限内流量)。当tokenbucket的大小超过了突发值，限流器就认为流量“过大”了。这时我们可以定义一个PIR(PeakInformationRate,峰值信息速率)。当流量超出最大突发值达到PIR的时候，限流器就认为流量违规，这类流量也叫做out-of-profiletraffic(限外流量)。所以当实际的流量通过限流器(tokenbucket)后,可以看到会有两种情况发生：

　　(1)实际流量小于或等于用户希望速率，帧离开bucket的实际速率将和其来到的速率一样，bucket内可以看作是空的。流量不会超过用户的希望值。

　　(2)实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快，这样在一段时间内，帧将填满该bucket，继续到来的帧将溢出(excess)bucket，则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就了数据流量速率在用户定义的希望值内。

　　我们通常在网络的边缘由器上配置CAR。配置CAR主要包括以下几部分：

　　1.确定“感兴趣”的流量类型也就是我们需要的流量，主要通过下列方式确定：

　　一般的写法是：

　　上述命令的含义是：

　　Inputoutput:确定需要输入或输出的流量。如果在以太网端口配置，则该流量为output;如果在serial端口配置，则该流量为input。

　　bps:用户希望该流量的速率上限，单位是bps。

　　conform-action：在速率以下的流量的处理策略。

　　exceed-action:超过速率的流量的处理策略。

　　action:处理策略，包括以下几种：

　　◆continue:不动作，看下一条rate-limit命令中有无流量匹配和处理策略，如无，则transmit。

　　具体应用

　　CAR某种流量的速率之外，还可以用来抵挡DoS型，诸如Smurf使得网络上着大量带有非法源地址的ICMP，占用网络的资源。我们可以通过在由器上对ICMP包通过配置CAR来设置速率上限的方法来网络(如图3所示)。

　　客户端边界由器上的配置：

　　这样一旦受到Smurf时，在一定程度上我们可以ICMP包的转发速率和大小，减少对网络和主机造成的。

　　为了更好地运用CAR限速策略，我们需要弄清楚DoS的原理，这样才能针对DoS的不同类型采取相应的防范措施。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。