由器CAR限速策略 防范DoS1

　　由器CAR限速策略防范DoS1

　　对于网站来说，最怕的就是DoS服务。服务（DoS）是目前黑客广泛使用的一种手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致网络瘫痪，我们可以通过在接入由器上采用CAR限速策略来达到抵御的目的。

　　DoS是DenialofService的简称，即服务，造成DoS的行为被称为DoS，其目的是使计算机或网络无法提供正常的服务。DoS网络的一个重要特征是网络中会着大量带有非法源地址的ICMP包，我们可以通过在由器上对ICMP包配置CAR来设置速率上限的方法来网络。

　　工作机制

　　CAR是CommittedAccessRate的简写，意思是：承诺访问速率，CAR主要有两个作用：对一个端口或子端口(Subintece)的进出流量速率按某个标准上限进行；对流量进行分类，划分出不同的QoS优先级。CAR只能对IP包起作用，对非IP流量不能进行，另外CAR只能在支持CEF交换（CiscoExpressForward）的由器或交换机上使用。

　　路由器限速要对流量进行控制我们首先要做的是对数据包分类识别(PacketClassification)，然后再对其进行流量控制(AccessRateLimiting)，CAR就是两者的结合。其工作流程如图1所示。

　　首先我们要定义感兴趣的流量，所谓感兴趣的流量就是对其进行流量控制的数据包类型。可以选择以下几种不同的方式来进行流量识别：