【IT168 专稿】正如环境变化导致全球气候的变幻莫测一样，企业网络安全威胁也日益纷繁与复杂。在这复杂的暗流中，Dos攻击路由器成为主流，对现在而言，进行DoS攻击的防御还是比较困难的。不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DoS并不是绝对不可行的事情。企业网络的使用者是各种各样的，时时刻刻与DoS做斗争，不同的角色使用不同的方式来防范。

    分析
    我们知道路由器是通向企业的门户，成为黑客的目标已经有了一段时间，现在的黑客似乎变得更加精明。他们往往会这样，当发现锁定的目标前门被锁上后，就会改而寻找漏洞的大门是否敞开。路由器攻击之所以吸引黑客有几个原因：不同于计算机系统，路由器通常处于企业的基础设施内部，与计算机相比，它们受监视器和安全政策的保护相对薄弱，为不法之徒提供了为非作歹的躲藏之处。如果路由器配置不当，厂商提供的默认口令或则使用过于简单密码，很容易进入企业内部网络。一旦受到危害，路由器就可以被用作扫描行动、欺骗连接的各个平台，并作为发动dos攻击的一块跳板，来实现黑客网络攻击的意图。　　

    那么应该如何采取适当的策略来抵御DOS攻击呢? 尽管网络安全专家都在着力开发如何阻止DoS攻击的设备，但效果都不太理想，因为DoS攻击利用了TCP协议本身的弱点。我们可以利用正确配置企业级路由器，再用其它相关的工具进行检测，方能有效防止DoS攻击。现在我们以华为3COM路由器为例，华为3COM路由器中的已经具有许多防止DoS攻击的特性，来保护路由器自身和企业内部网络的安全。

    根据检测建立访问列表
    扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。Show access-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求，这表明网络受到了SYN Flood攻击，这样就可以改变访问列表的配置，来有效阻止DoS攻击。如图一

TCP连接图