抗外网攻击

其中针对路由器的攻击会导致网吧的出口瘫痪，而目前路由器常见的防DDoS攻击的方法有三种：1、计数器法，2、协议分析法，3、协议分析+计数器。

3.1 计数器法

计数器法通过端口计数器与事先设置的阀值，限制外网口收到的所有数据（无论是否由内网引发），该方法抗攻击能力较强，普通路由器器都能有10M以上的能力。但是该处理方式粗放，一旦端口上的数据量达到设定的阀值就进行全局限速，进而影响全局的应用。
优点：抗攻击能力较强，一般设备都具有10M以上的能力
不足：处理方式粗放，一旦达到阀值就进行全局限速，对应用影响较大
示例：某网络厂商路由器阀值设置界面

3.2 协议分析法

协议分析法对各种DDoS攻击方式进行协议级的分析，通过CPU判断所有经过端口的报文，若报文匹配内置的协议分析器，CPU将对攻击报文进行过滤，但是该处理方法消耗大量CPU资源，如果CPU性能不强将导致整体抗攻击性能不佳。
优点：精确性非常好
不足：性能欠佳
示例：锐捷NBR路由器防护机器狗病毒

3.3 协议分析+计数器法

协议分析+计数器法，该处理方法兼有协议分析法的精确与计数器法的性能，它对所有非内部引起的连接进行监控及协议匹配，并对其进行严格的计数控制，同时该处理方法还修改了TCP/IP协议栈，加强了抗DDoS能力，目前该处理方式可支持的DDoS攻击协议分析已达10种以上。
优点：精确性和性能都非常好
示例：锐捷NBR路由器提供丰富的防外网和内网攻击功能