三層交換機還是比較常用的，于是我研究了一下三層交換如何完全阻擊DoS攻擊，在這里拿出來和大家分享一下，希望對大家有用。盡管全球網絡安全專家都在著力開發抗DoS攻擊的辦法，但收效不大，因為DoS攻擊利用了TCP協議本身的弱點。在三層交換機上進行設置，并安裝專門的DoS識別和預防工具，能最大限度地減少DoS攻擊造成的損失。

利用三層交換機建立全面的網絡安全體系，其基礎必須是以三層交換機和路由為核心的智能型網絡，有完善的三層以上的安全策略管理工具。同時，在網絡的設計階段，就應該進行合理布置。

局域網層

在局域網層上，網管員可采取很多預防措施。例如，盡管完全消除IP分組假冒現象幾乎不可能，但網管員可構建過濾器，如果數據帶有內部網的信源地址，則通過限制數據輸入流量，可有效降低內部假冒IP攻擊。過濾器還可限制外部IP分組流，防止假冒IP的DoS攻擊被當作中間系統。其他方法還有：關閉或限制特定服務，如限定UDP服務只允許于內部網中用于網絡診斷目的。

遺憾的是，這些限制措施可能給合法應用(如采用UDP作為傳輸機制的RealAudio)帶來負面影響。如果攻擊者能脅迫受害者不使用IP服務或其他合法應用，那么這些黑客已經達到了DoS攻擊的目的。

網絡傳輸層

以下對網絡傳輸層的控制可對以上不足進行補充。

1、獨立于層的線速服務質量(QoS)和訪問控制

帶有可配置智能軟件、獨立于層的QoS和訪問控制功能的線速三層交換機的出現，改善了網絡傳輸設備保護數據流完整性的能力。在傳統路由器中，認證機制(如濾除帶有內部地址的假冒分組)要求流量到達路由器邊緣，并與特定訪問控制列表中的標準相符。但維護訪問控制列表不僅耗時，而且極大增加了路由器開銷，相比之下，線速多層交換機可靈活實現各種基于策略的訪問控制。

這種獨立于層的訪問控制能力把安全決策與網絡結構決策完全分開，使網管員在有效部署了DoS預防措施的同時，不必采用次優的路由或交換拓撲。結果，網管員和服務供應商能把整個城域網、數據中心或企業網環境中基于策略的控制標準無縫地集成起來，而不管其采用的是復雜的基于路由器的核心服務，還是相對簡單的第二層交換。此外，線速處理數據認證可在后臺執行，基本沒有性能延遲。

2、可定制的過濾和“信任鄰居”機制

智能多層訪問控制的另一優點是，能簡便地實現定制過濾操作，如根據特定標準定制對系統響應的控制粒度。多層交換可把分組推送到指定的最大帶寬限制的特定QoS配置文件上，而不是對可能是DoS攻擊的組制訂簡單的“通過”或“丟棄”決策。這種方式，既可防止DoS攻擊，也可降低丟棄合法數據包的危險。另一個優點是能定制路由訪問策略，支持具體系統之間的“信任鄰居”關系，防止未經授權使用內部路由。

以極進網絡公司的ExtremeWare套裝軟件為例，它映射和覆蓋了IEEE 802.1p和DiffServ標記，使所有三層交換機都能忽略、觀察或處理從“不信任鄰居”發來的任何DiffServ標記。這些機制，可使系統管理員根據來自特定鄰居的流量調整內部路由策略。

3、定制網絡登錄配置

網絡登錄采用惟一的用戶名和口令，在用戶獲準進入前認證身份。網絡登錄由用戶的瀏覽器把動態主機配置協議(DHCP)遞交到交換機上，交換機捕獲用戶身份，向RADIUS服務器發送請求，進行身份認證，只有在認證之后，三層交換機才允許該用戶發出的分組流量流經網絡。在IEEE 802.1草案中已規定，網絡登錄機制可控制用戶對三層交換機的訪問，最大限度地降低直接DoS攻擊的危險。同時，網絡登錄為管理和跟蹤內部用戶提供了一種強健的機制。