方舟防DDos-Arp攻击高级补丁可以控制内网DDOS攻击，下载地址：/view-3440.html

注意：这里说的是内网DDOS

以前有个传说，2.9系列的Router Os能够防DDOS了，官方网站上有防火墙演示

也有人说，通过监控网卡mac地址的流量，可以根据需要丢弃与ddos攻击者的数据包来防止内网ddos

但经过本人测试，上述方法均为无效，对于监控mac流量的方法，即使你不添加任何规则，直接丢弃指定数据源为某一mac地址的包，其对你的攻击不会受到太大影响

去了router os官方论坛，搜索了ddos相关的话题，官方对此问题的明确答复是：ddos只能减轻而不能防范。

请问各位高手，Router os真的能防内网ddos攻击吗？

如果能，如何防范？

附：以前的测试方法与结果

当软路由与内网DDOS相遇－暨软路由内网DDOS测试报告

内网DDos，一种极易且及有效的内网攻击方式，其独特的攻击原理让一切软硬路由其束手无策，针对目前网吧常用的三种软路由，本人做了如下DDOS攻击测试：

硬件配置：P4 1.8 ＋ 128 DDR ＋ Realtek 8139 × 2

路由软件：Router OS 2.9.6 秋风落叶全功能版、Windows 2003 Server  RRAS中的Nat＋2005年12月全部补丁、Windows 2003 Server ＋2005年12月全部补丁 ＋ ISA 2004 sp1

攻击软件：任意DDOS攻击软件

攻击方式：1、直接攻击网关IP；2、通过攻击外网IP，间接攻击网关

攻击数据流量：稳定在 2.7M（bit），这个可能和攻击机器的处理能力有关，我p4 1.8的机器cpu占用100％最大也只能产生这么大的流量

路由受攻击后的结果：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

1、Router OS

未做防范：Cpu占用100％，客户机ping外网DNS无一回应

做防范：Cpu占用100％，客户机ping外网DNS无一回应

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

2、Windows 2003 Server NAT

未做防范：Cpu占用100％，客户机ping外网DNS无一回应

做防范：Cpu占用70％，客户机ping外网DNS正常

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

3、Windows 2003 Server ＋ ISA 2004 sp1

未做防范：Cpu占用100％，客户机ping外网DNS无一回应

做防范：Cpu占用100％，客户机ping外网DNS无一回应

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

额外说明：对于以上测试，3类测试防范措施一致，本人抱着认真负责的态度，没有偏袒任何一方。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

结论：

1、在遇到内网DDos时，路由器的功能绝对是 simple is best！

2、在可能受到攻击的情况下，软路由高配置是绝对有必要的，486在网吧做Nat服务器的年代已经过去了

3、硬件够强劲的情况下，Windows 2003的表现绝对不比Router Os差，很多方面他们各有所长，在遭遇内网DDOS时，通过适当防范，Windows 2003 Nat绝对是最佳选择

4、Router Os 2.9.6在两次持续时间为60秒的内网DDOS后Ip伪装功能会失效，需重新设置方可正常使用。所以必须注意Router os的备份工作（这个我以前就提过，没有人理视，估计很多人还是不知道如何对2.9系列的router os备份，算了不想多说了），就这一点来说当与内网DDOS遭遇的时候，Router os会比Windows Server受到更大的伤害。

方舟防DDos-Arp攻击高级补丁可以控制内网DDOS攻击，下载地址：/view-3440.html