A）尽可能的修正已经发现的问题和系统漏洞。

B）识别，跟踪或禁止这些令人讨厌的机器或网络对我们的访问。

我们先来讨论一下B），在B）中我们面临的主要问题是如何识别那些恶意攻击的主机，特别是使用拒绝服务攻击的机器。因为这些机器隐藏了他们自己的地址，而冒用被攻击者的地址。攻击者使用了数以千记的恶意伪造包来使我们的主机受到攻击。"tfn2k"的原理就象上面讲的这么简单，而他只不过又提供了一个形象的界面。假如您遭到了分布式的拒绝服务攻击，实在是很难处理。

解决此类问题的一些专业手段----包过滤及其他的路由设置

有一些简单的手法来防止拒绝服务式的攻击。最为常用的一种当然是时刻关注安全信息以期待最好的方法出现。管理员应当订阅安全信息报告，实时的关注所有安全问题的发展。：）

第二步是应用包过滤的技术，主要是过滤对外开放的端口。这些手段主要是防止假冒地址的攻击，使得外部机器无法假冒内部机器的地址来对内部机器发动攻击。

我们可以使用Cisco IOS来检查路由器的详细设置，当然，它也不仅限于Cisco的设备，但由于现在Cisco设备在网络中占有了越来越多的市场份额（83%），所以我们还是以它为例子，假如还有人有其他的例子，我们也非常高兴你能提出您的宝贵信息。

登陆到将要配置的路由器上，在配置访问控制列表之前先初始化一遍：

c3600(config)#access-list 100 permit ip 207.22.212.0 0.0.0.255 any

c3600(config)#access-list 100 deny ip any any

然后我们假设在路由器的S0口上进行ACL的设置，我们进入S0口，并进入配置状态：

c3600(config)#int ser 0

c3600(config-if)#ip access-group 100 out

通过显示access-list来确认访问权限已经生效：

c3600#sho access-lists 100

Extended IP access list 100

permit ip 207.22.212.0 0.0.0.255 any (5 matches)

deny ip any any (25202 matches)

对于应该使用向内的包过滤还是使用向外的包过滤一直存在着争论。RFC 2267建议在全球范围的互连网上使用向内过滤的机制，但是这样会带来很多的麻烦，在中等级别的路由器上使用访问控制列表不会带来太大的麻烦，但是已经满载的骨干路由器上会受到明显的威胁。

另一方面，ISP如果使用向外的包过滤措施会把过载的流量转移到一些不太忙的设备上。 ISP也不关心消费者是否在他们的边界路由器上使用这种技术。当然，这种过滤技术也并不是万无一失的，这依赖于管理人员采用的过滤机制。

我们经常会听到设备销售或集成商这样的推脱之词，他们总是说使用ACL会导致路由器和网络性能的下降。ACL确实会降低路由器的性能并加重CPU的负载，但这是微乎其微的。我们曾经在Cisco 2600 和3600系列路由器上作过实验：

以下是不使用和使用ACL时的对照表：