Test Speed w/o ACL (Mbps) w/ ACL (Mbps) w/o ACL (total time) w/ ACL (total time) % change

Cisco 2600 100Mbps -》 100 Mbps File transfers 36.17 Mbps 35.46 Mbps 88.5 90.2 2.50%

Cisco 3600 10Mbps -》 10Mbps File transfers 7.95 Mbps 8.0Mbps 397 395 0.30%

使用的路由器配置如下：

· Cisco 3640 (64MB RAM, R4700 processor, IOS v12.0.5T)

· Cisco 2600 (128MB RAM, MPC860 processor, IOS v12.0.5T)

由表我们可以看出，在使用ACL前后对路由器性能的影响并不是很大。

使用DNS来跟踪匿名攻击

也许大家仍旧保存着侥幸心理，认为这些互连网上给我们带来无数麻烦DoS漏洞或许随着路由器包过滤，网络协议升级到IPv6或者随时的远程响应等手段变得越来越不重要。但从一个具有责任感的网管的观点来看，我们的目标并不是仅仅阻止拒绝服务攻击，而是要追究到攻击的发起原因及操作者。

当网络中有人使用假冒了源地址的工具（如tfn2k）时，我们虽然没有现成的工具来确认它的合法性，但我们可以通过使用DNS来对其进行分析：

假如攻击者选定了目标www.technotronic.com，他必须首先发送一个DNS请求来解析这个域名，通常那些攻击工具工具会自己执行这一步，调用gethostbyname()函数或者相应的应用程序接口，也就是说，在攻击事件发生前的DNS请求会提供给我们一个相关列表，我们可以利用它来定位攻击者。

使用现成工具或者手工读取DNS请求日志，来读取DNS可疑的请求列表都是切实可行的，然而，它有三个主要的缺点：

l 攻击者一般会以本地的DNS为出发点来对地址进行解析查询，因此我们查到的DNS请求的发起者有可能不是攻击者本身，而是他所请求的本地DNS服务器。尽管这样，如果攻击者隐藏在一个拥有本地DNS的组织内，我们就可以把该组织作为查询的起点。

l 攻击者有可能已经知道攻击目标的IP地址，或者通过其他手段（host, ping）知道了目标的IP地址，亦或是攻击者在查询到IP地址后很长一段时间才开始攻击，这样我们就无法从DNS请求的时间段上来判断攻击者（或他们的本地服务器）。

l DNS对不同的域名都有一个却省的存活时间，因此攻击者可以使用存储在DNS缓存中的信息来解析域名。为了更好做出详细的解析记录，您可以把DNS却省的TTL时间缩小，但这样会导致DNS更多的去查询所以会加重网络带宽的使用。

在许多情况下，只要您拥有足够的磁盘空间，记录所有的DNS请求并不是一种有害的做法。在BIND8.2中做记录的话，可以在named.conf中假如下面的几行：

logging {

channel requestlog { file "dns.log"; };

category queries { requestlog; };

};

使用 ngrep来处理tfn2k 攻击