DDOS攻擊與防范技術(shù)原理—課程設計報告

1、上海電機學院課程設計報告課程名稱： 計算機網(wǎng)絡安全 課題名稱： ddos攻擊與防范技術(shù)原理 姓 名： 班 級： bx1009 學 號： 指導老師： 報告日期： 2013年06月27日 電 子 信 息 學 院上海電機學院實訓/課程設計任務書課程名稱網(wǎng)絡安全課程設計課程代碼033208c1實訓/課程設計課題清單1arp 協(xié)議原理攻擊及防范技術(shù)2dhcp 協(xié)議攻擊及防范技術(shù)3ddos攻擊與防范技術(shù)原理4acl 包過濾技術(shù)應用5. cam表攻擊與防范技術(shù)6. tcp syn攻擊與防范技術(shù)7. 網(wǎng)絡設備終端登錄原理與安全管理8. 組建高彈性冗余網(wǎng)絡設計時間2013年 06 月 24 日 2013年 06

2、 月 28 日一、實訓/課程設計任務匯總1. 課題分配-23人一組。2.最終提供的主操作界面應該方便用戶的操作。3.最后提交的課程設計成果包括：a) 課程設計報告打印稿。b) 課程設計報告電子稿。c) 小組課程設計報告打印稿d) 小組課程設計報告電子稿e) 源程序文件(電子稿)。f) 可執(zhí)行程序文件。（電子稿）二、對實訓/課程設計成果的要求（包括實訓/課程設計報告、圖紙、圖表、實物等軟硬件要求）分析課程設計題目的要求；寫出詳細的需求分析；根據(jù)功能需求，寫出詳細的設計說明；（包括工作原理）編寫程序代碼（有必要的注釋），調(diào)試程序使其能正確運行；設計完成的軟件要便于操作和使用，有整齊、美觀的使用界面

3、；設計完成后提交課程設計報告（按學校要求裝訂）和源代碼文件的電子文檔。報告需要交電子版和打印版，源程序交電子版。三、實訓/課程設計工作進度計劃：選擇課程設計題目，分析課題的要求，確定需求分析；確定設計方案；第二天 編寫詳細設計說明； 繪制程序流程圖；編寫與調(diào)試程序；第三天 測試系統(tǒng)功能，寫課程設計報告； 第四天 交課程設計報告（打印稿及電子稿）； 第五天 面試或答辯。四、主要參考資料：1 計算機網(wǎng)絡安全教程(第二版) 梁亞聲 機械工業(yè)出版社 2008年7月2 cisco press - ccna security official exam certification guide 20123

4、ccnp.security.secure.642-637.official.cert.guide).sean.wilkins&trey.smith 2011摘要：計算機網(wǎng)絡的發(fā)展，特別是internet的發(fā)展和普及應用，為人類帶來了新的工作、學習和生活方式，使人們與計算機網(wǎng)絡的聯(lián)系越來越密切。計算機網(wǎng)絡系統(tǒng)提供了豐富的資源以便用戶共享，提高了系統(tǒng)的靈活性和便捷性，也正是這個特點，增加了網(wǎng)絡系統(tǒng)的脆弱性、網(wǎng)絡受威脅和攻擊的可能性以及網(wǎng)絡的復雜性。分布式拒絕服務(ddos:distributed denial of service)攻擊借助于客戶/服務器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一

5、個或多個目標發(fā)動dos攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將ddos主控程序安裝在一個計算機上，在一個設定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。關(guān)鍵字：ddos, icmp flood, udp flood, car目錄摘要：2一、需求分析41.1課設背景4二、ddos攻擊技術(shù)52.1簡述ddos攻擊技術(shù)52.1.1 dos攻擊概述52.1.2ddos攻擊概述52.2 ddos攻擊原理與表現(xiàn)形式62.3 ddo

6、s攻擊方式72.3.1 icmp flood攻擊技術(shù)72.3.2 udp flood 攻擊技術(shù)72.3.3其他攻擊技術(shù)82.4 ddos攻擊工具92.4.1 loic92.4.2 engage packetbuilder92.4.3其他輔助工具102.5具體實驗操作與結(jié)果102.5.1實驗結(jié)構(gòu)圖與流程圖102.5.2 udp flood攻擊112.5.3 icmp flood攻擊13三、ddos防御技術(shù)163.1 簡述ddos防御技術(shù)163.2 防御原理173.2.1 car173.2.2 urpf173.3 利用car進行ddos防御實驗實際操作與結(jié)果18四、遇到的問題與解決21五、小結(jié)22

7、參考文獻23一、需求分析 隨著 internet 的迅猛發(fā)展，網(wǎng)絡與信息安全問題日益突出。病毒肆虐、網(wǎng)絡犯罪、黑客攻擊等現(xiàn)象時有發(fā)生，嚴重危及我們正常工作。據(jù)國際權(quán)威機構(gòu)統(tǒng)計，全球每年因網(wǎng)絡安全問題帶來的損失高達數(shù)百億美元。網(wǎng)絡上的惡意攻擊實際上就是尋找一 切可能存在的網(wǎng)絡安全缺陷來達到對系統(tǒng)及資源的 損害，從而達到惡意的目的。分布式拒絕服務攻擊 (以下稱 ddos) 就是從1996 年出現(xiàn)，在中國 2002 年開始頻繁出現(xiàn)的一種攻擊方式。分布式拒絕服務攻擊(ddos 全名是 distribut- ed denial of service)，ddos 攻擊手段是在傳統(tǒng)的dos 攻擊基礎(chǔ)之上產(chǎn)生

8、的一類攻擊方式。單一的dos攻擊一般是采用一對一方式的，當攻擊目標 cpu 速度低、內(nèi)存小或者網(wǎng)絡帶寬小等等各項性 能指標不高它的效果是明顯的。1.1課設背景隨著計算機與網(wǎng)絡技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存 大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡，這使得 dos 攻擊的困難程度加大了，目標對惡意攻擊包的 消化能力 加強了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送4000 個攻擊包，但我的主機與網(wǎng) 絡帶寬每秒鐘可以處理 20000 個攻擊包，這樣一來 攻擊就不會產(chǎn)生什么效果。 分布式拒絕服務攻擊使用了分布式客戶服務器 功能，加密技術(shù)及其它類的功能，它能被用于控制任 意數(shù)量的遠程機器，以產(chǎn)生

9、隨機匿名的拒絕服務攻 擊和遠程訪問。為了有效防范網(wǎng)絡入侵和攻擊，就必 須熟悉網(wǎng)絡入侵和攻擊的手段和原理，在此基礎(chǔ)上 才能制定行之有效的防范對策和防御措施，從而確 保網(wǎng)絡信息的安全。本次實驗要求是先進行ddos的udp flood和icmp flood的攻擊，再利用gns3和虛擬機進行ddos攻擊的防御，二、ddos攻擊技術(shù)2.1簡述ddos攻擊技術(shù)2.1.1 dos攻擊概述 在了解ddos之前，首先我們來看看dos，dos的英文全稱是denial of service，也就是“拒絕服務”的意思。從網(wǎng)絡攻擊的各種方法和所產(chǎn)生的破壞情況來看，dos算是一種很簡單但又很有效的進攻方式。它的目的就是拒

10、絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分internet連接和網(wǎng)絡系統(tǒng)失效。dos的攻擊方式有很多種，最基本的dos攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。dos攻擊的原理如圖1所示。圖1 dos攻擊原理 從圖1我們可以看出dos攻擊的基本過程：首先攻擊者向服務器發(fā)送眾多的帶有虛假地址的請求，服務器發(fā)送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發(fā)送偽地址請求的情況下，服務器資源最終會被耗盡

11、。2.1.2ddos攻擊概述 ddos（分布式拒絕服務），它的英文全稱為distributed denial of service，它是一種基于dos的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，像商業(yè)公司，搜索引擎和政府部門的站點。從圖1我們可以看出dos攻擊只要一臺單機和一個modem就可實現(xiàn)，與之不同的是ddos攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。ddos的攻擊原理如圖2所示。 圖2 ddos攻擊原理 從圖2可以看出，ddos攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角

12、色。 1、攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。2、主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。在主控端主機上安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)起攻擊。 攻擊者發(fā)起ddos攻擊的第一步，就是尋找在internet上有漏洞的主機，進入系統(tǒng)后在其上面安

13、裝后門程序，攻擊者入侵的主機越多，他的攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序，其中一部分主機充當攻擊的主控端，一部分主機充當攻擊的代理端。最后各部分主機各施其職，在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。2.2 ddos攻擊原理與表現(xiàn)形式 ddos攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡帶寬的攻擊，即大量攻擊包導致網(wǎng)絡帶寬被阻塞，合法網(wǎng)絡包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內(nèi)存被耗盡或cpu被內(nèi)核及應用程序占完而造成無法提供

14、網(wǎng)絡服務。2.3 ddos攻擊方式本次實驗利用icmp flood和udp flood進行攻擊。2.3.1 icmp flood攻擊技術(shù)icmp flood 的攻擊屬于流量型攻擊方式，利用大的流量給服務器帶來較大的負載，影響服務器正常運行。ping 使用的是echo應答，ping的速度很慢僅為1-5包/秒，事實上icmp本身并不慢（由于icmp是sock_raw產(chǎn)生的原始報文，速度比sock_stream的syn和sock_dgram的udp要快幾乎 10倍?。?，這樣的速度是ping程序故意延遲的。并且必須等待目標主機返回replay信息，這個過程需要花費大量的時間。而flood洪水，是速度極

15、快的，當一個程序發(fā)送數(shù)據(jù)包的速度達到了每秒1000個以上，它的性質(zhì)就成了洪水產(chǎn)生器，洪水數(shù)據(jù)是從洪水產(chǎn)生器里出來的。但這樣還不夠，沒有足夠的帶寬，再猛的洪水也只能像公路塞車那樣慢慢移動，成了雞肋。要做真正的洪水，就需要有一條足夠?qū)挼母咚俟凡趴梢?。icmp flood攻擊分為三種方式：1.直接flood。直接使用自己的機器去攻擊別人，這要求有足夠的帶寬。直接攻擊會暴露自己ip地址，一般不常見。2.偽造ip的flood。它隨意偽造一個ip來flood。屬于比較隱蔽陰險的flood。3.反射。用采取這種方式的第一個工具的名稱來命名的“smurf”洪水攻擊，把隱蔽性又提高了一個檔次，這種攻擊模式里，

16、最終淹沒目標的洪水不是由攻擊者發(fā)出的，也不是偽造ip發(fā)出的，而是正常通訊的服務器發(fā)出的。smurf方式把源ip設置為受害者ip，然后向多臺服務器發(fā)送icmp報文（通常是echo請求），這些接收報文的服務器被報文欺騙，向受害者返回echo應答（type=0），導致垃圾阻塞受害者的門口。2.3.2 udp flood 攻擊技術(shù) udpflood是日漸猖厥的流量型dos攻擊，原理也很簡單。常見的情況是利用大量udp小包沖擊dns服務器或radius認證服務器、流媒體視頻服務器。100k pps的udpflood經(jīng)常將線路上的骨干設備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。由于udp協(xié)議是一種無連接的服務

17、，在udpflood攻擊中，攻擊者可發(fā)送大量偽造源ip地址的小udp包。但是，由于udp協(xié)議是無連接性的，所以只要開了一個udp的端口提供相關(guān)服務的話，那么就可針對相關(guān)的服務進行攻擊。正常應用情況下，udp包雙向流量會基本相等，而且大小和內(nèi)容都是隨機的，變化很大。出現(xiàn)udpflood的情況下，針對同一目標ip的udp包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。2.3.3其他攻擊技術(shù)1 syn/ack flood攻擊 這種攻擊方法是經(jīng)典最有效的ddos方法，適用于各種系統(tǒng)的網(wǎng)絡服務，主要是通過向受害主機發(fā)送大量偽造源ip和源端口的syn或ack包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒

18、絕服務，由于源都是偽造的，所以追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問，但卻可以ping通，在服務器上用netstat -na命令會觀察到存在大量的syn_received狀態(tài)，大量的這種攻擊會導致ping失敗、tcp/ip棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應鍵盤和鼠標。2 tcp全連接攻擊 這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的，一般情況下，常規(guī)防火墻大多具備過濾teardrop、land等dos攻擊的能力，但對于正常的tcp連接是放過的，殊不知很多網(wǎng)絡服務程序（如：iis、apache等web服務器）能接受的tcp連

19、接數(shù)是有限的，一旦有大量的tcp連接，即便是正常的，也會導致網(wǎng)站訪問非常緩慢甚至無法訪問，tcp全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的tcp連接，直到服務器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的ip是暴露的，因此容易被追蹤。3 刷script腳本攻擊 這種攻擊主要是針對存在asp、jsp、php、cgi等腳本程序，并調(diào)用mssqlserver、mysqlserver、oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的，特征是和服務器建立正常的tcp連接，并不斷的向腳本程序提交查詢、

20、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個get或post指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數(shù)據(jù)庫服務器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過proxy代理向主機服務器大量遞交查詢指令，只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、asp程序失效、php連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用cpu偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些proxy代理就可實施

21、攻擊，缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些proxy會暴露攻擊者的ip地址。2.4 ddos攻擊工具 ddos攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動ddos攻擊變成一件輕而易舉的事情。本次是進行一次簡單的實驗，所有簡單地利用了以下幾個工具。2.4.1 loic 利用傻瓜軟件就可以發(fā)動ddos攻擊的話，為什么還要付費呢?來自系統(tǒng)管理、網(wǎng)絡和安全協(xié)會互聯(lián)網(wǎng)風暴中心的消息顯示，在這波針對商業(yè)公司發(fā)起的ddos攻擊浪潮中，人們開始使用低軌道離子加農(nóng)炮(low o

22、rbit ion cannon，以下簡稱loic)，一種開源的dos攻擊工具來對卡或者維薩卡網(wǎng)站的端口進行攻擊。使用者要做的事情僅僅就是用鼠標點擊一下，攻擊就正式開始了。 loic是一個功能非常強大的工具。它可以使用大規(guī)模的垃圾流量對目標網(wǎng)站實施攻擊，從而耗盡網(wǎng)絡資源，導致網(wǎng)絡崩潰，無法提供服務。本次實驗利用該工具進行udp flood攻擊操作。2.4.2 engage packetbuilder一個運行在windows下的使用libnet和libpcap進行發(fā)報測試的工具，具有一個簡單易用的gui界面，可以完全定制各種類型的數(shù)據(jù)包，并且支持腳本自動發(fā)送。是測試ids/防火墻的好工具。本次實驗

23、利用該工具進行 icmp flood攻擊操作。2.4.3其他輔助工具 在本次實驗中，為了方便利用ddos技術(shù)進行的攻擊，我們使用了wireshark 進行流量包的檢測，可以區(qū)別出icmp flood和udp flood攻擊。2.5具體實驗操作與結(jié)果本次ddos攻擊實驗利用了兩種工具進行icmp flood和udp flood攻擊，實驗中使用四個主機進行攻擊網(wǎng)關(guān)測試主機pc5地址： 192.168.82.24本主機pc4地址： 192.168.82.15網(wǎng)關(guān)地址是：192.168.82.2512.5.1實驗結(jié)構(gòu)圖與流程圖結(jié)構(gòu)圖：流程圖：2.5.2 udp flood攻擊1.攻擊前，pc5對網(wǎng)關(guān)進

24、行ping操作，確保成功連接并查看延時狀況2.四臺主機同時對網(wǎng)關(guān)進行udp flood攻擊操作，下圖是我的主機操作： 3.在進行攻擊時，pc5再進行ping網(wǎng)關(guān)操作4.發(fā)現(xiàn)延遲很高，大部分是請求超時，表現(xiàn)出攻擊成功。2.5.3 icmp flood攻擊1.攻擊前，pc5對網(wǎng)關(guān)進行ping操作，確保成功連接并查看延時狀況。2.四臺主機同時對網(wǎng)關(guān)進行icmp flood攻擊操作，下圖是我的主機操作： 3.在進行攻擊時，pc5再進行ping網(wǎng)關(guān)操作4.發(fā)現(xiàn)延遲很高，或者干脆請求超時，表現(xiàn)出攻擊成功。兩次攻擊都很好地完成。三、ddos防御技術(shù)3.1 簡述ddos防御技術(shù)對付ddos是一個系統(tǒng)工程，僅僅

25、依靠某種系統(tǒng)或產(chǎn)品防范ddos是不現(xiàn)實的，可以肯定的是，完全杜絕ddos攻擊，目前是不可能的，但通過適當?shù)拇胧┑钟?0%的ddos攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御ddos的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了ddos攻擊。 本次實訓，老師還向我們介紹了policing and shaping。簡單的說就是管制和整形： 管制和整形的作用是識別流量違約并做出響應。管制和整形使用同樣的算法識別流量違約，但是做出的響應不同。 管制工具對流量違約進行即時檢查，發(fā)現(xiàn)違約后立即采取設定的動作進行處

26、理。例如，管制工具可以確定負載是否超出了定義的流量速率，然后對超出部分的流量進行重新標記或者直接丟棄。管制工具可以應用在入接口和出接口上。 整形工具是一個與排隊機制一起工作的流量平滑工具。整形的目的是將所有的流量發(fā)送到同一個接口，并且控制流量永遠不超出指定的速率，使流量平滑地通過該接口發(fā)送出去。整形工具只可以應用在出接口上。 管制與整形相比較，具有以下區(qū)別，參見表22-3。表22-2：管制與整形比較管制policing整形shaping由于包被丟棄，引起tcp重傳通常延遲流量，很少引起tcp重傳不靈活和不可適應通過排隊機制來適應網(wǎng)絡擁塞入接口和出接口工具出接口工具沒有緩存的速率限制有緩存的速率

27、限制下圖能明顯顯示出2種不同的流量限制。3.2 防御原理3.2.1 car使用car(control access rate)功能限制流速率。如果管理員發(fā)現(xiàn)網(wǎng)絡中存在ddos攻擊，并通過sniffer或者其它手段得知發(fā)起ddos攻擊的數(shù)據(jù)流的類型，然后可以給該數(shù)據(jù)流設置一個上限帶寬，這樣超過了該上限的攻擊流量就被丟棄，可以保證網(wǎng)絡帶寬不被占滿。3.2.2 urpf urpf（unicast reverse path forwarding，單播反向路徑轉(zhuǎn)發(fā)）的主要功能是用于防止基于源地址欺騙的網(wǎng)絡攻擊行為。源地址欺騙攻擊為入侵者構(gòu)造出一系列帶有偽造源地址的報文，對于使用基于 ip地址驗證的應用來

28、說，此攻擊方法可以導致未被授權(quán)用戶以他人身份獲得訪問系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來訪問。即使響應報文不能達到攻擊者，同樣也會造成對被攻擊對象的破壞。如圖 1所示，在router a上偽造源地址為 2.2.2.1/8的報文，向服務器router b發(fā)起請求，router b響應請求時將向真正的“2.2.2.1/8”發(fā)送報文。這種非法報文對routerb和router c都造成了攻擊。urpf技術(shù)可以應用在上述環(huán)境中，阻止基于源地址欺騙的攻擊。3.3 利用car進行ddos防御實驗實際操作與結(jié)果1.本次car防范是利用gns3進行實驗的，首先在gns3中鋪設結(jié)構(gòu)，將本地物理網(wǎng)卡配置到c 1，將虛

29、擬網(wǎng)卡vmnet1配置到c2上，對r1兩個端口進行配置： f0/0: 192.168.82.144 f0/1: 192.168.100.144配置好后，如下圖所示，2.打開虛擬機，選好網(wǎng)卡，運行cmd，ping 192.168.100.144,能夠成功ping通。ping 192.168.82.144，也能成功ping通。3.在gns3中的路由器上輸入限速命令，并將其應用至f0/1端口。4.配置后在虛擬機中ping 192.169.82.144 -t未發(fā)現(xiàn)丟包現(xiàn)象，在r1中特權(quán)模式下show interfaces rate-limit，未出現(xiàn)丟包現(xiàn)象。4.配置后進行ping 192.168.82.144 t l 3100，由于之前的限速配置時將限制在1500byte，偶爾允許2000bype通過。但這里是3100，所以出現(xiàn)大量丟包。限速后，在gns3中r1輸入show interfaces rate-limit，出現(xiàn)丟包現(xiàn)象如下圖所示。由上可知，本次防范實驗成功完