DOS:即Denial Of Service,拒绝服务的缩写,拒绝服务,即设备的处于满负荷状态,不能再接受新的任务,要求服务者必须等待。DOS******者想办法让目标机器停止 提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。
当有许多大号的数据包拥到你的网络上的时候,这些数据包的源头是不好确定的,甚至可能是某台PC机,它们能够使网络出现停滞的状况。在最坏的时候,网络将出现中断的情况。

为了判断出网络中哪台机器正在收或发这些可疑的大号数据包,网络管理员可以在路由器的接口上启动ip accounting output-packets命令,当然,不必在所有的接口上启动它,只需要在怀疑有可疑流量通过的接口上配置即可。然后我们使用show ip accounting output-packets命令观察实时的结果。每个数据包的情况都可以观察到,这样我们就可以判断出问题主机。下面是介绍了如何实施该方法和相关命令 的简单介绍
Router(config)# interface FastEthernet 0/1
Router(config-if)# ip accounting output-packets
Router# show ip accounting output-packets

Router# show ip accounting
Source Destination Packets Bytes
131.108.19.40 192.67.67.20 7 306
131.108.13.55 192.67.67.20 67 2749
131.108.2.50 192.12.33.51 17 1111
131.108.2.50 130.93.2.1 5 319
131.108.2.50 130.93.1.2 463 30991
131.108.19.40 130.93.2.1 4 262
131.108.19.40 130.93.1.2 28 2552
131.108.20.2 128.18.6.100 39 2184
131.108.13.55 130.93.1.2 35 3020
131.108.19.40 192.12.33.51 1986 95091
131.108.2.50 192.67.67.20 233 14908
131.108.13.28 192.67.67.53 390 24817
131.108.13.55 192.12.33.51 214669 9806659
131.108.13.111 128.18.6.23 27739 1126607
131.108.13.44 192.12.33.51 35412 1523980
192.31.7.21 130.93.1.2 11 824
131.108.13.28 192.12.33.2 21 1762
131.108.2.166 192.31.7.130 797 141054
131.108.3.11 192.67.67.53 4 246
192.31.7.21 192.12.33.51 15696 695635
192.31.7.24 192.67.67.20 21 916
131.108.13.111 128.18.10.1 16 1137
accounting threshold exceeded for 7 packets and 433 bytes
output参数表示仅显示成功路由的包。

如果设备支持NetFlow,那么采用NetFlow方式将会更方便。NetFlow方法需要在设备的入方向的接口上实施。从NetFlow所做的统计 中,可以轻松的判断出问题包的协议。如果想激活NetFlow,在疑问接口上用命令ip route-cache flow。如果设备不支持NetFlow方式,那就只好使用ip accounting方式了。