對Cisco路由器做好配置工作，就能夠有效的防止SYN泛洪攻擊，TCP攔截即TCP intercept，大多數(shù)的Cisco路由器平臺(tái)都引用了該功能，其主要作用就是防止SYN泛洪攻擊。

SYN攻擊利用的是TCP的三次握手機(jī)制，攻擊端利用偽造的IP地址向被攻擊端發(fā)出請求，而被攻擊端發(fā)出的響應(yīng)報(bào)文將永遠(yuǎn)發(fā)送不到目的地，那么被攻擊端在等待關(guān)閉這個(gè)連接的過程中消耗了資源，如果有成千上萬的這種連接，主機(jī)資源將被耗盡，從而達(dá)到攻擊的目的。我們可以利用Cisco路由器的TCP攔截功能，使網(wǎng)絡(luò)上的主機(jī)受到保護(hù)（以Cisco路由器為例）。開啟TCP攔截分為三個(gè)步驟：

1. 設(shè)置TCP攔截的工作模式

TCP攔截的工作模式分為攔截和監(jiān)視。在攔截模式下，Cisco路由器審核所有的TCP連接，自身的負(fù)擔(dān)加重，所以我們一般讓Cisco路由器工作在監(jiān)視模式，監(jiān)視TCP連接的時(shí)間和數(shù)目，超出預(yù)定值則關(guān)閉連接。格式：ip tcp intercept mode (interceptwatch)；缺省為intercept。

2. 設(shè)置訪問表，以開啟需要保護(hù)的主機(jī)

格式：access-list [100-199] [denypermit] tcp source source-wildcard
destination destination-wildcard

舉例：要保護(hù)219.148.150.126這臺(tái)主機(jī)
access-list 101 permit tcp any host 219.148.150.126

3. 開啟TCP攔截

示例：我們有兩臺(tái)服務(wù)器219.148.150.126和219.148.150.125需要進(jìn)行保護(hù)，可以這樣路由器配置：
ip tcp intercept list 101
ip tcp intercept mode watch
........
ip access-list 101 permit tcp any host 219.148.150.125
ip access-list 101 permit tcp any host 219.148.150.126

經(jīng)過這樣的配置后，我們的主機(jī)就在一定程度上受到了保護(hù)。