防御无线终端DOS（泛洪）攻击

无线DOS攻击会导致AP繁忙，报文处理不过来，报文上送AC后 CPU上升到95%以上，导致受攻击的AP，AC无法正常工作，数据转发甚至设备运行情况收到很大程度的影响。

AC CPU利用率达到95%以上

通过协议报文统计查看，发现CPU利用率瞬时升高时，终端关联认证请求报文（auth request）突然异常增多，与历史数据统计相比，并非一个数量级。该种行为在用户正常无线接入是不可能出现，判断为终端恶意攻击，报文统计信息如下：

配置方法：

#使能终端关联认证请求报文（auth request）协议的总带宽限速功能

anti-attack protocol dot11_auth enable

#配置协议限速速率，限速速率是协议所能拥有的总带宽，超过该带宽的流量都会被限速模块限制并丢弃掉，取值范围为0～102400，单位为包每秒（pps）。

anti-attack protocol dot11_auth threshold 40

#协议按流限速速率，按流限速速率是指用户的某类协议报文所能拥有的最大带宽。超过该带宽的流量都会被限速模块限制并丢弃掉，取值范围为0～102400，单位为包每秒（pps）。
   anti-attack protocol dot11_auth flow-threshold 20

对于大型公共wifi场景，实时监测网络运行情况，对于该类攻击实施有效的防御措施。

该类攻击源地址分为两种：

1.静态mac地址模拟协议报文攻击。这种情况对于攻击终端的mac比较容易定位，突发的流量较高，发包速率较高，可以通过WIDS配置静态黑名单的方法限制。

2.动态mac地址模拟协议报文攻击。这种情况比较难于定位到攻击终端，因为攻击终端每个攻击报文都是随机生成mac地址作为源去发送，建议通过限制报文发送速率来控制