對Cisco路由器做好配置工作，就能夠有效的防止SYN泛洪攻擊，TCP攔截即TCP intercept，大多數(shù)的Cisco路由器平臺都引用了該功能，其主要作用就是防止SYN泛洪攻擊。

SYN攻擊利用的是TCP的三次握手機制，攻擊端利用偽造的IP地址向被攻擊端發(fā)出請求，而被攻擊端發(fā)出的響應報文將永遠發(fā)送不到目的地，那么被攻擊端在等待關閉這個連接的過程中消耗了資源，如果有成千上萬的這種連接，主機資源將被耗盡，從而達到攻擊的目的。我們可以利用Cisco路由器的TCP攔截功能，使網(wǎng)絡上的主機受到保護（以Cisco路由器為例）。開啟TCP攔截分為三個步驟：

1. 設置TCP攔截的工作模式

TCP攔截的工作模式分為攔截和監(jiān)視。在攔截模式下，Cisco路由器審核所有的TCP連接，自身的負擔加重，所以我們一般讓Cisco路由器工作在監(jiān)視模式，監(jiān)視TCP連接的時間和數(shù)目，超出預定值則關閉連接。格式：ip tcp intercept mode (interceptwatch)；缺省為intercept。

2. 設置訪問表，以開啟需要保護的主機

格式：access-list [100-199] [denypermit] tcp source source-wildcard
destination destination-wildcard

舉例：要保護219.148.150.126這臺主機
access-list 101 permit tcp any host 219.148.150.126

3. 開啟TCP攔截

示例：我們有兩臺服務器219.148.150.126和219.148.150.125需要進行保護，可以這樣路由器配置：
ip tcp intercept list 101
ip tcp intercept mode watch
........
ip access-list 101 permit tcp any host 219.148.150.125
ip access-list 101 permit tcp any host 219.148.150.126

經(jīng)過這樣的配置后，我們的主機就在一定程度上受到了保護。