当前路由器提供了丰富的安全特征，通过这些安全特征，可以很大程度上控制ddos攻击的泛滥。

1、源ip地址过滤
在isp所有网络接入或汇聚节点对源ip地址过滤，可以有效减少或杜绝源ip地址欺骗行为，使smurf、tcp-syn flood等多种方式的ddos攻击无法实施。

2、流量限制
在网络节点对某些类型的流量，如icmp、udp、tcp-syn流量进行控制，将其大小限制在合理的水平，可以减轻拒绝ddos攻击对承载网及目标网络带来的影响。

3、acl过滤
在不影响业务的情况下，对蠕虫攻击端口和ddos工具的控制端口的流量进行过滤。

4、tcp拦截
针对tcp-syn flood攻击，用户侧可以考虑启用网关设备的tcp拦截功能进行抵御。由于开启tcp拦截功能可能对路由器性能有一定影响，因此在使用该功能时应综合考虑。