巧用阿爾法路由器防火墻防攻擊的辦法

2020-07-24 12:11:49

字體：大中小

供稿：網(wǎng)友

一、低端路由器提供了用于阻止和允許特定IP 地址和端口號的基本防火墻功能，并使用NAT 來隱藏內(nèi)部IP 地址，它們通常將防火墻功能提供為標準的、為阻止來自Internet 的入侵進行了優(yōu)化的功能，雖然不需要配置，但是對它們進行進一步配置可進一步優(yōu)化它們的性能。
二、高端路由器可配置為通過阻止較為明顯的入侵以及通過使用ACL 實現(xiàn)其他IP 地址和端口限制，來加強訪問權(quán)限。也可提供其他的防火墻功能，這些功能在某些路由器中提供了靜態(tài)數(shù)據(jù)包篩選。在高端路由器中，以較低的成本提供了與硬件防火墻設(shè)備相似的防火墻功能，但是吞吐量較低。
三、路由器可以過濾屏蔽的數(shù)據(jù)包類型，諸如一些即時聊天軟件、P2P軟件和一些網(wǎng)絡(luò)游戲，說得簡單點，路由器防火墻實現(xiàn)的是包的過濾，他能偵測所有進出端口的數(shù)據(jù)包并加之檢測和過濾。這就是從根本上出發(fā)，保障信息網(wǎng)絡(luò)的安全，路由器的防火墻能對一些常見的網(wǎng)絡(luò)攻擊進行防護，千萬不要小看這些攻擊，任何一個都有可能使你陷入斷網(wǎng)甚至更糟的局面。
四、下面我們簡單介紹一下常見的網(wǎng)絡(luò)攻擊手段，讓大家心中有數(shù)。
1、SYN Flood：我們叫做SYN泛洪。SYN Flood是當前最流行的DoS與DdoS的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡的攻擊方式。換句話說，這個攻擊如果不加以防范的話會引起網(wǎng)絡(luò)設(shè)備死機。
（1）TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標準過程是這樣的：首先，請求端發(fā)送一個包含SYN標志的TCP報文，SYN即同步，同步報文會指明客戶端使用的端口以及TCP連接的初始序號，服務(wù)器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認，客戶端也返回一個確認報文ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手。
（2）假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的，這種情況下服務(wù)器端一般會重試并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源，即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求。
2、Smurf攻擊：Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命名的，這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常系統(tǒng)進行服務(wù)，Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求數(shù)據(jù)包，來淹沒受害主機，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。
3、ARP攻擊：ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計算機或所有計算機無法正常連接。
（1）ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。
（2）ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過ARP欺騙手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。
以上就是幾個我們常見的網(wǎng)絡(luò)攻擊形式，不過好在這些攻擊路由器基本都能進行防范，所以千萬不要忽略了你的路由器的防火墻功能，更多關(guān)于防火墻功能介紹，有興趣的網(wǎng)友可以查看華為路由器設(shè)置。

上一篇：了解無線路由器組建無線網(wǎng)絡(luò)應(yīng)該注意的幾個問題

下一篇：靈科路由器撥號掉線故障的解決方法