如果發起攻擊的主機源地址不止一個,則稱為DDOS(分布式拒絕服務攻擊),受害主機的硬件配置夠檔次的話還能堅持個一時半會兒,如果是低端的配置,基本秒殺,我們可以配置無線路由器防止局域網的主機參與這種勾當,一旦發現,立即就地正法,攻擊主機將被禁止連接到網絡,下面我們就以TP-LINK(普聯)無線路由器為例演示如何配置高級安全設置來預防DOS攻擊。
配置高級安全設置
選擇菜單中的“安全設置-高級安全設置”:
數據包統計時間間隔:從字面意思就很好理解了,就是多長時間對通過無線路由器的數據流進行一次采樣分析,這裡的值和“系統工具-流量統計”中的“數據包統計時間間隔”是同一個,改哪裡都可以。
DOS攻擊防范:只有開啟了這項設置,下邊的幾種具體防范措施才能被勾選。
開啟ICMP-FLOOD攻擊過濾:PING命令發出的數據包就是ICMP信息流的一種,舊版本的系統在收到大量ICMP數據包時會導致系統癱瘓,傳說中的“死亡之PING”就屬這類攻擊。
ICMP-FLOOD數據包阈值:當ICMP數據包的發送速率大於這裡設置的值,將被認為是ICMP-FLOOD攻擊。
開啟UDP-FLOOD攻擊過濾:在OSI參考模型中,TCP和UDP是傳輸層的兩種協議,UDP協議的特點在於數據包的發送和接收不需要事先 建立連接,比如DNS服務就使用的UDP53端口對外提供服務(詳細信息請參考WINDOWS下常用的服務以及對應的端口一文)。
UDP-FLOOD數據包阈值:解釋同ICMP-FLOOD數據包阈值。
開啟TCP-SYN-FLOOD攻擊過濾:上邊說了UDP,再來說說TCP,SYN是進行TCP通訊時建立連接時的一種狀態,也就是傳說中的同步狀態,攻擊主機可以向受害主機發送大量的SYN請求,然而攻擊者並不完成同步,這樣受害者只會傻傻的等,很陰險的說。
TCP-SYN-FLOOD數據包阈值:意思同上邊兩條。
忽略來自WAN口的PING:一旦開啟此功能,則任何廣域網主機都無法PING通無線路由器的WAN口。
禁止來自LAN口的PING包通過路由器:這項功能是禁止局域網的主機發起對廣域網主機的PING操作。
設置完成,點擊保存。
DOS被禁主機列表
被認為是攻擊者的主機將自動添加到這張表中,換句話說,這裡的主機已經無法連接到廣域網,點擊刪除可以解除對主機的封鎖。
注意事項
必須開啟“系統工具-流量統計”中的流量統計功能,防DOS攻擊的設置才會生效