無線路由器配置高級安全設置

如果發起攻擊的主機源地址不止一個，則稱為DDOS(分布式拒絕服務攻擊)，受害主機的硬件配置夠檔次的話還能堅持個一時半會兒，如果是低端的配置，基本秒殺，我們可以配置無線路由器防止局域網的主機參與這種勾當，一旦發現，立即就地正法，攻擊主機將被禁止連接到網絡，下面我們就以TP-LINK(普聯)無線路由器為例演示如何配置高級安全設置來預防DOS攻擊。

　　配置高級安全設置

　　選擇菜單中的“安全設置-高級安全設置”：

　　數據包統計時間間隔：從字面意思就很好理解了，就是多長時間對通過無線路由器的數據流進行一次采樣分析，這裡的值和“系統工具-流量統計”中的“數據包統計時間間隔”是同一個，改哪裡都可以。

　　DOS攻擊防范：只有開啟了這項設置，下邊的幾種具體防范措施才能被勾選。

　　開啟ICMP-FLOOD攻擊過濾：PING命令發出的數據包就是ICMP信息流的一種，舊版本的系統在收到大量ICMP數據包時會導致系統癱瘓，傳說中的“死亡之PING”就屬這類攻擊。

　　ICMP-FLOOD數據包阈值：當ICMP數據包的發送速率大於這裡設置的值，將被認為是ICMP-FLOOD攻擊。

　　開啟UDP-FLOOD攻擊過濾：在OSI參考模型中，TCP和UDP是傳輸層的兩種協議，UDP協議的特點在於數據包的發送和接收不需要事先 建立連接，比如DNS服務就使用的UDP53端口對外提供服務(詳細信息請參考WINDOWS下常用的服務以及對應的端口一文)。

　　UDP-FLOOD數據包阈值：解釋同ICMP-FLOOD數據包阈值。

　　開啟TCP-SYN-FLOOD攻擊過濾：上邊說了UDP，再來說說TCP，SYN是進行TCP通訊時建立連接時的一種狀態，也就是傳說中的同步狀態，攻擊主機可以向受害主機發送大量的SYN請求，然而攻擊者並不完成同步，這樣受害者只會傻傻的等，很陰險的說。

　　TCP-SYN-FLOOD數據包阈值：意思同上邊兩條。

　　忽略來自WAN口的PING：一旦開啟此功能，則任何廣域網主機都無法PING通無線路由器的WAN口。

　　禁止來自LAN口的PING包通過路由器：這項功能是禁止局域網的主機發起對廣域網主機的PING操作。

　　設置完成，點擊保存。

　　DOS被禁主機列表

　　被認為是攻擊者的主機將自動添加到這張表中，換句話說，這裡的主機已經無法連接到廣域網，點擊刪除可以解除對主機的封鎖。

　　注意事項

　　必須開啟“系統工具-流量統計”中的流量統計功能，防DOS攻擊的設置才會生效