安全支招 家用路由器巧用防火牆免攻擊

安全支招 家用路由器巧用防火牆免攻擊

　　基於此環境下，家用路由器廠商在設計產品時愈發注重這點。於是，基帶防火牆功能的路由器大量上市，滿足了用戶的需求。 .

　　對於廣大用戶來說，對於防火牆的了解只局限於計算機軟件，有的甚至不知道自己使用的路由器還有防火牆功能，這就造成了路由器功能的浪費。在效用上而言，路由器的防火牆功能一點也不比計算機系統使用的防火牆要差。下面我們就來簡單講講路由器防火牆的功用。 .

　　路由器通常支持一個或者多個防火牆功能;它們可被劃分為用於 Internet 連接的低端設備和傳統的高端路由器。低端路由器提供了用於阻止和允許特定 IP 地址和端口號的基本防火牆功能，並使用 NAT 來隱藏內部 IP 地址。它們通常將防火牆功能提供為標准的、為阻止來自Internet 的入侵進行了優化的功能;雖然不需要配置，但是對它們進行進一步配置可進一步優化它們的性能。 .

　　高端路由器可配置為通過阻止較為明顯的入侵(如 ping)以及通過使用 ACL 實現其他 IP 地址和端口限制，來加強訪問權限。也可提供其他的防火牆功能，這些功能在某些路由器中提供了靜態數據包篩選。在高端路由器中，以較低的成本提供了與硬件防火牆設備相似的防火牆功能，但是吞吐量較低。 .

　　我們手頭有一個totolink的路由器，我們來看一下它的防火牆提供什麼功能。

.

　　路由器防火牆功能簡介 .

　　防火牆廣域網控制 .

　　防火牆的廣域網訪問控制，它提供了網頁訪問控制。我們可以從中設置源IP地址或MAC地址來確定黑名單。也就是說我們可以讓某些聯網的電腦不能訪問設置的受限網址。

.

　　路由器防火牆功能簡介

.

　　說得簡單點，路由器防火牆實現的是包的過濾，他能偵測所有進出端口的數據包並加之檢測和過濾。這就是從根本上出發，保障信息網絡的安全。 .

　　另外，路由器的防火牆能對一些常見的網絡攻擊進行防護，千萬不要小看這些攻擊，任何一個都有可能使你陷入斷網甚至更糟的局面。 .

　　防范攻擊方式

.

　　我們簡單介紹一下常見的網絡攻擊。 .

　　SYN Flood：我們叫做SYN泛洪。SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DdoS(分布式拒絕服務攻擊)的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。換句話說，這個攻擊如果不加以防范的話會引起網絡設備宕機。 .

　　明白這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：大家都知道，TCP與UDP不同，它是基於連接的，也就是說：為了在服務端和客戶端之間傳送TCP數據，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標准過程是這樣的：

.

　　首先，請求端(客戶端)發送一個包含SYN標志的TCP報文，SYN即同步(Synchronize)，同步報文會指明客戶端使用的端口以及TCP連接的初始序號; .

　　第二步，服務器在收到客戶端的SYN報文後，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認(Acknowledgment)。 .

　　第三步，客戶端也返回一個確認報文ACK給服務器端，同樣TCP序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協議中被稱為三次握手(Three-way Handshake)。 .

　　問題就出在TCP連接的三次握手中，假設一個用戶向服務器發送了SYN報文後突然死機或掉線，那麼服務器在發出SYN+ACK應答報文後是無法收到客戶端的ACK報文的(第三次握手無法完成)，這種情況下服務器端一般會重試(再次發送SYN+ACK給客戶端)並等待一段時間後丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數量級(大約為30秒-2分鐘); .

　　一個用戶出現異常導致服務器的一個線程等待1分鐘並不是什麼很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源——數以萬計的半連接，即使是簡單的保存並遍歷也會消耗非常多的CPU時間和內存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。 .

　　實際上如果服務器的TCP/IP棧不夠強大，最後的結果往往是堆棧溢出崩潰——即使服務器端的系統足夠強大，服務器端 .

　　也將忙於處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小)，此時從正常客戶的角度看來，服務器失去響應，這種情況我們稱作：服務器端受到了SYN Flood攻擊(SYN洪水攻擊)。

.

　　Smurf攻擊：Smurf攻擊是以最初發動這種攻擊的程序名“Smurf”來命名的。這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統，引起目標系統拒絕為正常系統進行服務。 .

　　Smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包，來淹沒受害主機，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。 .

　　ARP攻擊：ARP攻擊，是針對以太網地址解析協議(ARP)的一種攻擊技術。此種攻擊可讓攻擊者取得局域網上的數據封包甚至可篡改封包，且可讓網絡上特定計算機或所有計算機無法正常連接。 .

　　border .

　　防火牆防范攻擊簡介 .

　　ARP攻擊簡介

.

　　ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。 .

　　ARP攻擊主要是存在於局域網網絡中，局域網中若有一台計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，並因此造成網內其它計算機的通信故障。這個一傳十，十傳百是最恐怖的。 .

　　ARP欺騙木馬的中毒現象表現為：使用局域網時會突然掉線，過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE浏覽器頻繁出錯，以及一些常用軟件出現故障等。如果局域網中是通過身份認證上網的，會突然出現可認證，但不能上網的現象(無法ping通網關)，重啟機器或在MS-DOS窗口下運行命令arp -d後，又可恢復上網。

.

　　以上就是幾個我們常見的網絡攻擊形式，不過好在這些攻擊路由器基本都能進行防范。所以千萬不要忽略了你的路由器這些功能，物盡其用才是最好的選擇。 .

.

.

相關文章 關鍵詞：路由器,防火牆

責任編輯：邵勝子

.

.