路由器攻击防护功能怎么设置

2024年1月14日发(作者：)

路由器攻击防护功能怎么设置

篇一：路由器安全防护知识

路由器安全防护知识

前不久爆出的“测测路由是否安全”这个话题，据称腾达路由器爆出存储型脚本漏洞，该漏洞被攻击用户将面临隐私信息泄露、钓鱼诈骗网站弹窗、各类网络帐号被盗或移动设备感染病毒等风险。由此引发了人们对于无线路由器安全的重视。

当前，互联网领域充斥着各种不安全因素，对于广大用户来说，抵御来自网络的威胁究竟应该怎么做?仅仅升级电脑杀毒软件是远远不够的，因为在家庭网络当中，电脑仅仅是网络设备的其中一员，包括手机、平板电脑、智能电视等其他用网设备同样面临着网络威胁。殊不知，真正威胁网络安全的，恰恰是最容易被人忽略的路由器。 漏洞+后门

路由器是家庭网络连接互联网的枢纽，一旦路由器被攻击，则意味着所有连接路由器上的网络设备存在着严重安全隐患。根据《2014年第一期中国家用路由器安全报告》显示，国内家用路由器保有量约1亿台左右，其中受漏洞及后门影响的数量触目惊心，仅在可识别型号/固件版本的4014万台路由器中，90.2%的路由器存在CSRF漏洞;另外，后门问题也依然严重，以TP-LINK为例，约9款已曝出存在后门的路由器型号，在此次抽样数据中覆盖了超过99万台TP-LINK路由器，占所有被检测的TP-LINK路由器的5.2%。

CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。存在CSRF漏洞的路由器容易遭到CSRF攻击。所谓CSRF攻击，是指当用户访问经过特殊构造的恶意网站(A)时，恶意网站会通过浏览器发送访问路由器管理页面(B)的请求。如果路由器不能识别并阻止这种异常的访问请求，即路由器存在CSRF漏洞时，那么恶意网站(A)就有可能通过CSRF攻击登录到路由器的管理页面(B)，并进而篡改路由器的基本设置。

至于路由器后门则是一些研发人员为了调试方便等特殊目的，会在软件中保留某些不为外人所知的“捷径”。如果这些“捷径”在最终产品发布时没有被关闭，就会成为后门。通过后门，攻击者可以绕过软件的安全机制直接获得控制权限。与CSRF攻击不同的是，针对路由器的后门攻击一般都是单点攻击，相比于

CSRF漏洞，后门的危害范围要小很多。

弱密码

进入路由器的管理界面也需要一组用户名密码，而路由器在推向市场的时候，一般这个管理密码很少有人更改，从2013年第三季度的数据统计来看，将近98.6%的用户没有更改过管理密码，使路由器处于弱密码状态;而到了今年第二季度，随着网络安全教育的普及及用户的重视，这一数字有明显改善，但是依然还有24.3%的用户处于弱密码状态。弱密码一般包括admin、ROOT、password、123456等。

需要特别说明的是，对于弱密码用户来说，如果同时存在CSRF

漏洞，那么这款路由无疑属于“高危路由器”。因为黑客在利用CSRF漏洞的时候需要掌握路由管理密码，成功登陆路由后方可实施后续篡改。目前，国内近1亿台家用路由器中，约有2430万台路由器的管理员帐号使用了弱密码，约1480万台路由器为高危路由器(弱密码+CSRF漏洞)，约75万台路由器的DNS设置已经被劫持或篡改。

DNS劫持简单的讲是用户需要去A网站，但是路由器会指向另一个B网站，虽然看起来一样，但是毕竟是不一样的两个网站，黑客通过B网站获取用户的隐私信息，比如银行账户密码，或者通过篡改DNS向用户推送色情网页和游戏广告，阻止安全软件的升级和云查询服务，在电脑无法获得联网安全服务的状态下进行其他危险操作。

远程WEB管理同样存在风险，虽然其可以让用户通过互联网对自己的路由器进行远程管理，但是如果黑客一旦获取了路由器的管理员帐号和密码，就可以利用该功能登录路由器并实施篡改。据统计，目前国内开启了远程Web管理功能的路由器约占路由器总量的0.10%，以全国共有近一亿台家用路由器计算，国内开启了远程Web管理功能的家用路由器数量约为10万台。

篇二：DDOS防护功能设置

DDOS防护功能设置

DDOS防护功能是服务器安全狗中一个非常重要的功能，提醒用户要做好安全设置工作。下面我们一起来看看，DDOS防护功能如

何设置，才能达到最佳的防护效果。

说明：这次我们使用2台服务器进行测试，IP分别是192.168.73.128和192.168.73.129（这里我们用虚拟机进行模拟）。由192.168.73.129对另外一台发起SYN Flood攻击。 Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。其中192.168.73.128装了服务器安全狗。过程这里就不做说明了，我们可以从服务器安全狗的防护日志上看到攻击的信息。

当攻击开始的时候，我们可以看到屏幕右下脚的服务器安全狗标志在闪红预警，这说明你的服务器正在遭受攻击。这时候你就可以到服务器安全狗的防护日志里查看日志，如下图：

这说明，我们的服务器安全狗已经起作用了，拦截了对方的DDOS攻击。而起拦截作用的就是服务器安全狗网络防火墙模块中的DDOS防火墙。接下来我们来进行详细的了解下DDOS攻击防护能力及其设置：

用户可以通过单击操作界面右上方的“已开启”/“已关闭”按钮来开启/关闭DDOS防火墙功能。建议用户安装完服务器安全狗之后，立即开启DDOS防火墙。只有DDOS防火墙开启，才能实现防御DDOS攻击的功能。

参数设置：DDOS防火墙各项参数，全部是针对单个IP的设置。

所有参数都是根据实验测试得出的最佳值，所以一般情况下建议用户直接使用系统默认设置。同时，在使用过程中，用户也可以根据实际攻击情况随时修改各项参数值，如图所示：

在这里我们来详细介绍下这些参数。

“IP冻结时间”用以设置被安全狗判断为攻击的IP将会被禁止访问的时间长度，时间单位为分钟，取值需为大于1的整数，用户可以视攻击情况修改限制访问的时间长度，如下图所示：

“SYN攻击”设置单位时间内单个IP的TCP连接请求响应次数，此功能用于SYN攻击防护，时间单位为秒钟，取值需为大于1的整数，一般使用默认的参数500，如果攻击情况比较严重，可以适当调低连接请求参数，那什么是TCP呢？这个就要涉及到TCP/IP协议了。

TCP/IP(Transmission Control Protocol/Internet Protocol) 即传输控制协议/网间协议,是一个工业标准的协议集,它是为广域网(WAN)设计的。

那什么又是TCP连接请求呢？具体大家可以 到网络上找到大量的比较正式的解释，这里我们先稍微介绍下。举个例子，比如你要去朋友家玩，这个朋友是新认识的，所以你不知道他家地址，那你就需要问他家的地址，然后你找个时间去找他。这里“TCP连接”代表“你和朋友面对面接触并商量好”的这个过程，而“朋友给你的地址”就代表了IP地址。那就如我们设置的10秒响应TCP连接请求数500，就代表了你10秒内要向这个朋友问他的地

址500次（当然这个只是比喻现实不太可能实现），这样就造成了很大的负载，导致计算机可能负载很大就无法正常运行了。比喻可能比较通俗也不是非常的准确，但最少可以让大家知道是这么个意思。具体设置如下图：

扫描攻击指的是通过一些软件对服务器的端口或者漏洞进行扫描然后入侵计算机。“扫描攻击”主要是设置单位时间内的服务器请求响应次数，时间单位为秒钟，取值需为大于1的整数，一般使用默认的参数500，如果攻击情况比较严重，可以适当调低响应请求次数。 “流量攻击”设置单位时间内服务器最多接收单个IP发送的TCP/UDP包次数，时间单位为秒钟，取值需为大于1的整数，一般使用默认的参数500，如果攻击情况比较严重，可以适当调低响应请求次数，这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙；带宽攻击的普遍形式是大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地，我们通过安全狗设置当这些数据包达到一定数的时候进行防御。

当全部都设置完成之后，点击“保存”，这样就完成了设置。具体如下图：

DDOS攻击防护很重要，用户朋友们一定要认真设置，以达到最佳的防护效果。

篇三：路由器防御DOS攻击的新方法

DoS (Denial of Service)攻击就是利用合理的服务请求来占用过多

的服务资源，从而使合法用户无法得到服务的响应。

dos攻击的方法很多，但它们都具有一些共同的典型特征，例如：使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据包消耗服务资源等。因此，要防御dos攻击，就必须从这些攻击的特征入手，分析其特征，制定合适的策略和方法。

Smurf攻击的特征描述

Smurf攻击是根据它的攻击程序命名的，是一种ICMP echo

flooding攻击。

在这样的攻击中，ping包中包含的欺骗源地址指向的主机是最终的受害者，也是主要的受害者;而路由器连接的广播网段成为了攻击的帮凶(类似一个放大器，使网络流量迅速增大)，也是受害者。

防御Smurf攻击的方法

根据Smurf攻击的特征，可以从两个方面入手来防御Smurf的攻击：一是防止自己的网络成为攻击的帮凶即第一受害者 ;二是从最终受害者的角度来防御Smurf攻击。下面就从这两个方面来讨论防御的的测路和方法。

一、拒绝成为攻击的帮凶

Smurf要利用一个网络作为流量放大器，该网络必定具备以下特征：

1、路由器允许有IP源地址欺骗的数据包通过 ;

2、路由器将定向广播(发送到广播地址的数据包)转换成为第二

层(MAC层)的广播并向连接网段广播 ;

3、广播网络上的主机允许对ping广播作出回应 ;

4、路由器对主机回应的ping数据流量未做限制 ;

所以，可以根据以上四点来重新规划网络，以使自己的网络不具备会成为流量放大器的条件 。

防止IP源地址欺骗

IP源地址欺骗可以应用在多种不同的攻击方式中，例如：TCP

SYN flooding、UDP flooding、ICMP flooding等。

伪造的源地址可以是不存在(不允许在公网上发布)的地址，或者是最终攻击目标的地址。

在UDP flooding中，攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口，导致changen端口产生大量的随机字符到echo端口，而echo端口又将接收到的字符返回，最后导致两个系统都因耗尽资源而崩溃。

注意：为了防御UDP flooding，我们必须防止路由器的诊断端口或服务向管理域之外的区域开放，如果不需要使用这些端口或者服务，应该将其关闭。

防止IP源地址欺骗的最有效方法就是验证源地址的真实性，在Cisco路由器上，我们可以采用下列两种方法：

a、在网络边界实施对IP源地址欺骗的过滤

阻止IP源地址欺骗的一个最简单有效的方法是通过在边界路由器使用向内的访问列表，限制下游网络发进来的数据包确实是

在允许接受的地址范围，不在允许范围的数据将被删除。同时，为了追溯攻击者，可以使用log记录被删除的数据信息 。

b、使用反向地址发送

使用访问控制列表在下游入口处做ip限制，是基于下游ip地址段的确定性 。但在上游入口处，流入数据的ip地址范围有时是难于确定的。在无法确定过滤范围时，一个可行的方法是使用反向地址发送(Unicast Reverse Path Forwarding)。

反向地址发送是Cisco路由器的新版IOS提供的一项特性，简称uRPF。

uRPF的工作原理是：当路由器在一个接口上收到一个数据包时，它会查找CEF(Cisco Express Forward)表，验证是否存在从该接收接口到包中指定的源地址之间的路由，即反向查找路径，验证其真实性，如果不存在这样的路径就将数据包删除。

相比访问控制列表，uRPF具有很多优点，例如：耗费CPU资源少、可以适应路由器路由表的动态变化(因为CEF表会跟随路由表的动态变化而更新)，所以维护量更少，对路由器的性能影响较小。

uRPF是基于接口配置的，配置命令如下：

(config)# ip cef

(config-if)# ip verify unicast reverse-path

注意：uRPF的实施，CEF必须是全局打开，并在配置接口上也是启用的。

禁止定向广播

在Smurf攻击中，攻击者将ping数据包发向一个网络的广播地址，例如：192.168.1.255。

大多数情况下，路由器在接收到该广播包之后，默认会将这个第三层广播转换成第二层广播，即将192.168.1.255转换成为以太网的FF:FF:FF:FF:FF:FF 。而该广播网段上的所有以太网接口卡在接收到这个第二层广播之后，就会向主机系统发出中断请求，并对这个广播作出回应，从而消耗了主机资源，并且做出的回应可能造成对源地址所指目标的攻击。

所以，在绝大多数情况下，应该在边界路由器上禁止定向广播，使用以下接口命令禁止

(config)# no ip directed-broadcast

注：在绝大部分情况下，是不需要使用路由器的定向广播功能的，会使用定向广播的特例也有，例如，如果一台SMB或者NT服务器需要让一个远程的LAN能够看到自己，就必须向这个LAN发送定向广播，但对于这种应用可以通过使用WINS服务器解决。

禁止主机对ping广播作出反应

当前绝大部分的操作系统都可以通过特别的设置，使主机系统对于ICMP ECHO广播不做出回应。

通过阻止放大器网络上的主机对ICMP ECHO(ping)广播做出回应，可以阻止该广播网络成为攻击的帮凶。

限制icmp echo的流量

当大量的数据涌入一个接口的时候，即使使用了访问策略对ICMP包进行了删除，接口还是可能会因为忙于不断删除大量数据而导致接口不能提供正常服务。

与被动的删除数据相比，一个主动的方法是，在接口上设置承诺速率限制(committed access rate，简称CAR)，将特定数据的流量限制在一个范围之内，允许其适量的通过，同时保证了其它流量的正常通过。

例：使用CAR限制ICMP echo flooding

!建立访问列表，分类要过滤的数据

access-list 102 permit icmp any any echo

access-list 102 permit icmp any any echo-reply

!在接口上配置CAR，将ICMP echo流量

!限制在256k，允许突发8k

interface Serial3/0/0

rate-limit input access-group 102 256000 8000 8000

conform-action transmit exceed-action drop

二、受害者的策略

由Smurf攻击产生的攻击数据流量在经过了放大器网络放大之后，当到达最终攻击目标时，数据流量可能是非常巨大的。为了保护被攻击的系统免于崩溃，我们可以采取以下两种策略：

使用控制访问列表过滤数据

在最终攻击目标的网络边界路由器上使用访问控制列表，拒绝

将ping攻击数据包发往被攻击的主机。但这是一个粗努的方法，因为当你在路由器上完全限制了发往被攻击主机的ping数据包之后，其它希望正常通过的ping数据包也将无法通过。另外，在边界路由器上使用访问控制列表过滤ping数据之后，虽然可以保护路由器连接的内部网络免受攻击，但攻击的数据还是会大量涌入路由器，导致路由器接口的阻塞。

使用CAR限制速率

在最终攻击目标的网络边界路由器上使用CAR限制是一种更为可取的方法。通过CAR可以将流入网络的某一类数据包的总流量限制在一定的范围，从而可以保证其它数据的正常通过。

结论

本文讨论的基于路由器配置来防御dos攻击的方法在实际应用中有非常显著的效果。当前绝大部分的网络仍然使用路由器作为边界连接设备，所以本文阐述的方法具有普遍实施的意义。