一、低端路由器提供了用于阻止和允許特定IP 地址和端口號的基本防火墻功能，并使用NAT 來隱藏內(nèi)部IP 地址，它們通常將防火墻功能提供為標(biāo)準(zhǔn)的、為阻止來自Internet 的入侵進(jìn)行了優(yōu)化的功能，雖然不需要配置，但是對它們進(jìn)行進(jìn)一步配置可進(jìn)一步優(yōu)化它們的性能。
二、高端路由器可配置為通過阻止較為明顯的入侵以及通過使用ACL 實(shí)現(xiàn)其他IP 地址和端口限制，來加強(qiáng)訪問權(quán)限。也可提供其他的防火墻功能，這些功能在某些路由器中提供了靜態(tài)數(shù)據(jù)包篩選。在高端路由器中，以較低的成本提供了與硬件防火墻設(shè)備相似的防火墻功能，但是吞吐量較低。
三、路由器可以過濾屏蔽的數(shù)據(jù)包類型，諸如一些即時(shí)聊天軟件、P2P軟件和一些網(wǎng)絡(luò)游戲，說得簡單點(diǎn)，路由器防火墻實(shí)現(xiàn)的是包的過濾，他能偵測所有進(jìn)出端口的數(shù)據(jù)包并加之檢測和過濾。這就是從根本上出發(fā)，保障信息網(wǎng)絡(luò)的安全，路由器的防火墻能對一些常見的網(wǎng)絡(luò)攻擊進(jìn)行防護(hù)，千萬不要小看這些攻擊，任何一個(gè)都有可能使你陷入斷網(wǎng)甚至更糟的局面。
四、下面我們簡單介紹一下常見的網(wǎng)絡(luò)攻擊手段，讓大家心中有數(shù)。
1、SYN Flood：我們叫做SYN泛洪。SYN Flood是當(dāng)前最流行的DoS與DdoS的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡的攻擊方式。換句話說，這個(gè)攻擊如果不加以防范的話會引起網(wǎng)絡(luò)設(shè)備死機(jī)。
（1）TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個(gè)虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：首先，請求端發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN即同步，同步報(bào)文會指明客戶端使用的端口以及TCP連接的初始序號，服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請求被接受，同時(shí)TCP序號被加一，ACK即確認(rèn)，客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個(gè)TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手。
（2）假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的，這種情況下服務(wù)器端一般會重試并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長度我們稱為SYN Timeout，如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源，即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求。
2、Smurf攻擊：Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命名的，這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)，Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求數(shù)據(jù)包，來淹沒受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。
3、ARP攻擊：ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連接。
（1）ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。
（2）ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過ARP欺騙手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。
以上就是幾個(gè)我們常見的網(wǎng)絡(luò)攻擊形式，不過好在這些攻擊路由器基本都能進(jìn)行防范，所以千萬不要忽略了你的路由器的防火墻功能，更多關(guān)于防火墻功能介紹，有興趣的網(wǎng)友可以查看華為路由器設(shè)置。

最新評論