路由器防攻击设置中级还是高级_网站防路由攻击

路由器攻击防护功能怎么设置

互联网的发展越来越快，网络也已经几乎普及到了我们每个家庭，路由器设备是我们最常使用来连接网络的工具，那么你知道路由器攻击防护功能怎么设置吗?下面是我整理的一些关于路由器攻击防护功能设置的相关资料，供你参考。

路由器攻击防护功能设置的 方法

在网络使用的过程中，往往会遇到各种各样的网络攻击，如：扫描类的攻击，DoS攻击等。

我司企业级路有器内置了目前常见的网络攻击防护 措施 ，支持内/外部攻击防范，提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效防止Nimda攻击等。(路由器只是对于网络中常见的攻击进行防护，对于网络的操作进行监控，而病毒，木马等这些处于应用层的应用，我司路由器并不是杀毒软件，并不是我在路由器上设置了防火墙或攻击防护等，您的计算机就不会中病毒)

在开启攻击防护时，必须开启路由器“防火墙总开关”，选中对应的“开启攻击防护”：

在菜单中的“安全设置”-“攻击防护”中，可以看到路由器针对各种网络攻击的防护及设置;

其中分别针对各种常见的网络攻击进行防护：正确设置各种防护的阈值，可以有效的对各种攻击进行防护。请根据您的网络环境进行相应的设置，一般可以使用路由器默认的值，或者可以自己进行设置。在设置的时候，阈值不要设置过小，会导致拦截过高，有可能把网络中正常的数据包误认为非法的数据包，使您的网络不能正常使用;阈值也不要设置过大，这样会起不到攻击防护的效果。

在区域的设置中，可以选择LAN和WAN，若选择LAN表示对来自局域网的数据包进行监控;而选择WAN表示对来自外网的数据包进行监控。

1、扫描类的攻击防护主要有三类：IP扫描，端口扫描，IP欺骗。

其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的第一个步骤，攻击者可以利用IP扫描和端口扫描来获取目标网络的主机信息和目标主机的端口开放情况，然后对某主机或者某主机的某端口发起攻击，对扫描进行预先的判断并保护可以有效的防止攻击。我司企业级路由器对扫描类攻击的判断依据是：设置一个时间阈值(微秒级)，若在规定的时间间隔内某种数据包的数量超过了10个，即认定为进行了一次扫描，在接下来的两秒时间里拒绝来自同一源的这种扫描数据包。阈值的设置一般建议尽可能的大，最大值为一秒，也就是1000000微妙，一般推荐0.5-1秒之间设置。(阈值越大，防火墙对扫描越“敏感”)

下面为路由器没有开启攻击防护下，使用端口扫描工具进行扫描的结果

开启了路由器的“攻击防护”

此时进行端口扫描的结果为

通过抓包分析，路由器检测到了有端口扫描攻击，进行了相应的攻击防护，扫描工具没有接收到前端计算机返回的信息，所以在端口扫描的时候，无法完成端口扫描。此时。路由器发送了一个系统日志给日志服务器，检测到有攻击的存在。

在开启了防火墙的攻击防护后，扫描软件扫描不正确。但路由器每次的扫描判断允许十个扫描数据包通过，因此有可能目的计算机开放的端口刚好在被允许的十个数据包之中，也能被扫描到，但这种几率是微乎其微的。

日志服务器上记录显示有端口扫描攻击

关于日志服务器的使用，请参考《日志服务器的安装与使用》，日志中很清晰的记录了内网电脑192.168.1.100有端口扫描的行为。

2、DoS类的攻击主要有：ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。

拒绝服务(DoS--Denial of Service)攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源，目标主机被迫全力处理虚假信息流，从而影响对正常信息流的处理。如果攻击来自多个源地址，则称为分布式拒绝服务DDoS。

企业级路由器对DoS类攻击的判断依据为：设置一个阈值(单位为每秒数据包个数PPS=Packet Per Second)，如果在规定的时间间隔内(1秒)，某种数据包超过了设置的阈值，即认定为发生了一次洪泛攻击，那么在接下来2秒的时间内，忽略掉下来自相同攻击源的这一类型数据包。

这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反，值越小越“敏感”，但一般也不能太小，正常的应用不能影响，我们可以根据自己的环境在实际的应用中动态调整。

下面为一个ICMP的例子，在路由器没有开启攻击防护的情况下，ping前端的计算机

使用发包工具，对前端的计算机进行1000pps的ping操作，通过抓包可以看到，前端的计算机都有回应。

而开启了路由器攻击防护的ICMP Flood攻击防护，设置阈值为100pps。

此时进行抓包分析

路由器检测到了有ICMP Flood攻击存在，发送了一个日志给日志服务器，在以后的ping请求中，都没有得到回应。有效地防止了ICMP Flood攻击。

日志服务器中，也可以查看到相应的攻击信息

3、可疑包类防护包括五类：大的ICMP包(大于1024字节)、没有Flag的TCP包、同时设置SYN和FIN的TCP包、仅设置 FIN 而没有设置ACK的TCP包、未知协议。

4、含有IP选项的包防护：在 Internet Protocol 协议(RFC 791)中，指定了一组选项以提供特殊路由控制、诊断工具和安全性。

它是在 IP 包头中的目的地址之后。协议认为这些选项“ 对最常用的通信是不必要的”。在实际使用中，它们也很少出现在 IP 包头中。这些选项经常被用于某些恶意用途。

IP选项包括。

选中一项IP选项的复选框，则检查;清除选项的选择，则取消检查。

一般情况下上面两部分的数据包是不会出现的，属于非正常的包，可能是病毒或者攻击者的试探，路由器在设置了相应的攻击防护的话会将对应的数据包丢弃。

本文主要介绍了企业级路由器的攻击防护的处理机制以及效果，通过举了几个例子进行详细地描述。例子中使用的参数只为测试使用，并不一定符合实际的使用环境，在具体的使用过程中，还需要根据您的实际网络使用环境进行调试，找到一个合理的阈值，才能有效的保护您的网络。

路由器攻击防护功能设置的相关 文章 ：

1. 路由器如何防止ARP病毒攻击

2. 路由器攻击如何防护

3. 怎样使用路由器防止DoS攻击

4. 路由器怎么防止被攻击

路由器上防DOS攻击中的设置，

1、连接好路由器，在网址栏输入192.168.1.1进入路由器的登录界面。

2、输入好登录名和密码。

3、进入路由器的管理页面后，点击右上角的高级设置。

4、 进入高级设置后就会看到“安全设置”。

5、 在安全设置里就会看到DOS攻击防范。开启DOS攻击防范，点击下方的保存按钮即可。

教你用路由器来防范网络中的恶意攻击

除了ADSL拨号上网外，小区宽带上网也是很普遍的上网方式。如果你采用的是小区宽带上网，是否觉得路由器仅仅就是个上网工具呢?其实不然，利用好你的路由器，还能够防范黑客的攻击呢。下面就让我们来实战一番。用路由器来防范网络中的恶意攻击

目的： 限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port。

前提： Router接内部网络的接口是Ethernet0/1，每一个命令之后按Enter执行，以Cisco路由为准。

步骤1  在开始菜单中选择运行，在弹出的对话框中输入“cmd”并回车，出现窗口后，在提示符下连接路由器，指令格式为“telnet路由器IP地址”。当屏幕上要求输入telnetpassword时(多数路由器显示的是“Login”字样)，输入密码并确认无误后，再输入指令enable，屏幕上显示要求输入enablepassword时输入密码。

提示：这两个密码一般由路由器生产厂商或者经销商提供，可以打电话查询。

步骤2  输入指令Router#configuretermihal即可进入路由器的配置模式，只有在该模式下才能对路由器进行设置。

步骤3  进入配置模式后，输入指令Router(config)#access-list101denytcpanyhost192.168.0.1eqtelnet，该指令的作用是设定访问列表(accesslist)，该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口(Port)23(telnet)的`任何请求。

步骤4  输入Router(config)#aecess-list101denytcpanyhost192.168.0.1eqwww指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。

步骤5  最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问，这需要输入指令Router(config)#accesslist101denytcpanyhost192.168.0.1eq3128来完成。

步骤6  到此，已经设置好我们预期的访问列表了，但是，为了让其他的所有IP能够顺利访问，我们还需要输入Router(config)#aceess-list101permitipanyany来允许其他访问请求。

但是，为了让路由器能够执行我们所做的访问列表，我们还需要把这个列表加入到接口检查程序，具体操作如下。

输入指令Router(config)#interfaceeO/1进入接口(interface)ethernet0/1，然后键入指令Router(config-if)#ipaccess-group101out将访问列表实行于此接口上。这样一来，任何要离开接口的TCP封包，均须经过此访问列表规则的检查，即来自任何地方对IP地址为192.168.0.1的主机，端口(port)属于telnet(23)，www(80)，3128的访问一律拒绝通过。最后，输入指令write将设定写入启动配置，就大功告成了。

这样一来，你的主机就安全多了，虽然只是禁止了几个常用端口，但是能把不少搞恶作剧的人拒之门外。另外，如果看见有什么端口可能会遭到攻击或者有漏洞了，你也可以通过上面的方法来将漏洞堵住。

如何避免路由器攻击九大方法

也就是说任何人都可以在其局域网上使用且仅能用于内部的IP地址。这些特定的IP地址是不允许用在公网上的。但在将路由器用于互联网上的通信时，它还使用另外一个不同的IP地址，即公网IP地址。路由器的管理员无法控制公网IP地址，它是由把路由器连接到互联网的ISP提供的。 这样一来，除非做到公网IP仅能被互联网上的计算机找到，而私有IP地址仅能被局域网上的计算机看到，这样才能够筑起一道屏障，否则黑客们便可能登录进路由器，进而危及到整个局域网的设备。 就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。 2. 修改默认口令：据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。3. 禁用HTTP设置和SNMP(简单网络管理协议)： 你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是，这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP，那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。 4. 封锁ICMP(互联网控制消息协议)ping请求： ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。 5. 禁用来自互联网的telnet命令： 在大多数情况下，你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。 6. 禁用IP定向广播： IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。 7. 禁用IP路由和IP重新定向： 重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。8. 包过滤： 包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外，你可以封锁和允许IP地址和范围。9. 禁用不必要的服务： 无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务，如echo(回波)， chargen(字符发生器协议)和discard(抛弃协议)。这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。

如何设置路由器上防止DDoS攻击？

1、使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。 单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。 在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。 2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址 参考以下例子： interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文 参考以下例子： {ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络} ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子： access-list 190 permit ip {客户端网络} {客户端网络掩码} any access-list 190 deny ip any any [log] interface {内部网络接口} {网络接口号} ip access-group 190 in 以下是客户端边界路由器的ACL例子： access-list 187 deny ip {客户端网络} {客户端网络掩码} any access-list 187 permit ip any any access-list 188 permit ip {客户端网络} {客户端网络掩码} any access-list 188 deny ip any any interface {外部网络接口} {网络接口号} ip access-group 187 in ip access-group 188 out 如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的网络接口并不需要是CEF交换接口。 4、使用CAR（Control Access Rate）限制ICMP数据包流量速率 参考以下例子： interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 请参阅IOS Essential Features 获取更详细资料。

路由器如何设置可以防止局域网内的ARP攻击？

给无线路由加密码，数字和字母组合的。纯数字很容易被破解 。路由器里设置静态IP/MAC绑定：打开路由器→DHCP服务器→静态地址分配→把每个人的IP地址和对应的MAC物理地址填上去→保存然后重启路由。

在右页面可以看见一些基本参数：SSID号可以填入自己喜欢的名字也可不作修改，修改目的是便于在无线设备设置时与别人的无线路由器进行区分频段，在周围有多个无线路由器时修改（一般相对于别人路由频段＋－3进行设置，不建议使用13频段，因为部分带wifi功能的手机或PDA无法识别该频段）。

确定开启无线功能；开启安全设置已打钩（允许SSID广播，建议初级用户打勾，防止自己忘记路由器SSID号，造成不必要的麻烦），进行密码设置；

一般家用网络安全类型选择"WEP"，安全选项选择“自动选择”；

密钥格式选择：“ASCII码”（16进制较麻烦，很难记住密码）；

在密匙1后面的密钥类型选择一个相应值（建议128位）；

在密匙内容对应的框中填入自己的密码，注意字符个数不能多也不能少。选择64位密钥需输入16进制数字符10个，或者ASCII码字符5个。选择128位密钥需输入16进制数字符26个，或者ASCII码字符13个。选择152位密钥需输入16进制数字符32个，或者ASCII码字符16个。

确定以上设置步骤完成按“保存”按钮，无线路由器部分设置到此结束。