防火墻廣域網控制

上圖所示是防火墻的廣域網訪問控制,它提供了網頁訪問控制。我們可以從中設置源IP地址或MAC地址來確定黑名單。也就是說我們可以讓某些聯網的電腦不能訪問設置的受限網址。

路由器防火墻功能簡介

家用路由器巧用防火墻免攻擊

上圖中我們可以看到這款路由器可以過濾屏蔽的數據包類型,諸如一些即時聊天軟件、P2P軟件和一些網絡游戲。

說得簡單點,路由器防火墻實現的是包的過濾,他能偵測所有進出端口的數據包并加之檢測和過濾。這就是從根本上出發(fā),保障信息網絡的安全。

另外,路由器的防火墻能對一些常見的網絡攻擊進行防護,千萬不要小看這些攻擊,任何一個都有可能使你陷入斷網甚至更糟的局面。

防范攻擊方式

家用路由器巧用防火墻免攻擊

我們簡單介紹一下常見的網絡攻擊。

SYN Flood:我們叫做SYN泛洪。SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DdoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。換句話說,這個攻擊如果不加以防范的話會引起網絡設備宕機。

明白這種攻擊的基本原理,還是要從TCP連接建立的過程開始說起:大家都知道,TCP與UDP不同,它是基于連接的,也就是說:為了在服務端和客戶端之間傳送TCP數據,必須先建立一個虛擬電路,也就是TCP連接,建立TCP連接的標準過程是這樣的:

首先,請求端(客戶端)發(fā)送一個包含SYN標志的TCP報文,SYN即同步(Synchronize),同步報文會指明客戶端使用的端口以及TCP連接的初始序號;

第二步,服務器在收到客戶端的SYN報文后,將返回一個SYN+ACK的報文,表示客戶端的請求被接受,同時TCP序號被加一,ACK即確認(Acknowledgment)。

第三步,客戶端也返回一個確認報文ACK給服務器端,同樣TCP序列號被加一,到此一個TCP連接完成。以上的連接過程在TCP協議中被稱為三次握手(Three-way Handshake)。

問題就出在TCP連接的三次握手中,假設一個用戶向服務器發(fā)送了SYN報文后突然死機或掉線,那么服務器在發(fā)出SYN+ACK應答報文后是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下服務器端一般會重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接,這段時間的長度我們稱為SYN Timeout,一般來說這個時間是分鐘的數量級(大約為30秒-2分鐘);

一個用戶出現異常導致服務器的一個線程等待1分鐘并不是什么很大的問題,但如果有一個惡意的攻擊者大量模擬這種情況,服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源——數以萬計的半連接,即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存,何況還要不斷對這個列表中的IP進行SYN+ACK的重試。

實際上如果服務器的TCP/IP棧不夠強大,最后的結果往往是堆棧溢出崩潰——即使服務器端的系統足夠強大,服務器端

也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正??蛻舻慕嵌瓤磥?,服務器失去響應,這種情況我們稱作:服務器端受到了SYN Flood攻擊(SYN洪水攻擊)。

Smurf攻擊:Smurf攻擊是以最初發(fā)動這種攻擊的程序名“Smurf”來命名的。這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統,引起目標系統拒絕為正常系統進行服務。

Smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包,來淹沒受害主機,最終導致該網絡的所有主機都對此ICMP應答請求做出答復,導致網絡阻塞。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方崩潰。

ARP攻擊:ARP攻擊,是針對以太網地址解析協議(ARP)的一種攻擊技術。此種攻擊可讓攻擊者取得局域網上的數據封包甚至可篡改封包,且可讓網絡上特定計算機或所有計算機無法正常連接。

家用路由器巧用防火墻免攻擊

border

防火墻防范攻擊簡介

ARP攻擊簡介

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。

ARP攻擊主要是存在于局域網網絡中,局域網中若有一臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,并因此造成網內其它計算機的通信故障。這個一傳十,十傳百是最恐怖的。

ARP欺騙木馬的中毒現象表現為:使用局域網時會突然掉線,過一段時間后又會恢復正常。比如客戶端狀態(tài)頻頻變紅,用戶頻繁斷網,IE瀏覽器頻繁出錯,以及一些常用軟件出現故障等。如果局域網中是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啟機器或在MS-DOS窗口下運行命令arp -d后,又可恢復上網。

以上就是幾個我們常見的網絡攻擊形式,不過好在這些攻擊路由器基本都能進行防范。所以千萬不要忽略了你的路由器這些功能,物盡其用才是最好的選擇。

分享到

zhangcun

相關推薦