▲

防火墻廣域網(wǎng)控制

上圖所示是防火墻的廣域網(wǎng)訪問控制，它提供了網(wǎng)頁訪問控制。我們可以從中設(shè)置源IP地址或MAC地址來確定黑名單。也就是說我們可以讓某些聯(lián)網(wǎng)的電腦不能訪問設(shè)置的受限網(wǎng)址。

路由器防火墻功能簡介

▲

上圖中我們可以看到這款路由器可以過濾屏蔽的數(shù)據(jù)包類型，諸如一些即時(shí)聊天軟件、P2P軟件和一些網(wǎng)絡(luò)游戲。

說得簡單點(diǎn)，路由器防火墻實(shí)現(xiàn)的是包的過濾，他能偵測所有進(jìn)出端口的數(shù)據(jù)包并加之檢測和過濾。這就是從根本上出發(fā)，保障信息網(wǎng)絡(luò)的安全。

另外，路由器的防火墻能對一些常見的網(wǎng)絡(luò)攻擊進(jìn)行防護(hù)，千萬不要小看這些攻擊，任何一個(gè)都有可能使你陷入斷網(wǎng)甚至更糟的局面。

防范攻擊方式

▲

我們簡單介紹一下常見的網(wǎng)絡(luò)攻擊。

SYN Flood：我們叫做SYN泛洪。SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DdoS(分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。換句話說，這個(gè)攻擊如果不加以防范的話會(huì)引起網(wǎng)絡(luò)設(shè)備宕機(jī)。

明白這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：大家都知道，TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個(gè)虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：

首先，請求端(客戶端)發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN即同步(Synchronize)，同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號;

第二步，服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請求被接受，同時(shí)TCP序號被加一，ACK即確認(rèn)(Acknowledgment)。

第三步，客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個(gè)TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手(Three-way Handshake)。

問題就出在TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的(第三次握手無法完成)，這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長度我們稱為SYN Timeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(大約為30秒-2分鐘);

一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源——數(shù)以萬計(jì)的半連接，即使是簡單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。

實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰——即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端

也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小)，此時(shí)從正?？蛻舻慕嵌瓤磥恚?wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。

Smurf攻擊：Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“Smurf”來命名的。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。

Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包，來淹沒受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

ARP攻擊：ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議(ARP)的一種攻擊技術(shù)。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連接。

▲

border

防火墻防范攻擊簡介

ARP攻擊簡介

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。這個(gè)一傳十，十傳百是最恐怖的。

ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象(無法ping通網(wǎng)關(guān))，重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后，又可恢復(fù)上網(wǎng)。

以上就是幾個(gè)我們常見的網(wǎng)絡(luò)攻擊形式，不過好在這些攻擊路由器基本都能進(jìn)行防范。所以千萬不要忽略了你的路由器這些功能，物盡其用才是最好的選擇。

zhangcun