如何設置路由器上防止DDoS攻擊(如何防范路由器攻擊)

小編：魅力更新時間：2022-08-15 09:45

一、如何設置路由器上防止DDoS攻擊

1、使用 ip verfy unicast reverse-path 網絡接口命令這個功能檢查每一個經過路由器的數據包。

在路由器的CEF（Cisco Express Forwarding）表該數據包所到達網絡接口的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。

例如，路由器接收到一個源IP地址為1.2.3.4的數據包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數據包傳輸時所需的路由），則路由器會丟棄它。

單一地址反向傳輸路徑轉發（Unicast Reverse Path Forwarding）在ISP（局端）實現阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。

這能夠保護網絡和客戶免受來自互聯網其它地方的侵擾。

使用Unicast RPF需要打開路由器的"CEF swithing"或"CEF distributed switching"選項。

不需要將輸入接口配置為CEF交換（switching）。

只要該路由器打開了CEF功能，所有獨立的網絡接口都可以配置為其它交換（switching）模式。

RPF（反向傳輸路徑轉發）屬于在一個網絡接口或子接口上激活的輸入端功能，處理路由器接收的數據包。

在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF。

Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

2、使用訪問控制列表（ACL）過濾RFC 1918中列出的所有地址參考以下例子： interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 3、參照RFC 2267，使用訪問控制列表（ACL）過濾進出報文參考以下例子： {ISP中心} -- ISP端邊界路由器 -- 客戶端邊界路由器 -- {客戶端網絡} ISP端邊界路由器應該只接受源地址屬于客戶端網絡的通信，而客戶端網絡則應該只接受源地址未被客戶端網絡過濾的通信。

以下是ISP端邊界路由器的訪問控制列表（ACL）例子： access-list 190 permit ip {客戶端網絡} {客戶端網絡掩碼} any access-list 190 deny ip any any [log] interface {內部網絡接口} {網絡接口號} ip access-group 190 in 以下是客戶端邊界路由器的ACL例子： access-list 187 deny ip {客戶端網絡} {客戶端網絡掩碼} any access-list 187 permit ip any any access-list 188 permit ip {客戶端網絡} {客戶端網絡掩碼} any access-list 188 deny ip any any interface {外部網絡接口} {網絡接口號} ip access-group 187 in ip access-group 188 out 如果打開了CEF功能，通過使用單一地址反向路徑轉發（Unicast RPF），能夠充分地縮短訪問控制列表（ACL）的長度以提高路由器性能。

為了支持Unicast RPF，只需在路由器完全打開CEF；打開這個功能的網絡接口并不需要是CEF交換接口。

4、使用CAR（Control Access Rate）限制ICMP數據包流量速率參考以下例子： interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 請參閱IOS Essential Features 獲取更詳細資料。

二、如何避免無線路由器遭受ARP攻擊

隨著現在社會信息技術的飛速發展，如今企業網絡辦公化也正式步入了無線網的領域中。

構建無線網最大的好處就是組網無需布線，使用便捷，經濟。

所以對多數企業來說，無疑是組網方案的最佳選擇。

大量的無線路由器被用于企業中，使得針對無線網絡的故障診斷和安全保障變得與有線網絡一樣重要。

在企業無線網辦公中經常會出現一些使用手冊上未涉及到疑難和故障，有時難以應付，無法解決。

下面就無線網絡中由路由器引發的典型故障進行分析，并提供解決方案。

連接錯誤線路不通網絡線路不通有很多原因造成，但首先要檢查的是連接配置上有無錯誤。

在確保路由器電源正常的前提下首先查看寬帶接入端。

路由器上的指示燈可以說明寬帶線路接入端是否正常，由說明書上可以辨認哪一個亮燈為寬帶接入端及用戶端，觀察其燈閃亮狀態，連續閃爍為正常，不亮或長亮不閃爍為故障。

我們可以換一根寬帶膠線代替原來的線路進行連接。

如果故障依舊，請查看路由器的擺放位置與接收電腦的距離是否過遠或中間有大型障礙物阻隔。

這時請重新放置路由器，使無線路由器與接收電腦不要間隔太多障礙物，并使接收電腦在無線路由器的信號發射范圍之內即可。

無線網卡的檢查也必不可少，可以更換新的網卡并重新安裝驅動程序進行調試，再網卡中點擊“查看可用的無線連接”刷新“網絡列表”后設置網卡參數，并再“屬性”中查看有無數據發送和接收情況，排除故障。

當然路由器自身的硬件故障也是導致線路不通的直接原因，但這并不是我們所能解決的范圍，應及時聯系廠商進行維修或更換。

設置不當無法連接 “設置”可以分為計算機設置和路由器設置兩個方面。

計算機的設置相對簡單，點擊進入“網上鄰居”屬性，開啟“無線網絡連接”，然后設置“IP地址”“子網掩碼”及“網關”，只要使計算機的IP地址與無線路由器的IP地址在同一網段即可。

“網關”的設置可以參見網卡說明說中所述，一般情況下與路由器IP地址相同。

路由器的設置相對較為專業，復雜些。

首先在系統瀏覽器中輸入無線路由器IP地址，在彈出的登錄界面中輸入路由器的管理員登錄名及密碼即可進入設置界面。

此時需要檢查網絡服務商所給你的寬帶帳號及口令是否正確，如不正確，更正后嘗試連接，如果連接后仍無法打開頁面請點擊進入路由器中的“安全設置”選項，查看是否開啟“網絡防火墻”，“IP地址過濾”以及“MAC地址過濾”選項，并做更正和設置，排除無法開啟網絡的故障。

網絡攻擊導致聯網異常 ARP攻擊以及非法入侵未設防的無線局域網已經是現在導致聯網異常的典型案例了。

由于安全設置的疏忽以及后期安全防護的不足，導致少數具有惡意的黑客對企業的重要信息及保密數據造成了極大的危害。

ARP攻擊會造成網絡IP沖突，數據的丟失及溢出，更有甚者會導致網絡癱瘓。

這些現象對企業組網的威脅都是很大的。

首先進入“帶有網絡的安全模式”，在無線網卡屬性處更換電腦的IP地址，之后查看是否可以聯網。

另外購買安裝專業的殺毒軟件及網絡防火墻是比較捷徑的方法之一。

其次進入路由器“安全設置”選項進行高級設置。

現在的大部分無線路由器都具有WEP的密碼編碼功能，用最長128bit的密碼鍵對數據進行編碼，在無線路由器上進行通信，密碼鍵長度可以選擇40bit或128bit，利用MAC地址和預設的網絡ID來限制哪些無線網卡和接入點可以進入網絡，完全可以確保網絡安全，對于非法的接收這來說，截聽無線網的信號是非常困難的，從而可以有效的防范黑客的入侵破壞和非法用戶惡意的網絡攻擊。

最后要注意，在沒有特殊需要或不具有專業技能的情況下禁止開啟路由器中的“遠程WEB管理”，功能選項。

路由器部分功能失靈無法使用這個問題大多存在于一些老款的無線路由器中，當我們在配置路由器高級功能選項的時候，在反復確認連接無誤的情況下就是有部分功能無法開啟使用，這時你也許第一想到是否是硬件出了故障，其實不然。

首先我們要查看下路由器系統的版本，在查閱無線路由器說明書后，看該功能是否支持這個版本的路由器系統。

路由器的系統通常有許多版本，每個版本支持不同的功能。

如果你當前的軟件版本不支持這個功能，那就應該找到相應的軟件，先進行升級。

點擊進入無線路由器的“系統工具”選項，進入后選擇“軟件升級”，此時在對話界面中會顯示出當前的軟件版本和硬件版本，在彈出的對話框中輸入“文件名”(即系統升級的文件名)和“TFTP服務器IP”后點擊“升級”即可。

升級時要注意：選擇與當前硬件版本一致的軟件進行升級，在升級過程中千萬不要關閉路由器的電源，否則將導致路由器損壞而無法使用，在網絡穩定的情況下升級過程很短整個過程不會超過一分鐘。

當你發現路由器在升級完畢后重啟，請不要擔心這是正常的。

一般升級過后，路由器工作情況會更加穩定，并增加一些適用于此版本更多的新功能。