目前只要是使用網(wǎng)絡(luò)的人都知道,現(xiàn)在網(wǎng)絡(luò)上各種攻擊和病毒越來越多,而作為網(wǎng)絡(luò)關(guān)口的路由器就承擔了重要的責任,需要預防各種病毒的攻擊,下面以網(wǎng)件路由器為例介紹路由器是如何防止這些網(wǎng)絡(luò)上的病毒和攻擊的。
一、目前最常見的攻擊手段為Smurf攻擊,它是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)的響應,攻擊的方法很多,但它們都具有一些共同的典型特征,使用欺騙的源地址、使用網(wǎng)絡(luò)協(xié)議的缺陷、使用操作系統(tǒng)或軟件的漏洞、在網(wǎng)絡(luò)上產(chǎn)生大量的無用數(shù)據(jù)包消耗服務(wù)資源等。
二、Smurf攻擊是根據(jù)它的攻擊程序命名的,是一種ICMP echo flooding攻擊,在這樣的攻擊中,ping包中包含的欺騙源地址指向的主機是最終的受害者,也是主要的受害者,而路由器連接的廣播網(wǎng)段成為了攻擊的幫兇,類似一個放大器,使網(wǎng)絡(luò)流量迅速增大,也是受害者。
三、根據(jù)Smurf攻擊的特征,可以從兩個方面入手來防御Smurf的攻擊,一是防止自己的網(wǎng)絡(luò)成為攻擊的幫兇即第一受害者,二是從最終受害者的角度來防御Smurf攻擊。
Smurf要利用一個網(wǎng)絡(luò)作為流量放大器,該網(wǎng)絡(luò)必定具備以下特征:
(1)路由器允許有IP源地址欺騙的數(shù)據(jù)包通過;
(2)路由器將定向廣播(發(fā)送到廣播地址的數(shù)據(jù)包)轉(zhuǎn)換成為第二層的廣播并向連接網(wǎng)段廣播;
(3)廣播網(wǎng)絡(luò)上的主機允許對ping廣播作出回應;
(4)路由器對主機回應的ping數(shù)據(jù)流量未做限制。
所以,可以根據(jù)以上幾點來重新規(guī)劃網(wǎng)絡(luò),以使本地的網(wǎng)絡(luò)不具備會成為流量放大器的條件就可以了,這樣可以大大降低被攻擊的可能性。