【IT168 技术】随着网络信息安全的需求度提高,个人信息与网络安全逐渐被提上了台面。人们越来越意识到保障信息安全与不受网络入侵的重要性。基于此环境下,家用路由器厂商在设计产品时愈发注重这点。于是,基带防火墙功能的路由器大量上市,满足了用户的需求。
对于广大用户来说,对于防火墙的了解只局限于计算机软件,有的甚至不知道自己使用的路由器还有防火墙功能,这就造成了路由器功能的浪费。在效用上而言,路由器的防火墙功能一点也不比计算机系统使用的防火墙要差。下面我们就来简单讲讲路由器防火墙的功用。
路由器通常支持一个或者多个防火墙功能;它们可被划分为用于 Internet 连接的低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定 IP 地址和端口号的基本防火墙功能,并使用 NAT 来隐藏内部 IP 地址。它们通常将防火墙功能提供为标准的、为阻止来自Internet 的入侵进行了优化的功能;虽然不需要配置,但是对它们进行进一步配置可进一步优化它们的性能。
高端路由器可配置为通过阻止较为明显的入侵(如 ping)以及通过使用 ACL 实现其他 IP 地址和端口限制,来加强访问权限。也可提供其他的防火墙功能,这些功能在某些路由器中提供了静态数据包筛选。在高端路由器中,以较低的成本提供了与硬件防火墙设备相似的防火墙功能,但是吞吐量较低。
我们手头有一个totolink的路由器,我们来看一下它的防火墙提供什么功能。
防火墙广域网控制
上图所示是防火墙的广域网访问控制,它提供了网页访问控制。我们可以从中设置源IP地址或MAC地址来确定黑名单。也就是说我们可以让某些联网的电脑不能访问设置的受限网址。
上图中我们可以看到这款路由器可以过滤屏蔽的数据包类型,诸如一些即时聊天软件、P2P软件和一些网络游戏。
说得简单点,路由器防火墙实现的是包的过滤,他能侦测所有进出端口的数据包并加之检测和过滤。这就是从根本上出发,保障信息网络的安全。
另外,路由器的防火墙能对一些常见的网络攻击进行防护,千万不要小看这些攻击,任何一个都有可能使你陷入断网甚至更糟的局面。
防范攻击方式
我们简单介绍一下常见的网络攻击。
SYN Flood:我们叫做SYN泛洪。SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。换句话说,这个攻击如果不加以防范的话会引起网络设备宕机。
明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment)。第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。
问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端
也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
Smurf攻击:Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
ARP攻击:ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
ARP攻击简介
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。这个一传十,十传百是最恐怖的。
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
以上就是几个我们常见的网络攻击形式,不过好在这些攻击路由器基本都能进行防范。所以千万不要忽略了你的路由器这些功能,物尽其用才是最好的选择。