隨著網(wǎng)絡(luò)信息安全的需求度提高,個人信息與網(wǎng)絡(luò)安全逐漸被提上了臺面。人們越來越意識到保障信息安全與不受網(wǎng)絡(luò)入侵的重要性?;诖谁h(huán)境下,家用路由器廠商在設(shè)計產(chǎn)品時愈發(fā)注重這點(diǎn)。于是,基帶防火墻功能的路由器大量上市,滿足了用戶的需求。
對于廣大用戶來說,對于防火墻的了解只局限于計算機(jī)軟件,有的甚至不知道自己使用的路由器還有防火墻功能,這就造成了路由器功能的浪費(fèi)。在效用上而言,路由器的防火墻功能一點(diǎn)也不比計算機(jī)系統(tǒng)使用的防火墻要差。下面我們就來簡單講講路由器防火墻的功用。
路由器通常支持一個或者多個防火墻功能;它們可被劃分為用于 Internet 連接的低端設(shè)備和傳統(tǒng)的高端路由器。低端路由器提供了用于阻止和允許特定 IP 地址和端口號的基本防火墻功能,并使用 NAT 來隱藏內(nèi)部 IP 地址。它們通常將防火墻功能提供為標(biāo)準(zhǔn)的、為阻止來自Internet 的入侵進(jìn)行了優(yōu)化的功能;雖然不需要配置,但是對它們進(jìn)行進(jìn)一步配置可進(jìn)一步優(yōu)化它們的性能。
高端路由器可配置為通過阻止較為明顯的入侵(如 ping)以及通過使用 ACL 實(shí)現(xiàn)其他 IP 地址和端口限制,來加強(qiáng)訪問權(quán)限。也可提供其他的防火墻功能,這些功能在某些路由器中提供了靜態(tài)數(shù)據(jù)包篩選。在高端路由器中,以較低的成本提供了與硬件防火墻設(shè)備相似的防火墻功能,但是吞吐量較低。
我們手頭有一個totolink的路由器,我們來看一下它的防火墻提供什么功能。
路由器防火墻功能簡介
防火墻廣域網(wǎng)控制
上圖所示是防火墻的廣域網(wǎng)訪問控制,它提供了網(wǎng)頁訪問控制。我們可以從中設(shè)置源IP地址或MAC地址來確定黑名單。也就是說我們可以讓某些聯(lián)網(wǎng)的電腦不能訪問設(shè)置的受限網(wǎng)址。
路由器防火墻功能簡介
上圖中我們可以看到這款路由器可以過濾屏蔽的數(shù)據(jù)包類型,諸如一些即時聊天軟件、P2P軟件和一些網(wǎng)絡(luò)游戲。
說得簡單點(diǎn),路由器防火墻實(shí)現(xiàn)的是包的過濾,他能偵測所有進(jìn)出端口的數(shù)據(jù)包并加之檢測和過濾。這就是從根本上出發(fā),保障信息網(wǎng)絡(luò)的安全。
另外,路由器的防火墻能對一些常見的網(wǎng)絡(luò)攻擊進(jìn)行防護(hù),千萬不要小看這些攻擊,任何一個都有可能使你陷入斷網(wǎng)甚至更糟的局面。
防范攻擊方式
我們簡單介紹一下常見的網(wǎng)絡(luò)攻擊。
SYN Flood:我們叫做SYN泛洪。SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DdoS(分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。換句話說,這個攻擊如果不加以防范的話會引起網(wǎng)絡(luò)設(shè)備宕機(jī)。
明白這種攻擊的基本原理,還是要從TCP連接建立的過程開始說起:大家都知道,TCP與UDP不同,它是基于連接的,也就是說:為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù),必須先建立一個虛擬電路,也就是TCP連接,建立TCP連接的標(biāo)準(zhǔn)過程是這樣的:
首先,請求端(客戶端)發(fā)送一個包含SYN標(biāo)志的TCP報文,SYN即同步(Synchronize),同步報文會指明客戶端使用的端口以及TCP連接的初始序號;
第二步,服務(wù)器在收到客戶端的SYN報文后,將返回一個SYN+ACK的報文,表示客戶端的請求被接受,同時TCP序號被加一,ACK即確認(rèn)(Acknowledgment)。
第三步,客戶端也返回一個確認(rèn)報文ACK給服務(wù)器端,同樣TCP序列號被加一,到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手(Three-way Handshake)。
問題就出在TCP連接的三次握手中,假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機(jī)或掉線,那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下服務(wù)器端一般會重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接,這段時間的長度我們稱為SYN Timeout,一般來說這個時間是分鐘的數(shù)量級(大約為30秒-2分鐘);
一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題,但如果有一個惡意的攻擊者大量模擬這種情況,服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的資源----數(shù)以萬計的半連接,即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存,何況還要不斷對這個列表中的IP進(jìn)行SYN+ACK的重試。
實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大,最后的結(jié)果往往是堆棧溢出崩潰---即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大,服務(wù)器端
也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正??蛻舻慕嵌瓤磥恚?wù)器失去響應(yīng),這種情況我們稱作:服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。
Smurf攻擊:Smurf攻擊是以最初發(fā)動這種攻擊的程序名“Smurf”來命名的。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng),引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。
Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包,來淹沒受害主機(jī),最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求做出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者,最終導(dǎo)致第三方崩潰。
ARP攻擊:ARP攻擊,是針對以太網(wǎng)地址解析協(xié)議(ARP)的一種攻擊技術(shù)。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包,且可讓網(wǎng)絡(luò)上特定計算機(jī)或所有計算機(jī)無法正常連接。
border
防火墻防范攻擊簡介
ARP攻擊簡介
ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。
ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一臺計算機(jī)感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計算機(jī)的通信故障。這個一傳十,十傳百是最恐怖的。
ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為:使用局域網(wǎng)時會突然掉線,過一段時間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅,用戶頻繁斷網(wǎng),IE瀏覽器頻繁出錯,以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的,會突然出現(xiàn)可認(rèn)證,但不能上網(wǎng)的現(xiàn)象(無法ping通網(wǎng)關(guān)),重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后,又可恢復(fù)上網(wǎng)。
以上就是幾個我們常見的網(wǎng)絡(luò)攻擊形式,不過好在這些攻擊路由器基本都能進(jìn)行防范。所以千萬不要忽略了你的路由器這些功能,物盡其用才是最好的選擇。