『壹』 路由器的攻擊防禦要開啟嗎
路由器一般都自動簡單的網路防禦和過濾功能,用於應對網路沖擊波、ARP攻擊、IP掃描、流量沖擊等潛在的網路風險,一般情況下默認狀態下這些功能都是開啟的,如沒有開啟,可以自行開啟選項,對於網路防護可起到一定保護作用。
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。
ARP攻擊主要是存在於區域網網路中,區域網中若有一台計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過「ARP欺騙」手段截獲所在網路內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。
『貳』 免疫網路是怎麼回事,真的可以解決內網的各種攻擊么
的確是那樣的,
很簡單,因為現在欣向多免費試用活動,你可以自己測試,行就付款,不行就算了。 不知道LZ是那裡的,現在欣向全國都有相應的辦事處等。LZ可以上他們的官方網站查詢下你所在的地區,然後直接聯系辦事處的就可以了。 自己測試才是最重要的,別人說的可能你會不相信, 而且可能別人那用的挺好的 到你這里就不行了, 最重要就是自己看效果 就想欣向的帶寬疊加一樣,你沒有真實看到始終是不會相信的。 只有自己測試了 就知道情況了。
『叄』 路由器如何設置可以防止區域網內的ARP攻擊
1、清空ARP緩存: 大家可能都曾經有過使用ARP的指令法解決過ARP欺騙問題,該方法是針對ARP欺騙原理進行解決的。一般來說ARP欺騙都是通過發送虛假的MAC地址與IP地址的對應ARP數據包來迷惑網路設備,用虛假的或錯誤的MAC地址與IP地址對應關系取代正確的對應關系。若是一些初級的ARP欺騙,可以通過ARP的指令來清空本機的ARP緩存對應關系,讓網路設備從網路中重新獲得正確的對應關系,具體解決過程如下:
第一步:通過點擊桌面上任務欄的「開始」->「運行」,然後輸入cmd後回車,進入cmd(黑色背景)命令行模式;
第二步:在命令行模式下輸入arp -a命令來查看當前本機儲存在本地系統ARP緩存中IP和MAC對應關系的信息;
第三步:使用arp -d命令,將儲存在本機系統中的ARP緩存信息清空,這樣錯誤的ARP緩存信息就被刪除了,本機將重新從網路中獲得正確的ARP信息,達到區域網機器間互訪和正常上網的目的。如果是遇到使用ARP欺騙工具來進行攻擊的情況,使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒,病毒每隔一段時間自動發送ARP欺騙數據包,這時使用清空ARP緩存的方法將無能為力了。下面將接收另外一種,可以解決感染ARP欺騙病毒的方法。
2、指定ARP對應關系:其實該方法就是強制指定ARP對應關系。由於絕大部分ARP欺騙病毒都是針對網關MAC地址進行攻擊的,使本機上ARP緩存中存儲的網關設備的信息出現紊亂,這樣當機器要上網發送數據包給網關時就會因為地址錯誤而失敗,造成計算機無法上網。
第一步:假設網關地址的MAC信息為00-14-78-a7-77-5c,對應的IP地址為192.168.2.1。指定ARP對應關系就是指這些地址。在感染了病毒的機器上,點擊桌面->任務欄的「開始」->「運行」,輸入cmd後回車,進入cmd命令行模式;
第二步:使用arp -s命令來添加一條ARP地址對應關系, 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。這樣就將網關地址的IP與正確的MAC地址綁定好了,本機網路連接將恢復正常了;
第三步:因為每次重新啟動計算機的時候,ARP緩存信息都會被全部清除。所以應該把這個ARP靜態地址添加指令寫到一個批處理文件(例如:bat)中,然後將這個文件放到系統的啟動項中。當程序隨系統的啟動而載入,就可以免除因為ARP靜態映射信息丟失的困擾了。
3、添加路由信息應對ARP欺騙:
一般的ARP欺騙都是針對網關的,那麼是否可以通過給本機添加路由來解決此問題呢。只要添加了路由,那麼上網時都通過此路由出去即可,自然也不會被ARP欺騙數據包干擾了。第一步:先通過點擊桌面上任務欄的「開始」->「運行」,然後輸入cmd後回車,進入cmd(黑色背景)命令行模式;
第二步:手動添加路由,詳細的命令如下:刪除默認的路由: route delete 0.0.0.0;添加路由:
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;確認修改:
route change此方法對網關固定的情況比較適合,如果將來更改了網關,那麼就需要更改所有的客戶端的路由配置了。
4、安裝殺毒軟體:安裝殺毒軟體並及時升級,另外建議有條件的企業可以使用網路版的防病毒軟體
『肆』 教你用路由器來防範網路中的惡意攻擊
除了ADSL撥號上網外,小區寬頻上網也是很普遍的上網方式。如果你採用的是小區寬頻上網,是否覺得路由器僅僅就是個上網工具呢?其實不然,利用好你的路由器,還能夠防範黑客的攻擊呢。下面就讓我們來實戰一番。用路由器來防範網路中的惡意攻擊
目的: 限制外部電腦連接本小區的192.168.0.1這台主機的23(telnet)、80(www)、3128等Port。
前提: Router接內部網路的介面是Ethernet0/1,每一個命令之後按Enter執行,以Cisco路由為准。
步驟1 在開始菜單中選擇運行,在彈出的對話框中輸入「cmd」並回車,出現窗口後,在提示符下連接路由器,指令格式為「telnet路由器IP地址」。當屏幕上要求輸入telnetpassword時(多數路由器顯示的是「Login」字樣),輸入密碼並確認無誤後,再輸入指令enable,屏幕上顯示要求輸入enablepassword時輸入密碼。
提示:這兩個密碼一般由路由器生產廠商或者經銷商提供,可以打電話查詢。
步驟2 輸入指令Router#configuretermihal即可進入路由器的配置模式,只有在該模式下才能對路由器進行設置。
步驟3 進入配置模式後,輸入指令Router(config)#access-list101denytcpanyhost192.168.0.1eqtelnet,該指令的作用是設定訪問列表(accesslist),該命令表示拒絕連接到IP地址為192.168.0.1的主機的屬於埠(Port)23(telnet)的`任何請求。
步驟4 輸入Router(config)#aecess-list101denytcpanyhost192.168.0.1eqwww指令以拒絕來自任何地方對IP地址為192.168.0.1的主機的屬於埠80(www)的請求。
步驟5 最後需要拒絕的是來自任何地方對IP地址為192.168.0.1的主機屬於埠3128的訪問,這需要輸入指令Router(config)#.168.0.1eq3128來完成。
步驟6 到此,已經設置好我們預期的訪問列表了,但是,為了讓其他的所有IP能夠順利訪問,我們還需要輸入Router(config)#aceess-list101permitipanyany來允許其他訪問請求。
但是,為了讓路由器能夠執行我們所做的訪問列表,我們還需要把這個列表加入到介面檢查程序,具體操作如下。
輸入指令Router(config)#interfaceeO/1進入介面(interface)ethernet0/1,然後鍵入指令Router(config-if)#ipaccess-group101out將訪問列表實行於此介面上。這樣一來,任何要離開介面的TCP封包,均須經過此訪問列表規則的檢查,即來自任何地方對IP地址為192.168.0.1的主機,埠(port)屬於telnet(23),www(80),3128的訪問一律拒絕通過。最後,輸入指令write將設定寫入啟動配置,就大功告成了。
這樣一來,你的主機就安全多了,雖然只是禁止了幾個常用埠,但是能把不少搞惡作劇的人拒之門外。另外,如果看見有什麼埠可能會遭到攻擊或者有漏洞了,你也可以通過上面的方法來將漏洞堵住。