一、如何避免路由器攻擊九大方法

也就是說任何人都可以在其局域網(wǎng)上使用且僅能用于內(nèi)部的IP地址。這些特定的IP地址是不允許用在公網(wǎng)上的。但在將路由器用于互聯(lián)網(wǎng)上的通信時(shí)，它還使用另外一個(gè)不同的IP地址，即公網(wǎng)IP地址。路由器的管理員無法控制公網(wǎng)IP地址，它是由把路由器連接到互聯(lián)網(wǎng)的ISP提供的。

這樣一來，除非做到公網(wǎng)IP僅能被互聯(lián)網(wǎng)上的計(jì)算機(jī)找到，而私有IP地址僅能被局域網(wǎng)上的計(jì)算機(jī)看到，這樣才能夠筑起一道屏障，否則黑客們便可能登錄進(jìn)路由器，進(jìn)而危及到整個(gè)局域網(wǎng)的設(shè)備。

就像網(wǎng)絡(luò)操作系統(tǒng)一樣，路由器操作系統(tǒng)也需要更新，以便糾正編程錯(cuò)誤、軟件瑕疵和緩存溢出的問題。要經(jīng)常向你的路由器廠商查詢當(dāng)前的更新和操作系統(tǒng)的版本。

2. 修改默認(rèn)口令：據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱，80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。避免使用普通的口令，并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。3. 禁用HTTP設(shè)置和SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)：

你的路由器的HTTP設(shè)置部分對(duì)于一個(gè)繁忙的網(wǎng)絡(luò)管理員來說是很容易設(shè)置的。但是，這對(duì)路由器來說也是一個(gè)安全問題。如果你的路由器有一個(gè)命令行設(shè)置，禁用HTTP方式并且使用這種設(shè)置方式。如果你沒有使用你的路由器上的SNMP，那么你就不需要啟用這個(gè)功能。思科路由器存在一個(gè)容易遭受GRE隧道攻擊的SNMP安全漏洞。

4. 封鎖ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)ping請(qǐng)求：

ping和其它ICMP功能對(duì)于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用你的路由器上啟用的ICMP功能找出可用來攻擊你的網(wǎng)絡(luò)的信息。

二、教你用路由器來防范網(wǎng)絡(luò)中的惡意攻擊

除了ADSL撥號(hào)上網(wǎng)外，小區(qū)寬帶上網(wǎng)也是很普遍的上網(wǎng)方式。如果你采用的是小區(qū)寬帶上網(wǎng)，是否覺得路由器僅僅就是個(gè)上網(wǎng)工具呢?其實(shí)不然，利用好你的路由器，還能夠防范黑客的攻擊呢。下面就讓我們來實(shí)戰(zhàn)一番。用路由器來防范網(wǎng)絡(luò)中的惡意攻擊

目的： 限制外部電腦連接本小區(qū)的192.168.0.1這臺(tái)主機(jī)的23(telnet)、80(www)、3128等Port。

前提： Router接內(nèi)部網(wǎng)絡(luò)的接口是Ethernet0/1，每一個(gè)命令之后按Enter執(zhí)行，以Cisco路由為準(zhǔn)。

步驟1 在開始菜單中選擇運(yùn)行，在彈出的對(duì)話框中輸入“cmd”并回車，出現(xiàn)窗口后，在提示符下連接路由器，指令格式為“telnet路由器IP地址”。當(dāng)屏幕上要求輸入telnetpassword時(shí)(多數(shù)路由器顯示的是“Login”字樣)，輸入密碼并確認(rèn)無誤后，再輸入指令enable，屏幕上顯示要求輸入enablepassword時(shí)輸入密碼。

提示：這兩個(gè)密碼一般由路由器生產(chǎn)廠商或者經(jīng)銷商提供，可以打電話查詢。

步驟2 輸入指令Router#configuretermihal即可進(jìn)入路由器的配置模式，只有在該模式下才能對(duì)路由器進(jìn)行設(shè)置。

步驟3 進(jìn)入配置模式后，輸入指令Router(config)#access-list101denytcpanyhost192.168.0.1eqtelnet，該指令的作用是設(shè)定訪問列表(accesslist)，該命令表示拒絕連接到IP地址為192.168.0.1的主機(jī)的屬于端口(Port)23(telnet)的`任何請(qǐng)求。

步驟4 輸入Router(config)#aecess-list101denytcpanyhost192.168.0.1eqwww指令以拒絕來自任何地方對(duì)IP地址為192.168.0.1的主機(jī)的屬于端口80(www)的請(qǐng)求。

步驟5 最后需要拒絕的是來自任何地方對(duì)IP地址為192.168.0.1的主機(jī)屬于端口3128的訪問，這需要輸入指令Router(config)#accesslist101denytcpanyhost192.168.0.1eq3128來完成。

步驟6 到此，已經(jīng)設(shè)置好我們預(yù)期的訪問列表了，但是，為了讓其他的所有IP能夠順利訪問，我們還需要輸入Router(config)#aceess-list101permitipanyany來允許其他訪問請(qǐng)求。

但是，為了讓路由器能夠執(zhí)行我們所做的訪問列表，我們還需要把這個(gè)列表加入到接口檢查程序，具體操作如下。

輸入指令Router(config)#interfaceeO/1進(jìn)入接口(interface)ethernet0/1，然后鍵入指令Router(config-if)#ipaccess-group101out將訪問列表實(shí)行于此接口上。這樣一來，任何要離開接口的TCP封包，均須經(jīng)過此訪問列表規(guī)則的檢查，即來自任何地方對(duì)IP地址為192.168.0.1的主機(jī)，端口(port)屬于telnet(23)，www(80)，3128的訪問一律拒絕通過。最后，輸入指令write將設(shè)定寫入啟動(dòng)配置，就大功告成了。

這樣一來，你的主機(jī)就安全多了，雖然只是禁止了幾個(gè)常用端口，但是能把不少搞惡作劇的人拒之門外。如果看見有什么端口可能會(huì)遭到攻擊或者有漏洞了，你也可以通過上面的方法來將漏洞堵住。