网络攻击持续横行 路由器防护须升级

【相关文章】对抗SYN及ARP攻击 qno发布新路由器软件

【51CTO.com独家报道】上一期文章提到新型态的攻击具备的特性，及现有路由器可以提供的功能之后，让用户基本掌握了网络攻击的防范手段。此篇文章一经刊出，得到了不少用户的认可，部分忠实用户已经开始要求得到进一步的协助。本期文章则向大家介绍侠诺科技的新款FVR360v双WAN及FVR420v四WAN路由器中新加入的防御功能及配置方式。
以下介绍Qno侠诺新近研发并推出的FVR360v/FVR420v路由器的一些功能，方便用户有更多弹性来应对新形态的攻击，并作出相对的配置。以下功能导入于FVR300、FVR360/FVR360v、FVR420/FVR420v，针对不同的攻击，说明必须新导入的功能。

FVR360v/FVR420v路由器新防卫功能
1、洪水攻击防御的加强：洪水攻击攻击属于DOS攻击的一种，它利用网络协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。受攻击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，或最后产生TCP/IP堆栈溢出崩溃死机。
针对这种攻击，FVR360v/FVR420v软件中的防火墙功能加上洪水攻击的门坎机制，用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包，设定门坎，如果超过特定门坎，则阻挡该IP或是整个网络的上网需求。在这个设定中，具有关键性地位的是针对单一IP设定的门坎，根据Qno侠诺技术工程师实际的工作经验发现，设定在每秒2000个包，应可有效抵抗攻击。值得注意的是，当设定门坎太低时，对于QQ视频或是相似的应用，会产生影响，因此也不能设定太低。

图一：UDP及ICMP网络协议的攻击也很普遍

2、MAC/IP欺骗型ARP攻击防御的加强
另外，以往的攻击经常利用TCP协议进行，最近发现UDP及ICMP的攻击型式也渐渐增加，因此在我们在推出的FVR360v与FVR420v两款新产品中加进了这个功能。
ARP攻击利用广播封包，影响网络的运作。Qno侠诺之前推广了双向绑定的解决方案，即在客户端及路由器端都必须进行ARP协议的绑定，可预防受到干扰。但是新版ARP变型攻击软件采取自动变换IP及MAC的方式，不断发出网络包给路由器，让路由器忙于处理无用的数据包，而影响正常的运作。
在新版的FVR360v/FVR420v软件中，加入了自动判别的功能，可以不理会非正常MAC或IP所发出的数据包，也不加以转发，可减少攻击所产生的影响。用户可在配置路由器时，进行学习功能，并确认正当的IP及MAC，此后路由器即可拒绝其它的网络包，以降低ARP攻击的影响。一旦本机作用，受到影响的只会是发动攻击的计算机，因为忙于攻击放运作缓慢，但是其它用户不会受到影响。
4、语音告警功能：
新版的Qno侠诺FVR360v/FVR420v内建发音功能，配合以上的功能，在第一时间可以针对新型态攻击阻挡，同时会以语音警示的形式发出遭受攻击的讯息。此时网管可实时了解受到攻击的情况，并可通过日志功能找出问题的来源并加以隔离，有效控制受害。Qno侠诺强调，抵挡攻击与实时通知两方面都要作好，才能真正协助用户改善网络安全问题。

图二：FVR360v/FVR420v语音发出遭受攻击的讯息

图二：新版Qno侠诺FVR360v/FVR420v内建发音功能，在第一时间可以针对新型态攻击阻挡，同时会以语音发出遭受攻击的讯息。

整体解决之道
除了路由器的配置以外，Qno侠诺技术服务部门也总结了全国许多资深网管的经验，另外提供两个值得参考的改善点：
1、减少用户使用外挂软件机会
很多环境发生攻击的事件，通常是因为用户用了外挂软件，因此如能减少用户使用外挂软件，就能减少攻击。在国内一些较先进的网吧，已经提供完整的外挂软件，不让用户自己从网络下载软件，这样可以减少攻击情况的发生。这点对于一些网吧而言，可能不太习惯，但是不失为一个有效管制方法。
2、配合三层交换管制网络
国内许多中大型网吧采用三层交换机作为骨干交换机，由于三层交换机也具备许多管制功能，因此如能善用三层交换机之功能，也可较好的针对攻击加以抵抗。有些网管在使用时，只是把三层交换机当成一般的交换机使用，是有些可惜了！