5．4洪水攻击阀值机制及语音告警

SYN Flood及新版的ARP攻击是近来企业最常面临的洪水攻击。SYN Flood是DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）方式之一，其攻击方式是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽，CPU满负荷或内存不足。ARP攻击则是基于ARP协议特性，攻击方向受攻击计算机不断发送欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在响应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。
Qno侠诺引入路由器产品的一些功能，能让用户有更多弹性因应这些新形态的攻击作相对的配置。以下针对不同的攻击说明这些新导入的功能。
•洪水攻击防御的加强：洪水攻击属于DOS攻击的一种，它利用网络协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。受攻的击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，或最后产生TCP/IP堆栈溢出崩溃死机。
针对这种攻击，Qno侠诺路由器软件中的防火墙功能加上洪水攻击的阀值机制，用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包，设定阀值，如果超过特定阀值，则阻挡该IP或是整个网络的上网需求。在这个设定中，具有关键地位的是针对单一IP设定的阀值，根据侠诺的技术支持经验发现，设定在每秒2000个包，应可有效抵抗攻击。值得注意的是，当设定阀值太低时，对于QQ视频或是相似的应用，会产生影响，因此也不能设定太低。

图四

•MAC/IP欺骗型ARP攻击防御的加强：ARP攻击利用广播封包，影响网络的运作。侠诺之前推广了双向绑定的因应之道，即在客户端及路由器端都必须进行ARP协议的绑定，可预防受到干扰。但是新版ARP变型攻击软件采取自动变换IP及MAC的方式，不断发出网络包给路由器，让路由器忙于处理无用的数据包，而影响正常的运作。
在侠诺新版的软件中，加入了自动判别的功能，可以不理会非正常MAC或IP所发出的数据包，也不加以转发，可减少攻击所产生的影响。用户可在配置路由器时，进行学习功能，并确认正当的IP及MAC，之后路由器即可拒絶其它的网络包，以降低ARP攻击的影响。一旦本机制作用，受到影响的只会是发动攻击的计算机，因为忙于攻击而运作缓慢，但是其它用户不会受到影响。
•语音告警功能：新版Qno侠诺路由器内建发音功能，配合以上的功能，在第一时间可以针对新型态攻击阻挡，同时会以语音发出遭受攻击的讯息。此时网管可实时知道会受到攻击的情况，并可通过日志功能找出有问题的来源，加以隔离，并有效控制受害。侠诺强调同时在抵挡攻击及实时通知两方面都要作好，才能真正协助用户改善网络安全问题。
【相关文章】

• 中小企业安全路由器基本配置

• 守卫网络门户路由器安全设置接触

• 路由器防火墙配置命令