一、如何避免无线路由器遭受ARP攻击故障
下面文章将详细解答。 随着现在社会信息技术的飞速发展,如今企业网络办公化也正式步入了无线网的领域中。构建无线网最大的好处就是组网无需布线,使用便捷,经济。所以对多数企业来说,无疑是组网方案的最佳选择。 大量的无线路由器被用于企业中,使得针对无线网络的故障诊断和安全保障变得与有线网络一样重要。 在企业无线网办公中经常会出现一些使用手册上未涉及到疑难和故障,有时难以应付,无法解决。下面就无线网络中由路由器引发的典型故障进行分析,并提供解决方案。 连接错误线路不通 网络线路不通有很多原因造成,但首先要检查的是连接配置上有无错误。 在确保路由器电源正常的前提下首先查看宽带接入端。路由器上的指示灯可以说明宽带线路接入端是否正常,由说明书上可以辨认哪一个亮灯为宽带接入端及用户端,观察其灯闪亮状态,连续闪烁为正常,不亮或长亮不闪烁为故障。我们可以换一根宽带胶线代替原来的线路进行连接。 如果故障依旧,请查看路由器的摆放位置与接收电脑的距离是否过远或中间有大型障碍物阻隔。这时请重新放置路由器,使无线路由器与接收电脑不要间隔太多障碍物,并使接收电脑在无线路由器的信号发射范围之内即可。 无线网卡的检查也必不可少,可以更换新的网卡并重新安装驱动程序进行调试,再网卡中点击“查看可用的无线连接”刷新“网络列表”后设置网卡参数,并再“属性”中查看有无数据发送和接收情况,排除故障。 当然路由器自身的硬件故障也是导致线路不通的直接原因,但这并不是我们所能解决的范围,应及时联系厂商进行维修或更换。 设置不当无法连接 “设置”可以分为电脑设置和路由器设置两个方面。 电脑的设置相对简单,点击进入“网上邻居”属性,开启“无线网络连接”,然后设置“IP地址”“子网掩码”及“网关”,只要使电脑的IP地址与无线路由器的IP地址在同一网段即可。“网关”的设置可以参见网卡说明说中所述,一般情况下与路由器IP地址相同。 路由器的设置相对较为专业,复杂些。首先在系统浏览器中输入无线路由器IP地址,在弹出的登录界面中输入路由器的管理员登录名及密码即可进入设置界面。此时需要检查网络服务商所给你的宽带帐号及口令是否正确,如不正确,更正后尝试连接,如果连接后仍无法打开页面请点击进入路由器中的“安全设置”选项,查看是否开启“网络防火墙”,“IP地址过滤”以及“MAC地址过滤”选项,并做更正和设置,排除无法开启网络的故障。 网络攻击导致联网异常 ARP攻击以及非法入侵未设防的无线局域网已经是现在导致联网异常的典型案例了。由于安全设置的疏忽以及后期安全防护的不足,导致少数具有恶意的黑客对企业的重要信息及保密数据造成了极大的危害。 ARP攻击会造成网络IP冲突,数据的丢失及溢出,更有甚者会导致网络瘫痪。这些现象对企业组网的威胁都是很大的。 首先进入“带有网络的安全模式”,在无线网卡属性处更换电脑的IP地址,之后查看是否可以联网。另外购买安装专业的杀毒软件及网络防火墙是比较捷径的方法之一。 其次进入路由器“安全设置”选项进行高级设置。现在的大部分无线路由器都具有WEP的密码编码功能,用最长128bit的密码键对数据进行编码,在无线路由器上进行通信,密码键长度可以选择40bit或128bit,利用MAC地址和预设的网络ID来限制哪些无线网卡和接入点可以进入网络,完全可以确保网络安全,对于非法的接收这来说,截听无线网的信号是非常困难的,从而可以有效的防范黑客的入侵破坏和非法用户恶意的网络攻击。 最后要注意,在没有特殊需要或不具有专业技能的情况下禁止开启路由器中的“远程WEB管理”,功能选项。 路由器部分功能失灵无法使用 这个问题大多存在于一些老款的无线路由器中,当我们在配置路由器高级功能选项的时候,在反复确认连接无误的情况下就是有部分功能无法开启使用,这时你也许第一想到是否是硬件出了故障,其实不然。 首先我们要查看下路由器系统的版本,在查阅无线路由器说明书后,看该功能是否支持这个版本的路由器系统。路由器的系统通常有许多版本,每个版本支持不同的功能。如果你当前的软件版本不支持这个功能,那就应该找到相应的软件,先进行升级。 点击进入无线路由器的“系统工具”选项,进入后选择“软件升级”,此时在对话界面中会显示出当前的软件版本和硬件版本,在弹出的对话框中输入“文件名”(即系统升级的文件名)和“TFTP服务器IP”后点击“升级”即可。 升级时要注意:选择与当前硬件版本一致的软件进行升级,在升级过程中千万不要关闭路由器的电源,否则将导致路由器损坏而无法使用,在网络稳定的情况下升级过程很短整个过程不会超过一分钟。当你发现路由器在升级完毕后重启,请不要担心这是正常的。一般升级过后,路由器工作情况会更加稳定,并增加一些适用于此版本更多的新功能。
二、如何配置路由器防攻击
建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。
或者需要访问列表来过滤。
如果没必要则禁止WINS和DNS服务。
明确禁止不使用的端口。
三、路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。
2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。
并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
Router(Config)# router ospf 100
Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
! 启用MD5认证。
! area area-id authentication 启用认证,是明文密码认证。
!area area-id authentication message-digest
Router(Config-router)# area 100 authentication message-digest
Router(Config)# exit
Router(Config)# interface eth0/1
!启用MD5密钥Key为routerospfkey。
!ip ospf authentication-key key 启用认证密钥,但会是明文传输。
!ip ospf message-digest-key key-id(1-255) md5 key
Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey
3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2.
并且采用MD5认证。普通认证同样是明文传输的。
Router(Config)# config terminal
! 启用设置密钥链
Router(Config)# key chain mykeychainname
Router(Config-keychain)# key 1
!设置密钥字串
Router(Config-leychain-key)# key-string MyFirstKeyString
Router(Config-keyschain)# key 2
Router(Config-keychain-key)# key-string MySecondKeyString
!启用RIP-V2
Router(Config)# router rip
Router(Config-router)# version 2
Router(Config-router)# network 192.168.100.0
Router(Config)# interface eth0/1
! 采用MD5模式认证,并选择已配置的密钥链
Router(Config-if)# ip rip authentication mode md5
Router(Config-if)# ip rip anthentication key-chain mykeychainname
4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。
建议对于不需要路由的端口,启用passive-interface。
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
! Rip中,禁止端口0/3转发路由信息
Router(Config)# router Rip
Router(Config-router)# passive-interface eth0/3
!OSPF中,禁止端口0/3接收和转发路由信息
Router(Config)# router ospf 100
Router(Config-router)# passive-interface eth0/3
三、如何避免路由器攻击九大方法
也就是说任何人都可以在其局域网上使用且仅能用于内部的IP地址。这些特定的IP地址是不允许用在公网上的。但在将路由器用于互联网上的通信时,它还使用另外一个不同的IP地址,即公网IP地址。路由器的管理员无法控制公网IP地址,它是由把路由器连接到互联网的ISP提供的。
这样一来,除非做到公网IP仅能被互联网上的计算机找到,而私有IP地址仅能被局域网上的计算机看到,这样才能够筑起一道屏障,否则黑客们便可能登录进路由器,进而危及到整个局域网的设备。
就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。
2. 修改默认口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。 3. 禁用HTTP设置和SNMP(简单网络管理协议):
你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。
4. 封锁ICMP(互联网控制消息协议)ping请求:
ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。
5. 禁用来自互联网的telnet命令:
在大多数情况下,你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。
6. 禁用IP定向广播:
IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。
7. 禁用IP路由和IP重新定向:
重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
8. 包过滤:
包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围。 9. 禁用不必要的服务:
无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。