端口扫描属于网络层攻击_端口扫描属于网络攻击

路由器攻击防护功能怎么设置

互联网的发展越来越快，网络也已经几乎普及到了我们每个家庭，路由器设备是我们最常使用来连接网络的工具，那么你知道路由器攻击防护功能怎么设置吗?下面是我整理的一些关于路由器攻击防护功能设置的相关资料，供你参考。

路由器攻击防护功能设置的 方法

在网络使用的过程中，往往会遇到各种各样的网络攻击，如：扫描类的攻击，DoS攻击等。

我司企业级路有器内置了目前常见的网络攻击防护 措施 ，支持内/外部攻击防范，提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效防止Nimda攻击等。(路由器只是对于网络中常见的攻击进行防护，对于网络的操作进行监控，而病毒，木马等这些处于应用层的应用，我司路由器并不是杀毒软件，并不是我在路由器上设置了防火墙或攻击防护等，您的计算机就不会中病毒)

在开启攻击防护时，必须开启路由器“防火墙总开关”，选中对应的“开启攻击防护”：

在菜单中的“安全设置”-“攻击防护”中，可以看到路由器针对各种网络攻击的防护及设置;

其中分别针对各种常见的网络攻击进行防护：正确设置各种防护的阈值，可以有效的对各种攻击进行防护。请根据您的网络环境进行相应的设置，一般可以使用路由器默认的值，或者可以自己进行设置。在设置的时候，阈值不要设置过小，会导致拦截过高，有可能把网络中正常的数据包误认为非法的数据包，使您的网络不能正常使用;阈值也不要设置过大，这样会起不到攻击防护的效果。

在区域的设置中，可以选择LAN和WAN，若选择LAN表示对来自局域网的数据包进行监控;而选择WAN表示对来自外网的数据包进行监控。

1、扫描类的攻击防护主要有三类：IP扫描，端口扫描，IP欺骗。

其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的第一个步骤，攻击者可以利用IP扫描和端口扫描来获取目标网络的主机信息和目标主机的端口开放情况，然后对某主机或者某主机的某端口发起攻击，对扫描进行预先的判断并保护可以有效的防止攻击。我司企业级路由器对扫描类攻击的判断依据是：设置一个时间阈值(微秒级)，若在规定的时间间隔内某种数据包的数量超过了10个，即认定为进行了一次扫描，在接下来的两秒时间里拒绝来自同一源的这种扫描数据包。阈值的设置一般建议尽可能的大，最大值为一秒，也就是1000000微妙，一般推荐0.5-1秒之间设置。(阈值越大，防火墙对扫描越“敏感”)

下面为路由器没有开启攻击防护下，使用端口扫描工具进行扫描的结果

开启了路由器的“攻击防护”

此时进行端口扫描的结果为

通过抓包分析，路由器检测到了有端口扫描攻击，进行了相应的攻击防护，扫描工具没有接收到前端计算机返回的信息，所以在端口扫描的时候，无法完成端口扫描。此时。路由器发送了一个系统日志给日志服务器，检测到有攻击的存在。

在开启了防火墙的攻击防护后，扫描软件扫描不正确。但路由器每次的扫描判断允许十个扫描数据包通过，因此有可能目的计算机开放的端口刚好在被允许的十个数据包之中，也能被扫描到，但这种几率是微乎其微的。

日志服务器上记录显示有端口扫描攻击

关于日志服务器的使用，请参考《日志服务器的安装与使用》，日志中很清晰的记录了内网电脑192.168.1.100有端口扫描的行为。

2、DoS类的攻击主要有：ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。

拒绝服务(DoS--Denial of Service)攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源，目标主机被迫全力处理虚假信息流，从而影响对正常信息流的处理。如果攻击来自多个源地址，则称为分布式拒绝服务DDoS。

企业级路由器对DoS类攻击的判断依据为：设置一个阈值(单位为每秒数据包个数PPS=Packet Per Second)，如果在规定的时间间隔内(1秒)，某种数据包超过了设置的阈值，即认定为发生了一次洪泛攻击，那么在接下来2秒的时间内，忽略掉下来自相同攻击源的这一类型数据包。

这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反，值越小越“敏感”，但一般也不能太小，正常的应用不能影响，我们可以根据自己的环境在实际的应用中动态调整。

下面为一个ICMP的例子，在路由器没有开启攻击防护的情况下，ping前端的计算机

使用发包工具，对前端的计算机进行1000pps的ping操作，通过抓包可以看到，前端的计算机都有回应。

而开启了路由器攻击防护的ICMP Flood攻击防护，设置阈值为100pps。

此时进行抓包分析

路由器检测到了有ICMP Flood攻击存在，发送了一个日志给日志服务器，在以后的ping请求中，都没有得到回应。有效地防止了ICMP Flood攻击。

日志服务器中，也可以查看到相应的攻击信息

3、可疑包类防护包括五类：大的ICMP包(大于1024字节)、没有Flag的TCP包、同时设置SYN和FIN的TCP包、仅设置 FIN 而没有设置ACK的TCP包、未知协议。

4、含有IP选项的包防护：在 Internet Protocol 协议(RFC 791)中，指定了一组选项以提供特殊路由控制、诊断工具和安全性。

它是在 IP 包头中的目的地址之后。协议认为这些选项“ 对最常用的通信是不必要的”。在实际使用中，它们也很少出现在 IP 包头中。这些选项经常被用于某些恶意用途。

IP选项包括。

选中一项IP选项的复选框，则检查;清除选项的选择，则取消检查。

一般情况下上面两部分的数据包是不会出现的，属于非正常的包，可能是病毒或者攻击者的试探，路由器在设置了相应的攻击防护的话会将对应的数据包丢弃。

本文主要介绍了企业级路由器的攻击防护的处理机制以及效果，通过举了几个例子进行详细地描述。例子中使用的参数只为测试使用，并不一定符合实际的使用环境，在具体的使用过程中，还需要根据您的实际网络使用环境进行调试，找到一个合理的阈值，才能有效的保护您的网络。

路由器攻击防护功能设置的相关 文章 ：

1. 路由器如何防止ARP病毒攻击

2. 路由器攻击如何防护

3. 怎样使用路由器防止DoS攻击

4. 路由器怎么防止被攻击

网络攻击的主要4个类型

浏览器攻击

基于浏览器的网络攻击与第二种常见类型相关联。他们试图通过网络浏览器破坏机器，这是人们使用互联网的最常见方式之一。浏览器攻击通常始于合法但易受攻击的网站。攻击者攻击该站点并使用恶意软件感染该站点。当新访问者（通过Web浏览器）到达时，受感染的站点会尝试通过利用其浏览器中的漏洞将恶意软件强制进入其系统。

暴力破解

暴力破解攻击类似于打倒网络的前门。攻击者试图通过反复试验来发现系统或服务的密码，而不是试图欺骗用户下载恶意软件。这些网络攻击可能非常耗时，因此攻击者通常使用软件自动执行键入数百个密码的任务。

暴力破解攻击是遵循密码最佳实践的重要原因之一，尤其是在关键资源（如网络路由器和服务器）上。

长而复杂的密码比愚蠢的密码（例如“123456”，“qwerty”和“password”）更难以通过蛮力破解。请放心：这些是攻击者尝试的第一把钥匙。

拒绝服务（DDoS）攻击

拒绝服务攻击（也称为分布式拒绝服务攻击（DDoS））在网络安全攻击列表中排名第三，并且每年都在不断增强。

DDoS攻击试图淹没资源 例如网站，游戏服务器或DNS服务器 - 充斥着大量流量。通常，目标是减慢或崩溃系统。

但DDoS攻击的频率和复杂性正在增加。

蠕虫病毒

恶意软件通常需要用户交互才能开始感染。例如，此人可能必须下载恶意电子邮件附件，访问受感染的网站或将受感染的USB插入计算机。蠕虫攻击自行传播。它们是自我传播的恶意软件，不需要用户交互。通常，它们利用系统漏洞传播到本地网络之外。

WannaCry勒索软件在几天内感染了超过300,000台计算机，使用蠕虫技术攻击网络和计算机。

WannaCry针对一个广泛的Windows漏洞迅速破坏了一台机器。一旦机器被感染，恶意软件就会扫描连接的LAN和WAN，以查找并感染其他易受攻击的主机。

恶意软件攻击

当然，恶意软件是恶意软件创建用于伤害、劫持或监视感染系统的应用程序。目前尚不清楚为什么“蠕虫病毒攻击”不包含在此类别中 - 因为它们通常与恶意软件相关联。

无论如何，恶意软件很普遍并且众所周知。它传播的三种常见方式包括：

网络钓鱼电子邮件 攻击者创建邮件以诱使受害者陷入虚假的安全感，欺骗他们下载最终成为恶意软件的附件。

恶意网站 攻击者可以设置包含漏洞利用工具包的网站，这些漏洞利用工具包旨在查找网站访问者系统中的漏洞并使用它们将恶意软件强制到其系统中。这些网站还可用于将恶意软件伪装成合法下载。

恶意广告 聪明的攻击者已经发现了使用广告网络分发商品的方法。点击后，恶意广告可以将用户重定向到恶意软件托管网站。某些恶意广告攻击甚至不需要用户交互来感染系统。

网络攻击

面向公众的服务，例如Web应用程序和数据库 也是网络安全攻击的目标。

最常见的网络应用攻击：

跨站点脚本（XSS） 攻击者破坏易受攻击的网站或Web应用程序并注入恶意代码。当页面加载时，代码在用户的浏览器上执行恶意脚本。SQL注入（SQLi）攻击者不是将标准数据提交到文本框或其他数据输入字段，而是输入SQL语句来诱骗应用程序显示或操纵其数据。

Path Traversal 攻击者制定HTTP请求以绕过访问控制并导航到系统中的其他目录和文件。例如，路径遍历攻击可以授予攻击者访问站点Web服务器的核心文件的权限，而不是限于单个网站的内容。

扫描攻击扫描不是彻底的网络攻击，而是攻击前的侦察。攻击者使用广泛使用的扫描工具来探测面向公众的系统，以便更好地了解现有的服务，系统和安全性。

端口扫描器 用于确定系统开放端口的简单工具。存在几种类型，其中一些旨在防止被扫描目标的检测。

漏洞扫描程序 收集有关目标的信息，并将其与已知的安全漏洞进行比较。结果是系统上已知漏洞及其严重性的列表。

其他攻击

我们只能推测绑定到“其他”的网络攻击类型。也就是说，这里有一些常见的嫌疑人：

物理攻击 尝试以老式的方式摧毁或窃取网络架构或系统。被盗的笔记本电脑是一个常见的例子。

内部人员攻击 并非所有网络攻击都是由局外人执行的。愤怒的员工，犯罪的第三方承包商和笨拙的工作人员只是少数潜在的参与者。他们可以窃取和滥用访问凭据，滥用客户数据或意外泄露敏感信息。

高级持续性威胁 最先进的网络攻击由黑客精英团队执行，他们根据目标环境调整和定制技术。他们的目标通常是通过隐藏和“持久”来长时间窃取数据。

展开剩余内容

已记录端口扫描攻击 什么意思

就是有人在对你的计算机进行端口扫描，如果是公司网管的话，他会使用工具扫描下看那些人在上QQ啊，什么的，因为程序要连接网络要有一个端口去访问，还有就是有人在网络上攻击你，比如你的同事中了ARP病毒，该病毒就会自动攻击网络上的其他用户，导致网络瘫痪，还有就是有人尝试攻击你，但是那只是尝试，比如PING你的端口啊之类的！

比如你开了QQ，他一扫到QQ开的端口就知道你在上QQ拉，或者网络不正常，他扫下，看有没有人上下载拉····

请问网络攻击是什么意思，能给被攻击者带来哪些危害？

试图通过网络入侵或干扰一个网络的行为，就是网络攻击，比如，ARP攻击，ScanPort 端口扫描，SYN 攻击 等，受攻击的电脑或网络可能会出现网络断线，网速缓慢，信息泄漏等情况。

安装防火墙软件（不是杀毒软件），或启用windows的IPSec IP 安全策略可以防止此类行为。关闭不必要的端口和系统服务项可以减少被攻击的可能性。

什么是端口扫描？

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型（这些网络服务均与端口号相关）。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻其弱点。

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本，这就能让人们间接的或直观的了解到远程主机所存在的安全问题。

详见 百度百科