如果您对路由器的设置和使用还不是很熟悉，本文syn攻击路由器将为您提供详细的教程和技巧，让您轻松上手使用路由器。

本文目录一览：

• 1、怎么检查路由器中的安全设置中的dos攻击被禁客户端列表
• 2、局域网交换机的安全问题
• 3、SYN是什么？网络安全中SYN攻击指什么？
• 4、路由器的14个保护技巧
• 5、SYN攻击原理

怎么检查路由器中的安全设置中的dos攻击被禁客户端列表

DoS（Denial of Service，拒绝服务）是一种利用大量虚拟信息流耗尽目标主机资源，迫使目标主机处理虚假信息流的网络攻击，使合法用户无法得到服务响应，一般情况下，路由器的速度会因为这种攻击而变慢。

在我们的无线路由器中，我们可以检测和阻止几种常见的DoS攻击，如ICMP-FLOOD、UDP-FLOOD、TCP-SYN-FLOOD等。在路由器管理界面“安全设置”-“高级安全选项”中，可以使用默认参数，也可以设置自己的参数来检测这些DOS攻击。配置界面如下：

ICMP Flood（ICMP泛洪）：当ICMP ping产生的大量响应请求超过系统的最大限制，使系统消耗所有资源进行响应，直到无法再处理有效的网络信息流时，就会发生ICMP泛洪。

UDP Flood（UDP 泛洪）：类似于 ICMP 泛洪，UDP 泛洪发生在将 UDP 数据包发送到该点以减慢系统速度，使系统无法再处理有效连接时。

SYN攻击（SYN攻击）：当网络充满发出无法完成的连接请求的SYN包，使网络无法再处理合法的连接请求，导致拒绝服务（DoS）时，就会发生SYN泛洪攻击.

我们的无线路由器对 DoS 攻击的判断是基于设置一个阈值（以每秒包数为单位 PPS=Packet Per Second），）。如果某个报文在指定的时间间隔（1秒）内超过了设定的阈值，则确定发生了泛洪攻击，则在接下来的2秒内忽略来自同一攻击源的此类报文。同时，将该主机放入 DoS 禁止主机列表中。这里的值越小，越“敏感”，但一般不能太小。太小会影响部分网络功能的正常应用。在实际应用中我们可以根据自己的环境动态调整。一般情况下，我们可以使用我们的出厂默认值。

局域网交换机的安全问题

解决局域网交换机的安全问题，交换机就不能再纯粹完成转发工作了事，如果这些功能转移到交换机上，简化了网络节点的增加、移动和网络变化的操作。但是什么是真正解决局域网交换机安全问题的要素呢，下文给您去全面的分析研究。

早期的网络攻击和恶意入侵主要来自外网，而且是少部分学习黑客技术的人所为，因此当时哪怕只是通过一个防火墙简单的封堵一些端口，检测一些特征数据包就能实现内网的安全。

然而，自冲击波病毒开始，病毒在局域网交换机疯狂传播所造成的强大杀伤力开始让用户心惊胆战，之后计算机病毒更是控制住大量的“僵尸”电脑对特定网站或者服务器发动洪水攻击。

进入2006年，在网吧行业影响最严重的安全问题变成了ARP和DDOS，这些恶意程序不仅巧妙伪装而且无处不在，更严重的是一旦局域网交换机某台计算机感染了病毒，就会造成大量的计算机掉线甚至整个网络陷入瘫痪，令网吧业主和网吧玩家万般无奈，在公司企业内部网络也几乎存在同样的问题，而此时传统的防火墙却显得毫无办法。

局域网也成病毒高发地区

如果是在4年前，局域网还是非常安全的，很多公司也习惯了直接在局域网共享各种常用软件和资料，但是现在为了获得一些非正当的利益，很多病毒开发者打起了局域网交换机的主意：先是由于网游的热火而产生了ARP病毒。

这是一种欺骗性质的病毒，虽然它的目的并不是破坏局域网，但为了达到它盗宝的目的，会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关，欺骗内网其他主机将所有发往网关的信息发到这台主机上。

但是由于此台主机的数据处理转发能力远远低于网关，所以就会导致大量信息堵塞，网速越来越慢，甚至造成网络瘫痪，而且ARP病毒这样做的目的就是为了截取用户的信息，盗取诸如网络游戏帐号、QQ密码等用户信息，因此它不仅会造成局域网堵塞，也会威胁到局域网交换机用户的信息安全。

接着很多针对特殊服务器或是网游私x的DDOS攻击也开始大举利用网吧或企业网络中的客户机作为“僵尸”电脑，对指定的服务器IP发送大量的数据包，“僵尸”电脑越多，服务器被消耗的带宽也越多。

利用这个原理耗尽服务器的带宽，就可以达到让对方服务器掉线以便对服务器运营者进行恶意勒索的目的。这种攻击方式虽然是针对外网服务器，但是它在攻击过程中需要向路由器发送大量的数据包，会直接导致路由器仅有的100M LAN口被“堵满”，因此其他局域网的计算机的'请求无法提交到路由器进行处理，结果就产生局域网计算机全部“掉线”的现象。

还有一种针对服务器的SYN攻击也会令局域网电脑全体“掉线”： SYN攻击属于DOS攻击的一种，它利用TCP协议三次握手的等待确认缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。配合IP欺骗，SYN攻击能达到很好的效果。

通常，感染SYN病毒的客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统和路由器运行缓慢，严重的时候就直接引起整个局域网交换机的网络堵塞甚至系统瘫痪。

面对日益严重的内网攻击和整网掉线问题，很多路由器和防火墙开发商也在产品中加入了相关技术，例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗，但是这些设备由于以太网工作原理的关系，其实还是无法全面解决内网安全问题。

例如DDOS攻击，虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征，但是它必须在收到这些数据包之后才能对数据包进行分析，而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源。

由于路由器和防火墙都在局域网的最外端，这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵，而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连。

加上大部分的局域网交换机都是线速转发的二层交换机，受感染客户端发送的大量数据包可以很快用完这些带宽，因此网络数据传输的压力都加载在路由器的LAN端口，这时候很多正常的请求都无法顺利通过LAN口提交过去，因此即使路由器知道哪些是正常的请求也无济于事。

SYN是什么？网络安全中SYN攻击指什么？

SYN攻击是什么意思?SYN攻击是黑客攻击的常用手段，也是最容易被利用的一种攻击手法，属于DDoS攻击的一种，接下来我们来看看详细的内容介绍。

SYN是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。

TCP连接的第一个包，非常小的一种数据包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。

攻击性质

在黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。

SYN攻击属于DDoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。

服务器接收到连接请求(syn=j)，将此信息加入未连接队列，并发送请求包给客户(syn=k,ack=j+1)，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果。通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重则引起网络堵塞甚至系统瘫痪。

路由器的14个保护技巧

路由器的安全防范是网络安全的一个重要组成部分，还必须配合其他的安全防范措施，这样才能共同构筑起安全防范的整体工程。下面是可可经验频道我收集整理的路由器应当怎样保护，欢迎阅读。

1.为路由器间的协议交换增加认证功能，提高网络安全性

路由器的一个重要功能是路由的管理和维护，目前具有一定规模的网络都采用动态的路由协议,常用 的有：RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后，会学习网络上的路由信息表。 但此种方法可能导致网络拓扑信息泄漏，也可能由于向网络发送自己的路由信息表，扰乱网络上正常工作的路由信息表，严重时可以使整个网络瘫痪。

这个问题的解 决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式，就会鉴别路由信息的收发方。有两种鉴别方式，其中“纯文本方式”安全 性低，建议使用“MD5方式”。

2.路由器的物理安全防范

路由器控制端口是具有特殊权限的端口，如果攻击者物理接触路由器后，断电重启，实施“密码修复流程”，进而登录路由器，就可以完全控制路由器。

3.保护路由器口令

在备份的路由器配置文件中，密码即使是用加密的形式存放，密码明文仍存在被破解的可能。一旦密码泄漏，网络也就毫无安全可言。

4.阻止察看路由器诊断信息

关闭命令如下：noservicetcp-small-serversnoserviceudp-small-servers

5.阻止查看到路由器当前的用户列表

关闭命令为：noservicefinger。

6.关闭CDP服务

在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令:nocdprunning或nocdpenable关闭这个服务。

7.阻止路由器接收带源路由标记的包，将带有源路由选项的数据流丢弃

“IPsource-route”是一个全局配置命令，允许路由器处理带源路由选项标记的数据流。启用源路由选项后，源路由信息指定的路由使数据流能够越过默认的路由，这种包就可能绕过防火墙。关闭命令如下：noipsource-route。

8.关闭路由器广播包的转发

SumrfD.o.S攻击以有广播转发配置的路由器作为反射板，占用网络资源，甚至造成网络的瘫痪。应在每个端口应用“noipdirected-broadcast”关闭路由器广播包。

9.管理HTTP服务

HTTP服务提供Web管理接口。“noiphttpserver”可以停止HTTP服务。如 果必须使用HTTP，一定要使用访问列表“iphttpaccess-class”命令，严格过滤允许的IP地址，同时用 “iphttpauthentication”命令设定授权限制。

10.抵御spoofing(欺骗)类攻击

使用访问控制列表，过滤掉所有目标地址为网络广播地址和宣称来自内部网络，实际却来自外部的 包。在路由器端口配置：ipaccess-grouplistinnumber访问控制列表如下：

access- listnumberdenyicmpanyanyredirectaccess- listnumberdenyip127.0.0.00.255.255.255anyaccess- listnumberdenyip224.0.0.031.255.255.255anyaccess- listnumberdenyiphost0.0.0.0any

注:上述四行命令将过滤BOOTP/DHCP应用中的部分数据包，在类似环境中使用时要有 充分的认识。

11.防止包嗅探

黑客经常将嗅探软件安装在已经侵入的网络上的计算机内，监视网络数据流，从而盗窃密码,包括 SNMP通信密码，也包括路由器的登录和特权密码，这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持 加密协议，请使用SSH或KerberizedTelnet，或使用IPSec加密路由器所有的管理流。

12.校验数据流路径的合法性

使用RPF(reversepathforwarding)反相路径转发，由于攻击者地址是违 法的，所以攻击包被丢弃，从而达到抵御spoofing攻击的目的。RPF反相路径转发的配置命令为:ipverifyunicastrpf。注意:首先 要支持CEF(CiscoExpressForwarding)快速转发。

13.防止SYN攻击

目前，一些路由器的'软件平台可以开启TCP拦截功能，防止SYN攻击，工作模式分拦截和监视两 种，默认情况是拦截模式。(拦截模式:路由器响应到达的SYN请求，并且代替服务器发送一个SYN-ACK报文，然后等待客户机ACK。如果收到ACK， 再将原来的SYN报文发送到服务器;监视模式：路由器允许SYN请求直接到达服务器，如果这个会话在30秒内没有建立起来，路由器就会发送一个RST,以 清除这个连接。)首先，配置访问列表，以备开启需要保护的IP地址:

accesslist[1-199] [deny|permit]tcpanydestinationdestination-wildcard

然后，开启TCP拦截：

IptcpinterceptmodeinterceptIptcpinterceptlistaccesslist- numberIptcpinterceptmodewatch

14.使用安全的SNMP管理方案

SNMP广泛应用在路由器的监控、配置方面。SNMPVersion1在穿越公网的管理应用方 面，安全性低，不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令：snmp- servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式。不同的路由器设备配置不 同的数字签名密码，这是提高整体安全性能的有效手段。

总之，路由器的安全防范是网络安全的一个重要组成部分，还必须配合其他的安全防范措施，这样才能共同构筑起安全防范的整体工程。

SYN攻击原理

SYN是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。

TCP连接的第一个包，非常小的一种数据包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。

攻击性质

在黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。

SYN攻击属于DDoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。

服务器接收到连接请求(syn=j)，将此信息加入未连接队列，并发送请求包给客户(syn=k,ack=j+1)，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果。通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重则引起网络堵塞甚至系统瘫痪。

记住，定期更新你的路由器和WiFi网络是确保你的网络安全和性能的重要步骤。