保護路由器免受DDoS攻擊的5個最新絕招

在如今家裡所有與互聯網連接的設備中，網路路由器仍然絕對是頭號攻擊目標。

Avast Software公司在今年早些時候的一篇博文中說：「大多數互聯網路由器（可謂是家庭網路的基礎）存在大量安全問題，這讓它們很容易被黑客盯上。

該博文提到了Tripwire對653名IT專業人員和約1000名遠程員工開展的一項調查；調查顯示，80%的暢銷小型辦公室/家庭辦公（SOHO）無線路由器存在安全漏洞。Avast特別指出，全球50%以上的路由器使用默認或基本的用戶名和密碼組合，比如「admin」和「password」，關於路由器的方法數不勝數，但鑒於現今不斷盛行的DDoS攻擊都是基於連網的家庭智能設備，所以本文想和讀者分享一些目前最新的且具有針對性的路由器防護方法，讓您的家庭網路更加安全。

對路由器設置特定的IP地址

當我們設置路由器時，首先第一件事就是在瀏覽器中輸入路由器的管理地址，進入路由器管理界面，但是有時候為了安全考慮，網路管理員會修改路由器的默認管理地址為其他地址。

我們在家裡一般都是從WLAN內獲得對路由器基於web的管理介面的訪問，通常不需要遠程管理路由器，但安全做法並不應該是這樣。用戶應該使用虛擬專用網路（VPN）首先安全地連接到本地網路，然後再訪問路由器的介面。這樣，攻擊者就不能從網路直接訪問路由器了。

如果用戶採取上面的保護方法，就可以進一步鎖定他們的路由器了，通過指定一個互聯網協議（IP）地址，用戶就可以管理路由器。具體方法如下：用戶可以通過手動配置計算機以在需要連接到路由器時，通過路由器的動態主機配置協議（DHCP）自動使用尚未分配給WLAN上的其他設備的特定IP地址。

用戶還應該看看他們是否可以將他們的路由器的LAN IP地址更改為DHCP地址池中的第一個地址以外的地址。這樣就把路由器從整個網路分開，這樣做將有助於保護路由器免受跨站點請求偽造（CSRF）的攻擊。

不要使用無線安全設置

對於一般用戶，無線安全設置（WPS）提供了一個相當簡便的加密方法。通過該功能，不僅可將都具有WPS功能的Wi-Fi設備和無線路由器進行快速互聯，還會隨機產生一個八位數字的字元串作為個人識別號碼（PIN）進行加密操作。省去了客戶端需要連入無線網路時，必須手動添加網路名稱（SSID）及輸入冗長的無線加密密碼的繁瑣過程。

顯然，路由器製造商認為對無線網加密是個複雜的過程，所以為了方便用戶也為了讓自己的設備賣得更好，所以就有了WPS。該功能允許新用戶通過輸入一個8位數的PIN來加入網路，當正確提交時，將更複雜的PSK傳送到其設備，並從現在開始存儲它。

但任何容易設置的東西同時也容易遭到攻擊的東西。事實證明是正確的。美國計算機應急準備小組(US-CERT) 早在2012年就把WPS的安全漏洞公之於眾了。其實早在2011年，就有攻擊者可以強制獲得有線等效保密（WEP）或Wi-Fi保護訪問（WPA）的密碼了。目前還沒有針對WPS缺陷的通用補丁，除非設備生產商把所有的設備進行更新。

考慮網路分段和MAC地址過濾

網路分段是和無線MAC地址過濾功都能有效控制無線網路內用戶的上網許可權，實施分離的VLAN就可以將物聯網設備與其他部分相隔離。如果攻擊者侵入並訪問VLAN，則在大多數情況下，是不對影響的其他連網設備的。

為了進一步加強安全，用戶可以利用每個計算設備的媒體訪問控制（MAC）地址或其唯一的硬編碼標識符將該設備列入白名單並批准其對無線網的訪問。這樣那些沒有訪問許可權的設備就不會連接到路由器了。

埠轉發和IP過濾結合使用

許多家庭路由器都配有防火牆，以便阻止互聯網上的所有設備與本地網路上的設備連接。

路由器和計算設備通常具有通用即插即用（UPnP）的特徵。路由器UPnP功能用於實現區域網計算機和智能移動設備，通過網路自動彼此對等連接，而且連接過程無需用戶的參與。但並不是用戶都希望他們的設備被自動連接，這個時候用戶可以設置埠轉發。

然而，並不是所有的計算機都具有這種能力。在某些情況下，用戶可能不希望互聯網上的漫遊者發現其網路上的某個設備。為了適應這種類型的場景，用戶可以設置所謂的埠轉發。埠轉發是一組防火牆入站規則，告訴路由器讀取每個傳入數據包的源IP地址，TCP中的源埠號等其他特性。根據這些特性，路由器就可以對特定的設備發送數據包或阻止不符合特性的訪問。

埠轉發和IP過濾結合使用所起的作用就是指定哪些IP地址可以使用哪些特定埠才能連入網路，這樣路由器的安全性就提高了很多。

對新買的路由器設備進行一些安全加固

大多數時候，家庭用路由器上預安裝的固件在安全性方面都比較弱。用戶最好再找一些最新的防護設備來對設備進行加固。

註：本文參考來源於grahamcluley

推薦閱讀：