TP-LINK无线路由器配置高级安全设置

大家应该或多或少的听说过DOS(拒绝服务)攻击,大概原理就是发起攻击的主机向被攻击主机发送大量需要处理的信息,直到受害主机不能处理其他的正常访问请求,如果发起攻击的主机源地址不止一个,则称为DDOS(分布式拒绝服务攻击),受害主机的硬件配置够档次的话还能坚持个一时半会儿,如果是低端的配置,基本秒杀,我们可以配置无线路由器防止局域网的主机参与这种勾当,一旦发现,立即就地正法,攻击主机将被禁止连接到网络,下面我们就以TP-LINK(普联)无线路由器为例演示如何配置高级安全设置来预防DOS攻击。

配置高级安全设置

选择菜单中的“安全设置-高级安全设置”:

配置高级安全设置
  • 数据包统计时间间隔:从字面意思就很好理解了,就是多长时间对通过无线路由器的数据流进行一次采样分析,这里的值和“系统工具-流量统计”中的“数据包统计时间间隔”是同一个,改哪里都可以。
  • DOS攻击防范:只有开启了这项设置,下边的几种具体防范措施才能被勾选。
  • 开启ICMP-FLOOD攻击过滤:PING命令发出的数据包就是ICMP信息流的一种,旧版本的系统在收到大量ICMP数据包时会导致系统瘫痪,传说中的“死亡之PING”就属这类攻击。
  • ICMP-FLOOD数据包阈值:当ICMP数据包的发送速率大于这里设置的值,将被认为是ICMP-FLOOD攻击。
  • 开启UDP-FLOOD攻击过滤:在OSI参考模型中,TCP和UDP是传输层的两种协议,UDP协议的特点在于数据包的发送和接收不需要事先建立连接,比如DNS服务就使用的UDP53端口对外提供服务(详细信息请参考WINDOWS下常用的服务以及对应的端口一文)。
  • UDP-FLOOD数据包阈值:解释同ICMP-FLOOD数据包阈值。
  • 开启TCP-SYN-FLOOD攻击过滤:上边说了UDP,再来说说TCP,SYN是进行TCP通讯时建立连接时的一种状态,也就是传说中的同步状态,攻击主机可以向受害主机发送大量的SYN请求,然而攻击者并不完成同步,这样受害者只会傻傻的等,很阴险的说。
  • TCP-SYN-FLOOD数据包阈值:意思同上边两条。
  • 忽略来自WAN口的PING:一旦开启此功能,则任何广域网主机都无法PING通无线路由器的WAN口。
  • 禁止来自LAN口的PING包通过路由器:这项功能是禁止局域网的主机发起对广域网主机的PING操作。

设置完成,点击保存。

DOS被禁主机列表

被认为是攻击者的主机将自动添加到这张表中,换句话说,这里的主机已经无法连接到广域网,点击删除可以解除对主机的封锁。

DOS被禁主机列表

注意事项

必须开启“系统工具-流量统计”中的流量统计功能,防DOS攻击的设置才会生效,其他高级设置请参阅TP-LINK(普联)无线路由器设置http://www.today-wx.com/special/tplink