SYN Flood及新版的ARP攻擊是近來企業(yè)最常面臨的洪水攻擊。SYN Flood是DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）方式之一，其攻擊方式是利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡，CPU滿負(fù)荷或內(nèi)存不足。ARP攻擊則是基于ARP協(xié)議特性，攻擊方向受攻擊計(jì)算機(jī)不斷發(fā)送欺詐性質(zhì)的ARP數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址，使對方在響應(yīng)報(bào)文時(shí)，由于簡單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。
Qno俠諾引入路由器產(chǎn)品的一些功能，能讓用戶有更多彈性因應(yīng)這些新形態(tài)的攻擊作相對的配置。以下針對不同的攻擊說明這些新導(dǎo)入的功能。
•洪水攻擊防御的加強(qiáng)：洪水攻擊屬于DOS攻擊的一種，它利用缺陷，通過發(fā)送大量的半連接請求，耗費(fèi)CPU和內(nèi)存資源。受攻的擊路由器將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求，或最后產(chǎn)生TCP/IP堆棧溢出崩潰死機(jī)。
針對這種攻擊，Qno俠諾路由器軟件中的防火墻功能加上洪水攻擊的閥值機(jī)制，用戶可針對網(wǎng)絡(luò)廣域網(wǎng)及局域網(wǎng)每秒網(wǎng)絡(luò)包或是單一IP每秒發(fā)出網(wǎng)絡(luò)包，設(shè)定閥值，如果超過特定閥值，則阻擋該IP或是整個(gè)網(wǎng)絡(luò)的上網(wǎng)需求。在這個(gè)設(shè)定中，具有關(guān)鍵地位的是針對單一IP設(shè)定的閥值，根據(jù)俠諾的技術(shù)支持經(jīng)驗(yàn)發(fā)現(xiàn)，設(shè)定在每秒2000個(gè)包，應(yīng)可有效抵抗攻擊。值得注意的是，當(dāng)設(shè)定閥值太低時(shí)，對于QQ視頻或是相似的應(yīng)用，會產(chǎn)生影響，因此也不能設(shè)定太低。
圖四：要對抗洪水攻擊，必須針對大量發(fā)出網(wǎng)絡(luò)包的IP地址加以管制，除了TCP協(xié)議外，現(xiàn)在UDP及ICMP網(wǎng)絡(luò)協(xié)議的攻擊也很普遍。
另外，以往的攻擊往往利用TCP協(xié)議進(jìn)行，最近發(fā)現(xiàn)UDP及ICMP的攻擊形式也漸漸增加，因此在產(chǎn)品中加進(jìn)了這個(gè)功能。

•MAC/IP欺騙型ARP攻擊防御的加強(qiáng)：ARP攻擊利用廣播封包，影響網(wǎng)絡(luò)的運(yùn)作。俠諾之前推廣了雙向綁定的因應(yīng)之道，即在客戶端及路由器端都必須進(jìn)行ARP協(xié)議的綁定，可預(yù)防受到干擾。但是新版ARP變型攻擊軟件采取自動變換IP及MAC的方式，不斷發(fā)出網(wǎng)絡(luò)包給路由器，讓路由器忙于處理無用的數(shù)據(jù)包，而影響正常的運(yùn)作。
在俠諾新版的軟件中，加入了自動判別的功能，可以不理會非正常MAC或IP所發(fā)出的數(shù)據(jù)包，也不加以轉(zhuǎn)發(fā)，可減少攻擊所產(chǎn)生的影響。用戶可在配置路由器時(shí)，進(jìn)行學(xué)習(xí)功能，并確認(rèn)正當(dāng)?shù)腎P及MAC，之后路由器即可拒絶其它的網(wǎng)絡(luò)包，以降低ARP攻擊的影響。一旦本機(jī)制作用，受到影響的只會是發(fā)動攻擊的計(jì)算機(jī)，因?yàn)槊τ诠�擊而運(yùn)作緩慢，但是其它用戶不會受到影響。
•語音告警功能：新版Qno俠諾路由器內(nèi)建發(fā)音功能，配合以上的功能，在第一時(shí)間可以針對新型態(tài)攻擊阻擋，同時(shí)會以語音發(fā)出遭受攻擊的訊息。此時(shí)網(wǎng)管可實(shí)時(shí)知道會受到攻擊的情況，并可通過日志功能找出有問題的來源，加以隔離，并有效控制受害。俠諾強(qiáng)調(diào)同時(shí)在抵擋攻擊及實(shí)時(shí)通知兩方面都要作好，才能真正協(xié)助用戶改善網(wǎng)絡(luò)安全問題。
【相關(guān)文章】

• 中小企業(yè)安全路由器基本配置

• 守衛(wèi)網(wǎng)絡(luò)門戶路由器安全設(shè)置接觸

• 路由器防火墻配置命令