h3c路由器如何防止網路攻擊

A. H3C路由怎麼防止網路攻擊

H3C路由怎麼防止網路攻擊

一、使用ip verfy unicast reverse-path檢查每一個經過路由器的數據包，該數據包所到達網路介面的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包，單一地址反向傳輸路徑轉發在ISP實現阻止SMURF攻擊和其它基於IP地址偽裝的攻擊，這能夠保護網路和客戶免受來自互聯網其它地方的侵擾。
二、使用Unicast RPF 需要打開路由器的CEF swithing選項，不需要將輸入介面配置為CEF交換，只要該路由器打開了CEF功能，所有獨立的網路介面都可以配置為其它交換模式，反向傳輸路徑轉發屬於在一個網路介面或子介面上激活的輸入端功能，處理路由器接收的數據包。
三、使用訪問控制列表過濾列出的所有地址
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
四、ISP端邊界路由器應該只接受源地址屬於客戶端網路的通信，而客戶端網路則應該只接受源地址未被客戶端網路過濾的通信。
access-list 190 permit ip {客戶端網路} {客戶端網路掩碼} any
access-list 190 deny ip any any [log]
interface {內部網路介面} {網路介面號}
ip access-group 190 in
五、如果打開了CEF功能，通過使用單一地址反向路徑轉發，能夠充分地縮短訪問控制列表的長度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開CEF;打開這個功能的網路介面並不需要是CEF交換介面。
六、如果突變速率設置超過30%，可能會丟失許多合法的SYN數據包，使用show interfaces rate-limit命令查看該網路介面的正常和過度速率，能夠幫助確定合適的突變速率，這個SYN速率限制數值設置標準是保證正常通信的基礎上盡可能地小。
最後要說一下，一般情況下推薦在網路正常工作時測量SYN數據包流量速率，以此基準數值加以調整，必須在進行測量時確保網路的正常工作以避免出現較大誤差。

B. 如何避免路由器攻擊九大方法

也就是說任何人都可以在其區域網上使用且僅能用於內部的IP地址。這些特定的IP地址是不允許用在公網上的。但在將路由器用於互聯網上的通信時，它還使用另外一個不同的IP地址，即公網IP地址。路由器的管理員無法控制公網IP地址，它是由把路由器連接到互聯網的ISP提供的。 這樣一來，除非做到公網IP僅能被互聯網上的計算機找到，而私有IP地址僅能被區域網上的計算機看到，這樣才能夠築起一道屏障，否則黑客們便可能登錄進路由器，進而危及到整個區域網的設備。 就像網路操作系統一樣，路由器操作系統也需要更新，以便糾正編程錯誤、軟體瑕疵和緩存溢出的問題。要經常向你的路由器廠商查詢當前的更新和操作系統的版本。 2. 修改默認口令：據卡內基梅隆大學的計算機應急反應小組稱，80%的安全事件都是由於較弱或者默認的口令引起的。避免使用普通的口令，並且使用大小寫字母混合的方式作為更強大的口令規則。3. 禁用HTTP設置和SNMP(簡單網路管理協議)： 你的路由器的HTTP設置部分對於一個繁忙的網路管理員來說是很容易設置的。但是，這對路由器來說也是一個安全問題。如果你的路由器有一個命令行設置，禁用HTTP方式並且使用這種設置方式。如果你沒有使用你的路由器上的SNMP，那麼你就不需要啟用這個功能。思科路由器存在一個容易遭受GRE隧道攻擊的SNMP安全漏洞。 4. 封鎖ICMP(互聯網控制消息協議)ping請求： ping和其它ICMP功能對於網路管理員和黑客都是非常有用的工具。黑客能夠利用你的路由器上啟用的ICMP功能找出可用來攻擊你的網路的信息。 5. 禁用來自互聯網的telnet命令： 在大多數情況下，你不需要來自互聯網介面的主動的telnet會話。如果從內部訪問你的路由器設置會更安全一些。 6. 禁用IP定向廣播： IP定向廣播能夠允許對你的設備實施拒絕服務攻擊。一台路由器的內存和CPU難以承受太多的請求。這種結果會導致緩存溢出。 7. 禁用IP路由和IP重新定向： 重新定向允許數據包從一個介面進來然後從另一個介面出去。你不需要把精心設計的數據包重新定向到專用的內部網路。 8. 包過濾： 包過濾僅傳遞你允許進入你的網路的那種數據包。許多公司僅允許使用80埠(HTTP)和110/25埠(電子郵件)。此外，你可以封鎖和允許IP地址和范圍。9. 禁用不必要的服務： 無論是路由器、伺服器和工作站上的不必要的服務都要禁用。思科的設備通過網路操作系統默認地提供一些小的服務，如echo(回波)， chargen(字元發生器協議)和discard(拋棄協議)。這些服務，特別是它們的UDP服務，很少用於合法的目的。但是，這些服務能夠用來實施拒絕服務攻擊和其它攻擊。包過濾可以防止這些攻擊。

C. 我公司里用H3C ER3100 企業級路由 日誌管理出現了ARP攻擊 怎麼解決呢

原因1：有使用和你網關相同地址的小路由接在網路里了。
原因2：內網有機器發送arp欺騙。中毒後的表現或者使軟體攻擊呢。
解決：去掉小路由或者更改小路由的地址
關於內網的arp此類問題，我很有發言權，呵呵。我之前用過彩影、用過360、用過貝殼，用過在路由器設置ip mac綁定實現雙綁，但還有問題。現使用的是免疫牆，問題解決。我比較看中免疫牆兩點，能主動防止由終端發起的攻擊，像費了我半天勁的arp問題，我看裡面還能防止一些基於協議的攻擊問題。 能防止終端私自改ip地址和mac地址，這點不錯特別方便我網路管理。

D. 路由器怎麼防止被攻擊

現在每個家庭為了能使上網更方便基本上都裝有一個路由器了，隨之而來的安全隱患也被人們所重視，下面小編為大家整理了這篇教程，教大家如何防止自己的路由器被攻擊，讓我們一起來學習一下吧。

一、目前最常見的攻擊手段為Smurf攻擊，它是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務的響應，攻擊的方法很多，但它們都具有一些共同的典型特徵，使用欺騙的源地址、使用網路協議的缺陷、使用操作系統或軟體的漏洞、在網路上產生大量的無用數據包消耗服務資源等。

二、Smurf攻擊是根據它的攻擊程序命名的，是一種ICMP echo flooding攻擊，在這樣的攻擊中，ping包中包含的欺騙源地址指向的主機是最終的受害者，也是主要的受害者，而路由器連接的廣播網段成為了攻擊的幫凶，類似一個放大器，使網路流量迅速增大，也是受害者。

三、根據Smurf攻擊的特徵，可以從兩個方面入手來防禦Smurf的攻擊，一是防止自己的網路成為攻擊的幫凶即第一受害者，二是從最終受害者的角度來防禦Smurf攻擊。

Smurf要利用一個網路作為流量放大器，該網路必定具備以下特徵：
(1)路由器允許有IP源地址欺騙的數據包通過;
(2)路由器將定向廣播(發送到廣播地址的數據包)轉換成為第二層的廣播並向連接網段廣播;
(3)廣播網路上的主機允許對ping廣播作出回應;
(4)路由器對主機回應的ping數據流量未做限制。

E. 保護路由器如何才能防止網路黑客入侵

1. 更新路由器操作系統：就像網路操作系統一樣，路由器操作系統也需要更新，以便糾正編程錯誤、軟體瑕疵和緩存溢出的問題。要經常向路由器廠商查詢當前的更新和操作系統的版本。

2. 修改默認的口令：據卡內基梅隆大學的計算機應急反應小組稱，80%的安全事件都是由於較弱或者默認的口令引起的。避免使用普通的口令，並且使用大小寫字母混合的方式作為更強大的口令規則。

3. 禁用HTTP設置和SNMP（簡單網路管理協議）：你的路由器的HTTP設置部分對於一個繁忙的網路管理員來說是很容易設置的。但是，這對路由器來說也是一個安全問題。如果路由器有一個命令行設置，禁用HTTP方式並且使用這種設置方式。如果你沒有使用路由器上的SNMP,那麼就不需要啟用這個功能。

4. 封鎖ICMP（互聯網控制消息協議）ping請求：ping和其它ICMP功能對於網路管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網路的信息。

5. 禁用來自互聯網的telnet命令：在大多數情況下，不需要來自互聯網介面的主動的telnet會話。如果從內部訪問路由器設置會更安全一些。
   

F. 路由器如何設置可以一定程度的防止被攻擊呢

在防範攻擊的手段中，「綁定IP地址」和「MAC地址」是最有效的防範入侵的方法，用戶在對設備進行綁定後，其它設備就無法訪問該網路。這樣一來，其它設備無法訪問路由器，也就無法進行入侵活動，安全性增強了不少。

G. 路由器如何阻止外部網路攻擊謝謝高手

路由器本身自帶防火牆的，你說本地連提示接受到攻擊，是否提示ARP受到攻擊，可能是另外一台電腦感染病毒正在攻擊你的電腦，還有可能是來自IP沖突，IP攻擊，2，不用給路由器裝ARP防火牆一個360安全衛士都自帶一個功能了，你把它的各種防火牆開啟就不會招受ARP攻擊了

H. 求助路由器如何防止被人網路攻擊

不該是有人攻擊，而是你無線路由，地址和DNS設置有誤，網線插到路由地址設手動（交換機地址），ARP攻擊你綁定網卡地址，用360簡單些，手動設置復雜

I. 華為H3C路由器如何防止被攻擊

要看是什麼攻擊了？像H3C的ER系列的路由可以防止ARP病毒、簡單的外網入侵攻擊、網頁過濾、p2p限速功能。如果需要回復我我傳個操作文檔給你

J. 路由器如何設置可以防止區域網內的ARP攻擊

1、清空ARP緩存: 大家可能都曾經有過使用ARP的指令法解決過ARP欺騙問題，該方法是針對ARP欺騙原理進行解決的。一般來說ARP欺騙都是通過發送虛假的MAC地址與IP地址的對應ARP數據包來迷惑網路設備，用虛假的或錯誤的MAC地址與IP地址對應關系取代正確的對應關系。若是一些初級的ARP欺騙，可以通過ARP的指令來清空本機的ARP緩存對應關系，讓網路設備從網路中重新獲得正確的對應關系，具體解決過程如下：
第一步：通過點擊桌面上任務欄的「開始」->「運行」，然後輸入cmd後回車，進入cmd(黑色背景)命令行模式；
第二步：在命令行模式下輸入arp -a命令來查看當前本機儲存在本地系統ARP緩存中IP和MAC對應關系的信息；
第三步：使用arp -d命令，將儲存在本機系統中的ARP緩存信息清空，這樣錯誤的ARP緩存信息就被刪除了，本機將重新從網路中獲得正確的ARP信息，達到區域網機器間互訪和正常上網的目的。如果是遇到使用ARP欺騙工具來進行攻擊的情況，使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時間自動發送ARP欺騙數據包，這時使用清空ARP緩存的方法將無能為力了。下面將接收另外一種，可以解決感染ARP欺騙病毒的方法。
2、指定ARP對應關系：其實該方法就是強制指定ARP對應關系。由於絕大部分ARP欺騙病毒都是針對網關MAC地址進行攻擊的，使本機上ARP緩存中存儲的網關設備的信息出現紊亂，這樣當機器要上網發送數據包給網關時就會因為地址錯誤而失敗，造成計算機無法上網。
第一步：假設網關地址的MAC信息為00-14-78-a7-77-5c，對應的IP地址為192.168.2.1。指定ARP對應關系就是指這些地址。在感染了病毒的機器上，點擊桌面->任務欄的「開始」->「運行」，輸入cmd後回車，進入cmd命令行模式；
第二步：使用arp -s命令來添加一條ARP地址對應關系， 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。這樣就將網關地址的IP與正確的MAC地址綁定好了，本機網路連接將恢復正常了；
第三步：因為每次重新啟動計算機的時候，ARP緩存信息都會被全部清除。所以應該把這個ARP靜態地址添加指令寫到一個批處理文件（例如：bat）中，然後將這個文件放到系統的啟動項中。當程序隨系統的啟動而載入，就可以免除因為ARP靜態映射信息丟失的困擾了。
3、添加路由信息應對ARP欺騙：
一般的ARP欺騙都是針對網關的，那麼是否可以通過給本機添加路由來解決此問題呢。只要添加了路由，那麼上網時都通過此路由出去即可，自然也不會被ARP欺騙數據包干擾了。第一步：先通過點擊桌面上任務欄的「開始」->「運行」，然後輸入cmd後回車，進入cmd(黑色背景)命令行模式；
第二步：手動添加路由，詳細的命令如下：刪除默認的路由: route delete 0.0.0.0;添加路由:
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;確認修改:
route change此方法對網關固定的情況比較適合，如果將來更改了網關，那麼就需要更改所有的客戶端的路由配置了。
4、安裝殺毒軟體：安裝殺毒軟體並及時升級，另外建議有條件的企業可以使用網路版的防病毒軟體