h3c路由器如何防止网络攻击

A. H3C路由怎么防止网络攻击

H3C路由怎么防止网络攻击

一、使用ip verfy unicast reverse-path检查每一个经过路由器的数据包，该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包，单一地址反向传输路径转发在ISP实现阻止SMURF攻击和其它基于IP地址伪装的攻击，这能够保护网络和客户免受来自互联网其它地方的侵扰。
二、使用Unicast RPF 需要打开路由器的CEF swithing选项，不需要将输入接口配置为CEF交换，只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换模式，反向传输路径转发属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。
三、使用访问控制列表过滤列出的所有地址
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
四、ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。
access-list 190 permit ip {客户端网络} {客户端网络掩码} any
access-list 190 deny ip any any [log]
interface {内部网络接口} {网络接口号}
ip access-group 190 in
五、如果打开了CEF功能，通过使用单一地址反向路径转发，能够充分地缩短访问控制列表的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。
六、如果突变速率设置超过30%，可能会丢失许多合法的SYN数据包，使用show interfaces rate-limit命令查看该网络接口的正常和过度速率，能够帮助确定合适的突变速率，这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。
最后要说一下，一般情况下推荐在网络正常工作时测量SYN数据包流量速率，以此基准数值加以调整，必须在进行测量时确保网络的正常工作以避免出现较大误差。

B. 如何避免路由器攻击九大方法

也就是说任何人都可以在其局域网上使用且仅能用于内部的IP地址。这些特定的IP地址是不允许用在公网上的。但在将路由器用于互联网上的通信时，它还使用另外一个不同的IP地址，即公网IP地址。路由器的管理员无法控制公网IP地址，它是由把路由器连接到互联网的ISP提供的。 这样一来，除非做到公网IP仅能被互联网上的计算机找到，而私有IP地址仅能被局域网上的计算机看到，这样才能够筑起一道屏障，否则黑客们便可能登录进路由器，进而危及到整个局域网的设备。 就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。 2. 修改默认口令：据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。3. 禁用HTTP设置和SNMP(简单网络管理协议)： 你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是，这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP，那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。 4. 封锁ICMP(互联网控制消息协议)ping请求： ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。 5. 禁用来自互联网的telnet命令： 在大多数情况下，你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。 6. 禁用IP定向广播： IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。 7. 禁用IP路由和IP重新定向： 重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。 8. 包过滤： 包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外，你可以封锁和允许IP地址和范围。9. 禁用不必要的服务： 无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务，如echo(回波)， chargen(字符发生器协议)和discard(抛弃协议)。这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。

C. 我公司里用H3C ER3100 企业级路由 日志管理出现了ARP攻击 怎么解决呢

原因1：有使用和你网关相同地址的小路由接在网络里了。
原因2：内网有机器发送arp欺骗。中毒后的表现或者使软件攻击呢。
解决：去掉小路由或者更改小路由的地址
关于内网的arp此类问题，我很有发言权，呵呵。我之前用过彩影、用过360、用过贝壳，用过在路由器设置ip mac绑定实现双绑，但还有问题。现使用的是免疫墙，问题解决。我比较看中免疫墙两点，能主动防止由终端发起的攻击，像费了我半天劲的arp问题，我看里面还能防止一些基于协议的攻击问题。 能防止终端私自改ip地址和mac地址，这点不错特别方便我网络管理。

D. 路由器怎么防止被攻击

现在每个家庭为了能使上网更方便基本上都装有一个路由器了，随之而来的安全隐患也被人们所重视，下面小编为大家整理了这篇教程，教大家如何防止自己的路由器被攻击，让我们一起来学习一下吧。

一、目前最常见的攻击手段为Smurf攻击，它是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，攻击的方法很多，但它们都具有一些共同的典型特征，使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据包消耗服务资源等。

二、Smurf攻击是根据它的攻击程序命名的，是一种ICMP echo flooding攻击，在这样的攻击中，ping包中包含的欺骗源地址指向的主机是最终的受害者，也是主要的受害者，而路由器连接的广播网段成为了攻击的帮凶，类似一个放大器，使网络流量迅速增大，也是受害者。

三、根据Smurf攻击的特征，可以从两个方面入手来防御Smurf的攻击，一是防止自己的网络成为攻击的帮凶即第一受害者，二是从最终受害者的角度来防御Smurf攻击。

Smurf要利用一个网络作为流量放大器，该网络必定具备以下特征：
(1)路由器允许有IP源地址欺骗的数据包通过;
(2)路由器将定向广播(发送到广播地址的数据包)转换成为第二层的广播并向连接网段广播;
(3)广播网络上的主机允许对ping广播作出回应;
(4)路由器对主机回应的ping数据流量未做限制。

E. 保护路由器如何才能防止网络黑客入侵

1. 更新路由器操作系统：就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向路由器厂商查询当前的更新和操作系统的版本。

2. 修改默认的口令：据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。

3. 禁用HTTP设置和SNMP（简单网络管理协议）：你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是，这对路由器来说也是一个安全问题。如果路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式。如果你没有使用路由器上的SNMP,那么就不需要启用这个功能。

4. 封锁ICMP（互联网控制消息协议）ping请求：ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用路由器上启用的ICMP功能找出可用来攻击网络的信息。

5. 禁用来自互联网的telnet命令：在大多数情况下，不需要来自互联网接口的主动的telnet会话。如果从内部访问路由器设置会更安全一些。
   

F. 路由器如何设置可以一定程度的防止被攻击呢

在防范攻击的手段中，“绑定IP地址”和“MAC地址”是最有效的防范入侵的方法，用户在对设备进行绑定后，其它设备就无法访问该网络。这样一来，其它设备无法访问路由器，也就无法进行入侵活动，安全性增强了不少。

G. 路由器如何阻止外部网络攻击谢谢高手

路由器本身自带防火墙的，你说本地连提示接受到攻击，是否提示ARP受到攻击，可能是另外一台电脑感染病毒正在攻击你的电脑，还有可能是来自IP冲突，IP攻击，2，不用给路由器装ARP防火墙一个360安全卫士都自带一个功能了，你把它的各种防火墙开启就不会招受ARP攻击了

H. 求助路由器如何防止被人网络攻击

不该是有人攻击，而是你无线路由，地址和DNS设置有误，网线插到路由地址设手动（交换机地址），ARP攻击你绑定网卡地址，用360简单些，手动设置复杂

I. 华为H3C路由器如何防止被攻击

要看是什么攻击了？像H3C的ER系列的路由可以防止ARP病毒、简单的外网入侵攻击、网页过滤、p2p限速功能。如果需要回复我我传个操作文档给你

J. 路由器如何设置可以防止局域网内的ARP攻击

1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：
第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；
第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；
第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。
2、指定ARP对应关系：其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。
第一步：假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；
第二步：使用arp -s命令来添加一条ARP地址对应关系， 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；
第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载，就可以免除因为ARP静态映射信息丢失的困扰了。
3、添加路由信息应对ARP欺骗：
一般的ARP欺骗都是针对网关的，那么是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；
第二步：手动添加路由，详细的命令如下：删除默认的路由: route delete 0.0.0.0;添加路由:
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改:
route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。
4、安装杀毒软件：安装杀毒软件并及时升级，另外建议有条件的企业可以使用网络版的防病毒软件