路由器设置实现DDoS防御详解

该博文提到了Tripwire对653名IT专业人员和约1000名远程员工开展的一项调查；调查显示，80%的畅销小型办公室/家庭办公（SOHO）无线路由器存在安全漏洞。Avast特别指出，全球50%以上的路由器使用默认或基本的用户名和密码组合，比如“admin”和“password”，关于路由器的方法数不胜数，但鉴于现今不断盛行的DDoS攻击都是基于连网的家庭智能设备，所以本文想和读者分享一些目前最新的且具有针对性的路由器防护方法，让您的家庭网络更加安全。

对路由器设置特定的IP地址

当我们设置路由器时，首先第一件事就是在浏览器中输入路由器的管理地址，进入路由器管理界面，但是有时候为了安全考虑，网络管理员会修改路由器的默认管理地址为其他地址。

我们在家里一般都是从WLAN内获得对路由器基于web的管理接口的访问，通常不需要远程管理路由器，但安全做法并不应该是这样。用户应该使用虚拟专用网络（VPN）首先安全地连接到本地网络，然后再访问路由器的接口。这样，攻击者就不能从网络直接访问路由器了。

如果用户采取上面的保护方法，就可以进一步锁定他们的路由器了，通过指定一个互联网协议（IP）地址，用户就可以管理路由器。具体方法如下：用户可以通过手动配置计算机以在需要连接到路由器时，通过路由器的动态主机配置协议（DHCP）自动使用尚未分配给WLAN上的其他设备的特定IP地址。

用户还应该看看他们是否可以将他们的路由器的LAN IP地址更改为DHCP地址池中的第一个地址以外的地址。这样就把路由器从整个网络分开，这样做将有助于保护路由器免受跨站点请求伪造（CSRF）的攻击。

不要使用无线安全设置

对于一般用户，无线安全设置（WPS）提供了一个相当简便的加密方法。通过该功能，不仅可将都具有WPS功能的Wi-Fi设备和无线路由器进行快速互联，还会随机产生一个八位数字的字符串作为个人识别号码（PIN）进行加密操作。省去了客户端需要连入无线网络时，必须手动添加网络名称（SSID）及输入冗长的无线加密密码的繁琐过程。

显然，路由器制造商认为对无线网加密是个复杂的过程，所以为了方便用户也为了让自己的设备卖得更好，所以就有了WPS。该功能允许新用户通过输入一个8位数的PIN来加入网络，当正确提交时，将更复杂的PSK传送到其设备，并从现在开始存储它。

但任何容易设置的东西同时也容易遭到攻击的东西。事实证明是正确的。美国计算机应急准备小组(US-CERT) 早在2012年就把WPS的安全漏洞公之于众了。其实早在2011年，就有攻击者可以强制获得有线等效保密（WEP）或Wi-Fi保护访问（WPA）的密码了。目前还没有针对WPS缺陷的通用补丁，除非设备生产商把所有的设备进行更新。

考虑网络分段和MAC地址过滤

网络分段是和无线MAC地址过滤功都能有效控制无线网络内用户的上网权限，实施分离的VLAN就可以将物联网设备与其他部分相隔离。如果攻击者侵入并访问VLAN，则在大多数情况下，是不对影响的其他连网设备的。

为了进一步加强安全，用户可以利用每个计算设备的媒体访问控制（MAC）地址或其唯一的硬编码标识符将该设备列入白名单并批准其对无线网的访问。这样那些没有访问权限的设备就不会连接到路由器了。

端口转发和IP过滤结合使用

许多家庭路由器都配有防火墙，以便阻止互联网上的所有设备与本地网络上的设备连接。

路由器和计算设备通常具有通用即插即用（UPnP）的特征。路由器UPnP功能用于实现局域网计算机和智能移动设备，通过网络自动彼此对等连接，而且连接过程无需用户的参与。但并不是用户都希望他们的设备被自动连接，这个时候用户可以设置端口转发。

然而，并不是所有的计算机都具有这种能力。在某些情况下，用户可能不希望互联网上的漫游者发现其网络上的某个设备。为了适应这种类型的场景，用户可以设置所谓的端口转发。端口转发是一组防火墙入站规则，告诉路由器读取每个传入数据包的源IP地址，TCP中的源端口号等其他特性。根据这些特性，路由器就可以对特定的设备发送数据包或阻止不符合特性的访问。

端口转发和IP过滤结合使用所起的作用就是指定哪些IP地址可以使用哪些特定端口才能连入网络，这样路由器的安全性就提高了很多。