侠诺科技：中小企业安全路由器手册（6）

三、阻挡特定服务

如果觉得一一设置阻挡很不方便，侠诺路由器提供一键挡特定的服务功能，可以通过设置将MSN、Skype、QQ、BT下载这些服务挡住，以方便用户的管理设置，以最简单的方法起到管制的作用。阻挡特定服务是以勾选的方法,决定限制那些服务,另外还提供有排除功能,可以排除特定IP用户,例如公司老板或是高管等。

图三: 本图可以看出内部网络192.168.1.2~100的 IP将不提供MSN及时信息服务功能，中小企业可以按照需要对内网IP的这几个特定服务做挡定设置。

四、洪水攻击阀值机制及语音告警

SYN Flood及新版的ARP攻击是近来企业最常面临的洪水攻击。SYN Flood是DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）方式之一，其攻击方式是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽，CPU满负荷或内存不足。ARP攻击则是基于ARP协议特性，攻击方向受攻击计算机不断发送欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在响应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

Qno侠诺引入路由器产品的一些功能，能让用户有更多弹性因应这些新形态的攻击作相对的配置。以下针对不同的攻击说明这些新导入的功能。

·洪水攻击防御的加强：洪水攻击属于DOS攻击的一种，它利用网络协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。受攻的击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，或最后产生TCP/IP堆栈溢出崩溃死机。

针对这种攻击，Qno侠诺路由器软件中的防火墙功能加上洪水攻击的阀值机制，用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包，设定阀值，如果超过特定阀值，则阻挡该IP或是整个网络的上网需求。在这个设定中，具有关键地位的是针对单一IP设定的阀值，根据侠诺的技术支持经验发现，设定在每秒2000个包，应可有效抵抗攻击。值得注意的是，当设定阀值太低时，对于QQ视频或是相似的应用，会产生影响，因此也不能设定太低。

图四：要对抗洪水攻击，必须针对大量发出网络包的IP地址加以管制，除了TCP协议外，现在UDP及ICMP网络协议的攻击也很普遍。

另外，以往的攻击往往利用TCP协议进行，最近发现UDP及ICMP的攻击形式也渐渐增加，因此在产品中加进了这个功能。

·MAC/IP欺骗型ARP攻击防御的加强：ARP攻击利用广播封包，影响网络的运作。侠诺之前推广了双向绑定的因应之道，即在客户端及路由器端都必须进行ARP协议的绑定，可预防受到干扰。但是新版ARP变型攻击软件采取自动变换IP及MAC的方式，不断发出网络包给路由器，让路由器忙于处理无用的数据包，而影响正常的运作。

在侠诺新版的软件中，加入了自动判别的功能，可以不理会非正常MAC或IP所发出的数据包，也不加以转发，可减少攻击所产生的影响。用户可在配置路由器时，进行学习功能，并确认正当的IP及MAC，之后路由器即可拒絶其它的网络包，以降低ARP攻击的影响。一旦本机制作用，受到影响的只会是发动攻击的计算机，因为忙于攻击而运作缓慢，但是其它用户不会受到影响。

·语音告警功能：新版Qno侠诺路由器内建发音功能，配合以上的功能，在第一时间可以针对新型态攻击阻挡，同时会以语音发出遭受攻击的讯息。此时网管可实时知道会受到攻击的情况，并可通过日志功能找出有问题的来源，加以隔离，并有效控制受害。侠诺强调同时在抵挡攻击及实时通知两方面都要作好，才能真正协助用户改善网络安全问题。