关于路由器不启动DOS自动攻击问题

现在国内的网络形成了“北网通南电信”的格局，这使得电信用户在访问网通线路时速度变慢的问题。一些企业由于业务的需要，不得不同时访问电信与网通网络，许多企业采用了同时申请两条线路来回手工切换使用的方法，但这样操作起来比较麻烦，如何使得两络线路自动切换，在企业访问电信或网通网络时能够实现自动使用相应的网关，这样就可以加快网络速度，同时提高了企业员工的工作效率。

为了解决上面的问题，那就使用双Wan口路由器吧，这类路由器准许用户同时接入两条线路，这两条线路可以实现互相备份、负载均衡的功能，在用户访问网通或是电信网络的时候，就会自动切换到相应的线路， 这样就不会有网络速度慢的现像，同时大大的提高了企业员工的工作效率。另外该类路由器针对企业安全考虑，都内置了强大的防火墙解决方案，能够为企业的安全提供周到的服务，有效的各种网络攻击。

对于中小型企业来说，一般双Wan口路由器完可以满足需求，在这里笔者给大家介绍四款2000元左右的又Wan口路由器，希望能够帮助企业在选购路由器时提供参考。

一、选购注意事项

由于双Wan口企业路由器的不同，他们也都各有自己的特点，这样在选购双Wan口路由器的时候就需要特别注意以下三个事项。

1、配置简单：由于企业网管的技术参差不齐，所以在选购路由器的时候尽可能的选择功能强大，配置简单，界面简洁的路由器，这样就可以大大的提高网络的工作效率。同时能够准确快速的配置路由器。

2、端口选择：又Wan口路由器虽然都是提供两个接入外网接口，但有的提供两个光缆接口，有的提供一个光缆接口，一个电话线ADSL拨号接口，而有的提供两个ADSL拨号接口，所以在购买时需要按自己当前的接入方式来选择对应的双Wan口路由器。

3、网络安全：企业信息的安全是每一位网管人员所最关心的问题，现在网上的病毒木马横行，同时还经常遭受内网或外网的ARP攻击，使得网管人员不胜其烦，所以宽带中器应提供强大的防火墙功能，能够把恶意网络攻击阻挡在企业之外，保护企业数据的安全。

二、双Wan口宽带路由器推荐

1、病毒自动隔离 TP-LINK TL-R480T+

参考报价：2300元

使用感受：

TL－R480T+是一款双Wan口的宽带路由器，能够同时连接XDSL、以太网或Cable等不同的ISP宽带接入方式，享受到更多的服务。同样该路由器提供了全自动负载均衡策略，能够保障企业稳定的接入互联网。另外该路由器还具有定时、按需拨号，上网权限管理及病毒自动隔离、系统安全日志等高级功能，同时具有全中文配置界面，用户配置简单易用，即使是菜鸟也可以轻松上手。另外该路由器功能强大，操作却非常简单，特别是提供了自动病毒隔离功能，使得企业不会受到病毒的攻击，该路由器能够同时连接100台左右的机器。

TL－R480T+

产品介绍：

TL－R480T+采用了可靠性的1U钢壳结构，同时内置电源，能够保障路由器长期稳定的运行。另外提供了3个10／100M自适应以太网接口，可以实现与内部局域网高速连接，支持DCHP服务器，可以进行静态地址分配，内建防火墙支持域名过滤及MAC地址过滤功能，可以支持虚拟服务器、DMZ主机，能够防止DOS攻击，另外还具有商品自动翻转功能。提供了手动复位按钮，可以快速回复到出厂值，支持TFTP在线软件升级功能。2、智能高效 欣向NuR8021

参考报价：1800

使用感受：

欣向NuR8021双Wan口宽带路由器同样拥有两种宽带外线接入功能，适用于ADSL、光纤、以太网、Cable Modem等各种宽带接入环境，特别是几种方式的混合接入，NuR8021提供的智能带宽分配与高效路由策略，能够最大限度的发挥不同类型宽带接入的效率。另外欣向NuR8021的核心软件是采用VxWorks嵌入式系统编制，专门设计了三种智能负载均衡机制，可以在三种工作模式下运行。而出色的安全策略使路由器具有异常的稳定性，实时的Firmware更新，保证了路由器软件始终处于最新状态。在网络安全方面，欣向NuR8021提供了高效的QoS算法与出色的防范DoS攻击的能力，在实际的使用环境中可以极大限度的提升企业的工作效率与安全。对于150左右电脑的企业可以考虑使用该款路由器。　

产品介绍：

欣向NuQX 8021路由器提供了三个以太网端口，提供有先进的QoS带宽流量管理、有效控制BT等下载软件。提供有中文 WEB界面进行配置管理；在安全保障方面，支持自定义防火墙，可通过设定相应的规则保障加强企业网络安全。3、智能防火墙 艾泰HiPER 2620

参考报价：2800

使用感受：

Hiper2620宽带路由器提供了智能防火墙，能够全面的防御内外部的攻击，能够有效的防范ARP欺骗，端口扫描、DOS或DDOS等网络攻击，同时还可以防止各类网络蠕虫等病毒的攻击，最大程序的保护了企业的稳定与安全。另外Hiper2620通过防火墙策略库，不仅实现了单键设置ARP欺骗防御等，还可以实现单键管制QQ、MSN、BT、电骗等软件，提高用户的宽带利用率，有效抑制P2P软件对带宽的滥用。

Hiper2620可以针对用户有的实际需求，对每台机器采取不同的策略，能够灵活的管理所有的机器，支持IP／MAC地址的绑定，只需一键操作，就可以一次性将所有的IP／MAC地址全部绑定，能够有效的防止ARP欺骗攻击。支持端口镜像，能够提供各端口的传输状况详细资料，方便网管进行流量监控与诊断，可以动态的监控网络运行，能够实时查看各个端口的带宽，查看各个用户的上传与下载带宽及Nat会话数，快速定位网络问题。　

　Hiper2620宽带路由器

产品介绍：

艾泰2620提供了方便直观的全中文WEB管理界面，并提供了向导式操作，可以使用户快速上手，另外管理员也可以通过WEB管理界面进行管理，支持配置文件的备份与导入，提供了标准的SNMP接口，可以远程SNMP服务器管理。能够支持FTP、PPTP、IPSec ESP等特殊应用协议。

4、高速智能 D-link DI-602LB

参考报价：1300元

使用感受：

D-link DI-602LB宽带路由器是一款具有自动负载均衡功能的双Wan口路由器，可以同时连接两条ADSL线路上网，这样在大幅度提高企业接入互联网速度的同时，又同时具备了双线路冗余功能，使得企业网络永久接入互联网，再也不会掉线。另外该宽带路由器还具有强大的灵活性，能够管理每个Wan上所使用的应用程序，限制其使用带宽，这样就很好的限制了企业员工使用P2P或BT软件占用大量带宽的问题。

另外DI－602LB还具有强大的安全功能、DDNS、VPN穿透等功能，特别是该路由器还进一步优化了安全性，提供了强大的防火墙功能，保证网内用户不会受到网络攻击，保障网管对网络环境的控制，让用户能够在安全的环境下运行各类应用。该路由器是本次推荐的四款产品中最便宜的一款，可以同时接入50台左右的电脑使用。

D-link DI-602LB

产品介绍：

DI－602LB只提供了一个10／100M的LAN端口，同时支持负载均衡功能，让使用者根据实际网络情况选用不同的负载均衡法则，支持多种负载均衡模式，包括Sessinon模式、Weight Round Robin模式、Traffic模式，能够满足多种不同的接入方式。另外支持BOOTP、ICMP、DHCP、FTP、PPPOE等多种网络协议，完全能够满足企业上网的需要。以上笔者推荐了四款非常出色的双Wan口企业路由器，无论是性能上还是安全上都是相当不错的产品，你可以根据自己企业的网络环境与需求来选择一款适合你的宽带路由器，依据自己的实际情况进行分析，按需选购。

dos攻击工具有哪些（局域网内）

ARP欺骗？可以用局域网终结者。就是ping也成啊！我比较喜欢用局域网终结者（ARP欺骗）和cmd的ping命令。但是如果别人有抗ARP欺骗的防火墙就没办法了（比如360防火墙）。 百度的资料……DoS攻击方法

Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

Smurf：该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

Ping of Death：根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

PingSweep：使用ICMP Echo轮询多个主机。

Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。

路由器里里边高级设置的“DOS攻击防范”要怎么设置才能防止别人用类似迅雷，电驴，QQ旋风的P2P下载？

这要看你的网宽是多少。再要看你的那条线有多少台电脑在运行。网宽窄就没必要设置。若宽的话可进路由器里面将别人电脑的流量进行控制就行了。

怎么用DOS命令攻击

DoS具有代表性的攻击手段包括PingofDeathdos攻击快闪族、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。

具体DoS攻击方法很多dos路由器攻击软件下载，但大多都可以分为以下几类：

利用软件实现的缺陷

OOB攻击（常用工具winnuke）dos路由器攻击软件下载，teardrop攻击（常用工具teardrop.cboink.cbonk.c）dos路由器攻击软件下载，lan

软件主流程图

d攻击，IGMP碎片包攻击，jolt攻击，Cisco2600路由器IOSversion12.0（10）远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死，而且很多攻击是可以伪造源地址的，所以即使通过IDS或者别的sniffer软件记录到攻击报文也不能找到谁发动的攻击，而且此类型的攻击多是特定类型的几个报文，非常短暂的少量的报文，如果伪造源IP地址的话，使追查工作几乎是不可能。

那么如何造成这些攻击的？通常是软件开发过程中对某种特定类型的报文、或请求没有处理，导致软件遇到这种类型的报文运行出现异常，导致软件崩溃甚至系统崩溃。下面结合几个具体实例解释一下这种攻击的成因。

1997年5月7号有人发布了一个winnuke.c。首先建立一条到Win95/NT主机的TCP连接，然后发送TCP紧急数据，导致对端系统崩溃。139/TCP是Win95/NT系统最常见的侦听端口，所以winnuke.c使用了该端口。之所以称呼这种攻击为OOB攻击，因为MSG_OOB标志，实际应该是TCP紧急数据攻击。

原始teardrop.c只构造了两种碎片包，每次同时发送这两种UDP碎片包。如果指定发送次数，将完全重复先前所发送出去的两种碎片包。它可以伪造源ip并跨越路由器进行远程攻击，影响的系统包括Linux/WinNT/Win95。使用的方法是：

teardrop源ip目的ip[-s源端口][-d目的端口][-n次数]

比较新的一个DoS攻击是Windows的SMB实现中的DoS攻击，2002年8月发布，只要允许匿名连接的windows系统就可以进行远程攻击，强烈建议Windows用户打相应的补丁。它的方法就是先和目标系统建立一个连接，然后发送一个特定的请求，目标系统就会兰屏。发布的测试工具SMBdie.exe是图形界面工具，输入目标地址NETBIOS名称即可。

从上面的讨论可以看出，这种攻击行为威力很大，而且难于侦察。但真实情况下它的危害仅现于漏洞发布后的不长的时间段内，相关厂商会很快发布补丁修补这种漏洞。所以上面提到的几种较老的攻击在现实的环境中，通常是无效的。不过最新的攻击方法还是让dos路由器攻击软件下载我们不寒而栗，我们可以做的就是关注安全漏洞的发布，及时打上新的补丁。如果你想偷懒的话，购买专业安全服务公司的相关服务应该是个更好的选择。

利用协议的漏洞

如果说上面那种漏洞危害的时间不是很长，那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联，所有的软件实现都必须遵循既有的协议，而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。

最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。

这个攻击是经典的以小搏大的攻击，自己使用少量资源占用对方大量资源。一台P4的Linux系统大约能发到30－40M的64字节的synflood报文，而一台普通的服务器20M的流量就基本没有任何响应了（包括鼠标、键盘）。而且synflood不仅可以远程进行，而且可以伪造源IP地址，给追查造成很大困难，要查找必须所有骨干网络运营商，一级一级路由器的向上查找。

对于伪造源IP的synflood攻击，除非攻击者和被攻击的系统之间所有的路由器的管理者都配合查找，否则很难追查。当前一些防火墙产品声称有抗DoS的能力，但通常dos路由器攻击软件下载他们能力有限，包括国外的硬件防火墙大多100M防火墙的抗synflood的能力只有20－30Mbps（64字节syn包），这里涉及到它们对小报文的转发能力，再大的流量甚至能把防火墙打死机。有些安全厂商认识到DoS攻击的危害，开始研发专用的抗拒绝服务产品。

由于TCP/IP协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，另外可以利用还有广播地址，和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。

另一类攻击方式是使用大量符合协议的正常服务请求，由于每个请求耗费很大系统资源，导致正常服务请求不能成功。如HTTP协议是无状态协议，攻击者构造大量搜索请求，这些请求耗费大量服务器资源，导致DoS。这种方式攻击比较好处理，由于是正常请求，暴露了正常的源IP地址，禁止这些IP就可以了。

进行资源比拼

这种攻击方式属于无赖打法，我凭借着手中的资源丰富，发送大量的垃圾数据侵占完你的资源，导致DoS。比如，ICMPflood，mstreamflood，Connectionflood。为了获得比目标系统更多资源，通常攻击者会发动DDoS（DistributedDos分布式拒绝服务）攻击者控制多个攻击傀儡发动攻击，这样才能产生预期的效果。前两类攻击是可以伪造IP地址的，追查也是非常困难，第3种攻击由于需要建立连接，可能会暴露攻击傀儡的IP地址，通过防火墙禁止这些IP就可以了。对于难于追查，禁止的攻击行为，我们只能期望专用的抗拒绝服务产品了。

攻击程序

smurf、trinoo、tfn、tfn2k以及stacheldraht是比较常见的DoS攻击程序，本文将对它们的原理以及抵御措施进行论述，以帮助管理员有效地抵御DoS风暴攻击，维护站点安全。

wifi渗透：DOS路由器，让坏蛋们断网2.0

上一篇用的是aireplay-ng来实施的DOS攻击，他是Aircrack下的一个命令，事实上还有一些办法，通过arp攻击也可以让他断网，可那就不是dos攻击手法了。这次的测试环境与上次一样， 这篇文章中现在只有第一种攻击方式有效，下面两种了解一下就可以了。

来看一下通过路由器上网前与路由器的验证过程

1.用虚拟机连接上网卡

2.输入ifconfig，查看是否挂载成功

出现wlan0即为挂载成功

3.输入airmon-ng start wlan0,调为监听模式

4.输入ifconfig查看是否成功

若最后一个wlan0变为wlan0mon即为成功

5.使用airodump-ng wlan0mon 查看周围无线路由器情况

记录受害者的BSSID,CH

6.mdk3 wlan0mon d -c 1[,6,11] [-w file1 -b file2]

其中各参数详情：

d：表示的是deauthentication/disassociation攻击模式

-c：针对的是无线网络工作频道，这里选择为4，我的测试路由器为@PHICOMM_10

-w：file白名单模式，w就是白名单的简写，即后跟文件中包含AP的MAC会在攻击中回避

-b：file黑名单模式，b就是黑名单的简写，即后跟预攻击目标AP的MAC列表

此时我输入mdk3 wlan0mon d -c 4

虽然看起来没什么反应，但实际上我的手机已经连接不上wifi了

注意：这里的攻击不对网线连接的客户端起作用，仅仅是对无线设备管用，而且只能是范围比较近的路由器起作用，前面的aireplay也是有一定范围限制的。

在无线路由器或者接入点内置一个列表即为连接状态表，里面可显示出所有与该AP建立连接的无线客户端状态。它试图通过利用大量模仿和伪造的无线客户端关联来填充AP的客户端关联表，从而达到淹没AP的目的。

由于开放身份验证（空身份验证）允许任何客户端通过身份验证后关联。利用这种漏洞的攻击者可以通过创建多个到达已连接或已关联的客户端来模仿很多客户端，从而淹没目标AP的客户端关联表。

攻击步骤：

简化一点，简化一点。

才开始的都一样，就最后一点不一样，刚刚是mdk3 wlan0mon d -c 4

4为信道，d为deauth攻击模式，-c为指定信道

现在是mdk3 wlan0mon a -a D8:C8:E9:1B:59:18

查看攻击效果

事实证明丝毫不受影响，但这只是我的斐讯路由器，不知道你们的是否管用

虽然不管用了，但这种空验证的攻击手法还是需要知道，毕竟有时候逛论坛仿佛看天书一样就很不爽了。

其中：

a：表示的是authentication DOS模式

-a：攻击指定的AP(路由器)，此处输入的是AP的MAC地址

-s：发送数据包速率

当攻击成功后，指定的AP会有很多的不存在的无线站点与之联系。

与二相同，也是除最后一条命令不同外其余均相同

输入 mdk3 wlan0mon a -a D8:C8:E9:1B:59:18

手机畅行无阻。同样已经不管什么卵用了。

现在在与路由器的身份验证过程中，空连接等已经不管用了。