关于路由器,无线网络安全的,说来说去只有这些,我几年前就腻了,现在还在搞这些没用的,我说这些没用的指的像WPA2-AES,SSID隐藏,ARP-MAC绑定。QSS等,其实除了WPA2-AES破解需要时间,其他安全设置只是略微增加入侵时间,其实WPA2-AES设置好就够了,其他的都是多余的,SSID隐藏可以通过一些网络管理软件显示出来,其他像不分配IP地址,关闭DHCP服务,MAC绑定,用科来网络分析工具等网络分析工具使用后,直接都可以显示出来网关IP,通过ARP软件进行MAC欺骗,全部失效,如同虚设,通过频繁更换WPA2-AES密码,几天一次,并且修改路由器管理密码,注意修改端口一点用都没有,通过端口扫描器,几秒钟的事。今天讲的不是这类,也不是VPN,这类是基于LAN口和无线的,就是路由器到用户端,而现在是说的是基于WAN的,就是ISP到路由器端。
1、关闭WAN口ping响应,这类会大幅度降低被攻击可能性,但对高手来说没用,顺便普及一下,ping不到服务器不代表服务器不存在或者服务器不在线。
2、防止运营商的DNS劫持,某些劫持很恶心,会不断弹出广告,我是电信的,劫持状态访问www.a.com。可以对该域名进行屏蔽。
没有这么多,像cfdl.qq.com用来屏蔽穿越火线登陆的,dnf.qq.com,speed.qq.com,x5.qq.com分别用来屏蔽DNF,飞车,炫舞的,当然也可以屏蔽MSN,qq,阿里旺旺等工具及软件的屏蔽,也可以添加广告域名,直接在路由器上进行屏蔽,不过进行彻底屏蔽,需要有Linux编程能力或者使用ABP插件,这个不在本文的讨论范围内,其实原理和上千甚至上万的带上网行为管理路由器原理是完全一样的。
像对特定QQ号进行屏蔽,普通路由器做不到,只有上网行为管理路由器才可以,但都是基于数据包特征分析的,有Linux编程能力,很多路由器固件都是基于Linux的,通过编写固件,可以添加喜欢的功能,在路由器上进行BT下载,VPN等等,这些都是在论坛常见的,不常见的像直接在路由器上翻墙,过滤广告,启用FTP,HTTP服务,在路由器上架设博客论坛,像Discuz等等,说开去了。域名屏蔽有时没用,因为DNS往往通过域名,IP双劫持,直接屏蔽域名有时没用,可以通过IP继续劫持,114so.cn对应的IP为60.191.124.250,也必须在上网管理中进行IP屏蔽。
屏蔽本地端口1-65534访问21-25,其中21为FTP端口,大多数木马通过FTP上传数据的,包括账号,密码,资料,远程控制等等。23端口为Telnet,很多木马控制和入侵需要使用23端口,果断屏蔽,有人可能会问屏蔽21,23够了,为什么把21-25呢,是的,这样做是为了节省条目TP-LINK过滤条目只支持8条,如果多了就无法屏蔽其他了,另外22,24也不是常用端口,屏蔽没有影响。其他端口都是木马常用或者必须端口,大家看图屏蔽好了。
另外屏蔽上图中提到的端口,可以防止系统信息探测,3389要屏蔽也可以,木马盗号途径只有四种,通过FTP上传,通过SMTP进行邮箱发信,以上全部屏蔽了这两类也屏蔽了部分木马端口(直接域名、IP连接,属第三类),木马端口这类是无法完全屏蔽的,木马可以随便更改端口,最后一类通过ASP发信,这类看路由器,一些路由器可以屏蔽ASP后缀的网页,毕竟ASP网页越来越少,都被PHP代替,对于不常下载的用户,可以屏蔽exe,bat等后缀的下载,屏蔽木马下载,更彻底。
除了上面提到的,其实更多的是用户的水平,像我直接可以通过进程名判断是不是木马,就是一模一样也可以辨别出来,就是用反汇编,进行反盗号,通过发过来或者,木马文件,把木马文件的电脑名,这个黑客的邮箱,密码进行提取破解,现在都加密了,难度更大。好了,下次说什么呢,希望大家继续支持。
