路由器被黑客攻击了是什么反应_路由器安全黑客攻击

家用路由器会遭受攻击吗？

家用路由器说实话，不会设置的话，任凭装宽带的师傅随便设置一通，很容易被入侵！更大的危害就是劫持域名，篡改一堆乱七八糟的东西，容易导致账号密码或者隐私泄露！当然了，真正的黑客肯定是没工夫侵入个人或者家用路由器等设备，一般就是恶意网站上的木马程序或者人为猜测的方式获取路由器管理账号密码进行攻击的！

会遭到攻击，目前国内对家用路由器更大的攻击伤害来自于一个APP，叫做万能钥匙，只要你用万能钥匙，你连接过的所有 *** 就都会被分享出去。

会的，普通家庭设置安全级别太低，也没有防范意识，很容易被黑客入侵控制，但是基本没有经济风险，但是一般黑客不会干扰你的正常使用，说白了，普通家庭的路由器对于黑客来说没有什么价值，除非很多很多，前几年有一起震惊世界的美国 *** 攻击事件，就是由数百万路由器，智能家居设备被黑客控制用来攻击目标造成的破坏威力相当恐怖。那些被控制的业主还浑然不知。这个江湖离普通人太远，没必要担心，或者说担心也没用，道高一尺魔高一丈。

简单说下，不考虑别的原因(例如路由器管理员账号密码弱口令，Wifi密码被泄露等等)，一般情况下不会被直接攻击，因为大多数路由器都没有公网IP地址(部分拥有公网IP地址的除外)，都是通过nat方式透过网关来上网。

打个比方理解下，把数据包比作快件，快递员不知道你的详细地址，只知道你在哪个小区，快递只能先被送到了小区门卫那里，门卫知道你住小区几号楼几单元xxxx房号，就由他再送到家为止。门卫还可以把那些危险的数据包请求挡在小区门外不让他们进来。(只是简单打比方便于理解，现实中小区门卫不负责送快递，请勿深层联想……)

不会的

用路由器防止DoS拒绝服务疯狂攻击的 ***

拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段，它通过独占 *** 资源、使其他主机不能进行正常访问，从而导致宕机或 *** 瘫痪。

DoS攻击主要分为Smurf、SYNFlood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包阻塞服务器和其他 *** 资源;SYNFlood攻击使用数量巨大的TCP半连接来占用 *** 资源;Fraggle攻击与Smurf攻击原理类似，使用UDPecho请求而不是ICMPecho请求发起攻击。

尽管 *** 安全专家都在着力开发阻止DoS攻击的设备，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例，Cisco路由器中的IOS软件具有许多防止DoS攻击的特性，保护路由器自身和内部 *** 的安全。

使用扩展访问列表

扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。ShowIPaccess-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果 *** 中出现了大量建立TCP连接的请求，这表明 *** 受到了SYNFlood攻击，这时用户就可以改变访问列表的配置，阻止DoS攻击。

使用QoS

使用服务质量优化(QoS)特征，如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。例如，WFQ对付PingFlood攻击要比防止SYNFlood攻击更有效，这是因为PingFlood通常会在WFQ中表现为一个单独的传输队列，而SYNFlood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYNFlood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的'防范措施。

使用单一地址逆向转发

逆向转发(RPF)是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包，但是CEF(CiscoExpressForwarding)路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。

使用RPF功能需要将路由器设为快速转发模式(CEFswitching)，并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势，首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具，对路由器本身产生的性能冲击，要比使用访问列表小得多。

使用TCP拦截

Cisco在IOS11.3版以后，引入了TCP拦截功能，这项功能可以有效防止SYNFlood攻击内部主机。

在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCP同步请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的对于half-open的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。

在Cisco路由器上开启TCP拦截功能需要两个步骤：一是配置扩展访问列表，以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址，保护内部目标主机或 *** 。在配置时，用户通常需要将源地址设为any，并且指定具体的目标 *** 或主机。如果不配置访问列表，路由器将会允许所有的请求经过。

使用基于内容的访问控制

基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展，它基于应用层会话信息，智能化地过滤TCP和UDP数据包，防止DoS攻击。

CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言，半连接是指一个没有完成三阶段握手过程的会话。对UDP而言，半连接是指路由器没有检测到返回流量的会话。

CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候，用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率，当已经存在的半连接数量超过了门限值，路由器就会删除一些半连接，以保证新建立连接的需求，路由器持续删除半连接，直到存在的半连接数量低于另一个门限值;同样，当试图建立连接的频率超过门限值，路由器就会采取相同的措施，删除一部分连接请求，并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除，CBAC可以有效防止SYNFlood和Fraggle攻击。

路由器是企业内部 *** 的之一道防护屏障，也是黑客攻击的一个重要目标，如果路由器很容易被攻破，那么企业内部 *** 的安全也就无从谈起，因此在路由器上采取适当措施，防止各种DoS攻击是非常必要的。用户需要注意的是，以上介绍的几种 *** ，对付不同类型的DoS攻击的能力是不同的，对路由器CPU和内存资源的占用也有很大差别，在实际环境中，用户需要根据自身情况和路由器的性能来选择使用适当的方式。

无线路由器怎么防蹭网

如今蹭网横行，很多朋友由于不注重路由器安全设置，从而很容易被蹭网。他人蹭网不仅影响网速，还可能泄露隐私，用户有必加强路由器安全设置。那么tplink怎么防蹭网?下面我就为大家介绍一下TP-Link无线路由器怎么防止别人蹭wifi，希望能帮到大家!

    　所谓的TP-Link防蹭网设置，主要基于加强路由器安全设置，让蹭网卡以及黑客找不到Bug，从而实现 *** 安全，通过以下安全设置，可以有效阻断99%的黑客攻击，对于绝大多数用户来说，基本可以达到绝对安全。废话不多说，下面教大家如何设置路由器安全。

首先登陆TP-Link路由器设置管理界面。 *** 是打开浏览器，然后输入192.168.1.1(或tplogin.cn)，然后输入路由器登陆用户名与密码，大家可以在路由器外壳上的铭牌中找到这些登陆信息，如下图所示。

TP-Link无线路由器登陆

Ps.小图中为我刚购买不久的新版TP-Link无线路由器，登陆时只需要输入此前设置过的密码即可，老款TP-Link路由器默认登陆用户名与密码均为admin。

一、修改路由器登陆地址

为了保障路由器后台管理界面安全，我们首先需要修改登陆地址。登陆TP-Link路由器管理界面后，点击左侧的【 *** 参数】，然后展开点击【LAN口设置】，然后更改默认IP地址，如下图所示。

建议大家将默认的192.168.1.1更改为其他地址，比如改成192.168.6.6(后面两位任意修改即可)，如图所示，修改完点击保存，之后会提示要重启生效，我们重启一下即可。

注意，这个默认登陆地址改了之后，建议您更好记一下，以免后期自己忘记，也无法再登陆路由器管理了。

二、修改路由器默认账户名与密码

多数TP-Link路由器默认用户名与密码均为默认的admin，这个是很不安全的，一旦被他人蹭网，他们可以随意用这个众多周知的账号，登陆您的路由器，窃取宽带账号以及其他隐私信息，因此默认的admin账号密码也要该改掉。具体修改 *** 为，点击左侧底部的【系统工具】--【修改登陆密码】，如下图所示。

修改TP Link路由器管理密码

Ps.您可以将路由器登密码改成自己熟悉的账号和密码即可。比如密码改成，修改之后，其他蹭网者或者黑客，就无法知道路由器登陆密码，无法查看路由器内部信息了。

三、设置隐藏SSID

SSID是我们使用无线设备可以搜索到的 无线 *** 名称，如果路由器设置隐藏SSID，那么其他的智能手机、 笔记本 就无法搜索到我们的无线 *** ，这样可以有效提升 *** 安全。

TP-Link无线路由器设置隐藏SSID很简单，在无线设置的基本安全设置中的，将【开启SSID广播】前面的勾去掉，然后点击保存即可，如下图所示。

隐藏TP-Link无线路由器SSID

Ps.隐藏SSID，黑客可以借助其他工具找到，不过可以让大多数手机、本本用户无法找到，除非使用专业工具搜索。

四、加强无线 *** 密码安全

进入TP-Link无线路由器中的【无线设置】中的【无线安全设置】，选择更高等级的【WPA-PSK/WPA2-PSK】加密方式，将【PSK密码】也就是Wifi无线密码，尽量设置的复杂一些，长度大于8位，要包大小写含字母和数字组合，提升无线密码的复杂度和长度可以有效防止一些蹭网卡暴力解除无线密码。

加强TP-Link无线路由器Wifi密码安全

修改为高复杂难度密码后，点击底部的保存即可。

五、绑定Mac(高级安全设置)

在TP-Link无线路由器的【无线设置】中，点击进入【无线MAC地址】设置，然后先开启【MAC地址过滤】功能，然后将自家的电脑MAC地址或者手机MAC地址添加一一添加进来绑定，然后保存。

路由器mac设置，相当于将路由器与电脑或者手机/平板绑定，实现只有绑定设备才能上网，这样可以有效保障路由器安全，其他设备即便解除了无线密码，但由于没有设备绑定，照样无法上网。

六、安装路由卫士或者360路由卫士工具防止蹭网

目前针对路由器安全，已经有软件厂商推出了路由器安全卫士，另外360安全卫士中，也加入了路由器卫士，通过此类工具可以方便的查看接入无线路由器的设备，如果发现有陌生设备连接，我们可以将其禁用或者拉入黑名单，这样也可以有效防止TP-Link被蹭网，很适合小白朋友推荐。

对于很多要求不是很高的家庭或则个人用户而言，由于所处的环境并没有什么黑客高手，通过简单的几招安全设置，即可轻松保障路由器无线安全。对于一些小白朋友来说，平时主要需要注意修改路由器登陆密码、尽量设置复杂的无线Wifi密码以及安装一些路由器安全软件，就可以保证日常上网安全。

以上就是TP-Link无线路由器安全设置教程，大家看明白了吗?希望能帮到大家，谢谢阅读!

教你用路由器来防范 *** 中的恶意攻击

除了ADSL拨号上网外，小区宽带上网也是很普遍的上网方式。如果你采用的是小区宽带上网，是否觉得路由器仅仅就是个上网工具呢?其实不然，利用好你的路由器，还能够防范黑客的攻击呢。下面就让我们来实战一番。用路由器来防范 *** 中的恶意攻击

目的： 限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port。

前提： Router接内部 *** 的接口是Ethernet0/1，每一个命令之后按Enter执行，以Cisco路由为准。

步骤1  在开始菜单中选择运行，在弹出的对话框中输入“cmd”并回车，出现窗口后，在提示符下连接路由器，指令格式为“telnet路由器IP地址”。当屏幕上要求输入telnetpassword时(多数路由器显示的是“Login”字样)，输入密码并确认无误后，再输入指令enable，屏幕上显示要求输入enablepassword时输入密码。

提示：这两个密码一般由路由器生产厂商或者经销商提供，可以打 *** 查询。

步骤2  输入指令Router#configuretermihal即可进入路由器的配置模式，只有在该模式下才能对路由器进行设置。

步骤3  进入配置模式后，输入指令Router(config)#access-list101denytcpanyhost192.168.0.1eqtelnet，该指令的作用是设定访问列表(accesslist)，该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口(Port)23(telnet)的`任何请求。

步骤4  输入Router(config)#aecess-list101denytcpanyhost192.168.0.1eqwww指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。

步骤5  最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问，这需要输入指令Router(config)#accesslist101denytcpanyhost192.168.0.1eq3128来完成。

步骤6  到此，已经设置好我们预期的访问列表了，但是，为了让其他的所有IP能够顺利访问，我们还需要输入Router(config)#aceess-list101permitipanyany来允许其他访问请求。

但是，为了让路由器能够执行我们所做的访问列表，我们还需要把这个列表加入到接口检查程序，具体操作如下。

输入指令Router(config)#interfaceeO/1进入接口(interface)ethernet0/1，然后键入指令Router(config-if)#ipaccess-group101out将访问列表实行于此接口上。这样一来，任何要离开接口的TCP封包，均须经过此访问列表规则的检查，即来自任何地方对IP地址为192.168.0.1的主机，端口(port)属于telnet(23)，www(80)，3128的访问一律拒绝通过。最后，输入指令write将设定写入启动配置，就大功告成了。

这样一来，你的主机就安全多了，虽然只是禁止了几个常用端口，但是能把不少搞恶作剧的人拒之门外。另外，如果看见有什么端口可能会遭到攻击或者有漏洞了，你也可以通过上面的 *** 来将漏洞堵住。