为客户新上的华为路由器,正在调试过程中,突然发现在线管理员变成2,赶紧点“详情”,进入在线管理员列表
还好,认证状态是:“not pass”,密码没有通过,所以并没有真正登录进入路由器,那就没那么着急了,先把这个IP地址复制下来,粘贴到IP查询网站(ip138.com),不查不知道,一查还是个俄罗斯IP,当然也有可能是其他地方的黑客远程控制了俄罗斯的肉鸡进行的入侵操作
要继续调试设备,也就不再深究这个IP了,点击“强制下线”,迫使黑客掉线就行了,没想到的是,对方使用的是某种自动工具,我点一下“强制下线”,它就自动用另一个帐户再次尝试登录,我不停地点,它就不停地更换用户名,密码应该也在不断地尝试中。。。
我手速可没人家软件工具快啊,这种情况,很危险,因为初期为了方便调试,管理员密码一般都不会很复杂,被穷举破解就大事不妙了,所以快速按照以下步骤处理:
第一步:首先把这个IP地址列入黑名单吧(当然先修改密码也可以)
真正的黑客手上,必然有大量的IP,把这一个IP列入黑名单,只能挡住短暂的一刻,黑客必然很快就卷土重来,所以,赶快进行下一步的设置:
第二步:修改远程管理端口,并且关闭telnet服务(这台设备的远程管理端口早就改了,所以上面黑客只能用telnet一种方式攻击)
做完这一步,回头看一下“在线管理员列表”,果然只剩下我自己了,哈哈
当然了,这还不够,所以,继续:
第三步:修改内网服务器映射的端口,一般来说,略有经验的网管,不会再使用默认的端口号来做服务器映射了,比如说,在外网需要远程桌面连接内网的服务器,现在很少有人还在防火墙或者路由器直接开3389端口,有效的做法是将一个非标自定义端口映射到服务器的3389端口,这样能有效地躲过黑客工具广撒网式的扫描
第四步:修改root密码,超级复杂的那种,要有英文大小写、数字、特殊符号3个或者以上,甚至可以新建一个管理员(注意避开admin、administrator、system这类常见的帐户),然后将默认的root帐户删除或者改名(某些设备有可能不支持此操作)。然后,强烈建议使用新建的管理员进行日常的配置和管理。
第五步:开启路由器自带的攻击防范功能
这里的SYN Flood是当前最流行的拒绝服务攻击方式,它利用了TCP协议本身的缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽,导致设备当机,无法服务;
UDP Flood 是流量型拒绝服务攻击,攻击者发送大量伪造源IP地址的UDP包,以耗尽对方资源为目的,同样会导致设备当机,停止服务;
ICMP Flood 就好理解了,我们平时经常用的ping命令,就是走ICMP协议的,所以ICMP Flood 无非就是向被攻击方发送大量的ping数据包,从而导致被攻击的设备耗尽资源,无法提供正常的服务。
经过以上5步配置,您的路由器基本上就安全了,一般黑客已经对你没兴趣,转而攻击其他更容易被攻击的对象了。当然,要防住真正的黑客有强烈针对性的攻击,可没这么简单,也不是这么简单的路由器就能做到的,这并不在本文讨论范围之内。
,
