攻击机房路由？机房路由器怎么设置

局域网机房的路由器怎么设置

接触过宽带路由器的用户，大抵都了解宽带路由器上的端口有WAN口和LAN口之分。宽带路由器在工作过程中有这样一个特点：从LAN到WAN方向上的数据流默认不受限制通过路由器，从WAN到LAN方向上默认不能通过。（注：无线宽带路由器的无线接入部分从属于LAN的范围）也就是说，默认情况从局域网内电脑上发出的数据包进入路由器的LAN口，可以顺利通过路由器从WAN口被发出，但是从WAN这一端主动过来的数据包进入WAN口以后，路由器默认是不让那些数据包通过的。

本文档主要描述当局域网内有多台宽带路由器的时候，能够怎样配置参数来实现我们的目的？

第一步：假设您有一条ADSL宽带线，经过TP-Link TL-R460宽带路由器实现了四台电脑共享上网，网络连接示意如下：

宽带线〈&〉ADSL MODEM〈&〉（WAN口）R460（LAN口）〈&〉电脑A

第二步：由于某些原因，您购买了TL-WR541G无线宽带路由器，想要网络能够提供无线接入功能，这时候必定是从R460的LAN口引出一根网线连接WR541G，那么应该连接WR541G的WAN口呢？还是连结WR541G的LAN口？网络连接示意有如下两种：

R460（LAN口）〈&〉（WAN口）WR541G（无线）〈&〉电脑B

R460（LAN口）〈&〉（LAN口）WR541G（无线）〈&〉电脑B

上面这两种连结都可以，经过参数配置电脑B都可以最终经过R460上网。

接下来我们就上面两种连结WR541G的方式，配置WR541G和电脑B，最终使电脑B实现无线上网。这里假设R460的LAN口采用默认的IP地址192.168.1.1。

1）R460（LAN口）〈&〉（WAN口）WR541G（无线）〈&〉电脑B

这种连接方式下需要给WR541的WAN口配置如下参数就可以了：

IP地址192.168.1.X(X取自然数范围2&254)

子网掩码255.255.255.0

默认网关192.168.1.1

为什么是上面这样的参数呢？因为对于WR541G来说R460的LAN口IP地址就是它的默认网关地址！

但是在配置WAN口之前，需要先更改WR541G的LAN口的IP地址，因为WR541G的LAN口默认IP地址默认也是192.168.1.1要避免冲突。更改过程如下：

首先将电脑的IP地址配置为192.168.1.X（X取自然数范围2&254），通过进入WR541G的管理界面，在“网络参数”-“LAN口设置”里面，将LAN口IP地址改为 172.16.1.1，保存提示重启。

接下来再将电脑的IP地址修改为172.16.1.X（X取自然数范围2&254），再次通过进入WR541G的管理界面，就可以配置WAN口了。上面这幅图片中DNS服务器地址应该填多少呢？看TL-R460“运行状态”或者向您的宽带服务商索取。

2）R460（LAN口）〈&〉（LAN口）WR541G（无线）〈&〉电脑B

这种连接方式因为没有使用WR541G的WAN口所以也就没有必要配置WAN口了，只需要配置如下部分：

首先，需要关闭WR541G的DHCP服务器功能（选择“不启用”即可）。

其次，更改一下WR541G的LAN口IP地址，比如改为 192.168.1.254只要和别的已经使用的IP地址不冲突就可以了。

接下来就是通过无线/有线方式连接WR541G的电脑的TCP/IP属性参数怎样配置？上面两步配置完以后，WR541G就相当于一台“无线交换机”，所以连接在WR541G上面的电脑它们的TCP/IP属性要和R460保持一致！就相当于这些电脑是连接在R460下面的！如下图所示：图片中DDNS参数仍然是看TL-R460“运行状态”或者向您的宽带服务商索取。

机房网络设备有哪些

机房网络设备主要包括路由器、交换机、服务器、防火墙、无线接入点（AP）以及调制解调器等。

1.路由器：这是机房网络的核心设备之一，主要用于连接不同的网络，实现网络互连和互通。路由器还具有防火墙功能，可以有效保护网络安全。路由器还能根据网络流量和数据包优先级进行路由选择。

2.交换机：交换机负责连接机房内部的各个设备，实现数据的快速传输。它可以同时为多个设备提供通信服务，提升网络的可靠性和性能。现代交换机多采用智能交换技术，可根据用户需求自动调整交换模式。

3.服务器：服务器是机房数据存储和处理的中心，提供数据共享和信息服务。服务器可以根据需求运行各种应用程序，存储大量数据并处理来自其他设备的请求。服务器类型多样，如文件服务器、数据库服务器等。

4.防火墙：防火墙是网络安全的重要保障，部署在机房网络入口处，用于监控和控制进出机房的数据流。它可以过滤掉不安全的数据包，防止恶意攻击和病毒入侵。

5.无线接入点（AP）：在一些需要无线网络的机房中，无线接入点是关键设备。它提供无线信号的发射和接收功能，使移动设备能够接入机房网络。无线接入点还有信号增强和数据加密的功能，保证无线网络的稳定性和安全性。

6.调制解调器：主要用于实现模拟信号和数字信号的转换。在机房网络连接中，调制解调器常常用于连接外部线路或进行远程通信。

idc机房遇到网络攻击怎么处理

机房管理人员应对DDoS攻击措施

如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。

（1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

（2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DDoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

（3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

一般的数据中心机房都配备硬件防火墙。但是针对互联网数据中心机房而言，这个硬件防火墙普通情况下是没有为企业用户的服务器进行防护的，只是对互联网数据中心机房本身的网络核心设备进行防护。根据DDoS攻击的原理和类型，根据DDoS攻击的流量，也同时根据机房所配备的硬件防火墙的功能和过滤带宽，1G-3G的流量机房本身及上游的运营商还是能把这个流量转移掉的。只是如果是机房里的某个企业用户的服务器受到DDoS攻击，机房管理人员所能做的，也就是把这个受到攻击的服务器IP关掉，或者是把受攻击的服务器的网线拔掉。但这不是解决问题的根本的办法。

数据中心机房如何加强防范DDoS攻击

互联网数据中心机房本身是提供服务器托管业务的，如何为企业用户提供更好的服务是很有必要的。试想，你的服务器花了钱托管到某个数据中心机房，但是这个数据中心机房在你的服务器受到DDoS攻击的时候也无能为力只能牺牲你的服务器的时候，你剩下的只有失望。

在机房管理的角度，不仅仅是在机房里的企业用户服务器受到DDoS攻击了之后才去考虑我是否应该升级硬件防火墙。为了更好的预防和防范DDoS攻击，也为了能给企业用户一个安全的保障，机房在综合了受攻击的次数和流量统计后，也是必须去考虑升级硬件防火墙的，甚至可以临时把受攻击的服务器通过硬件防火墙进行防护。

如果你需要用户单独去花费几十万去增加一个千兆以上的硬件防火墙，用户会想，我为什么不能多花几万去选择一个更好服务的数据中心机房。

其实，DDoS攻击是无法避免的，对于数据中心机房来说，升级硬件防火墙是一大成本问题。为了保障自己的服务器的安全，在数据中心机房无法对硬件防火墙进行升级的时候，用户本身也只能采用其他的方式去防范。

用户如何加强防范DDoS攻击

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

（4）充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DDoS的攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

使用UnicastReversePathForwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用UnicastReversePathForwarding可减少假IP地址的出现，有助于提高网络安全性。

（7）过滤所有RFC1918IP地址

RFC1918IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

（8）限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，DDoS攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DDoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。