目前只要是使用網(wǎng)絡(luò)的人都知道，現(xiàn)在網(wǎng)絡(luò)上各種攻擊和病毒越來越多，而作為網(wǎng)絡(luò)關(guān)口的路由器就承擔(dān)了重要的責(zé)任，需要預(yù)防各種病毒的攻擊，下面以網(wǎng)件路由器為例介紹路由器是如何防止這些網(wǎng)絡(luò)上的病毒和攻擊的。

一、目前最常見的攻擊手段為Smurf攻擊，它是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，攻擊的方法很多，但它們都具有一些共同的典型特征，使用欺騙的源地址、使用網(wǎng)絡(luò)協(xié)議的缺陷、使用操作系統(tǒng)或軟件的漏洞、在網(wǎng)絡(luò)上產(chǎn)生大量的無用數(shù)據(jù)包消耗服務(wù)資源等。

二、Smurf攻擊是根據(jù)它的攻擊程序命名的，是一種ICMP echo flooding攻擊，在這樣的攻擊中，ping包中包含的欺騙源地址指向的主機是最終的受害者，也是主要的受害者，而路由器連接的廣播網(wǎng)段成為了攻擊的幫兇，類似一個放大器，使網(wǎng)絡(luò)流量迅速增大，也是受害者。

三、根據(jù)Smurf攻擊的特征，可以從兩個方面入手來防御Smurf的攻擊，一是防止自己的網(wǎng)絡(luò)成為攻擊的幫兇即第一受害者，二是從最終受害者的角度來防御Smurf攻擊。

Smurf要利用一個網(wǎng)絡(luò)作為流量放大器，該網(wǎng)絡(luò)必定具備以下特征：

(1)路由器允許有IP源地址欺騙的數(shù)據(jù)包通過;

(2)路由器將定向廣播(發(fā)送到廣播地址的數(shù)據(jù)包)轉(zhuǎn)換成為第二層的廣播并向連接網(wǎng)段廣播;

(3)廣播網(wǎng)絡(luò)上的主機允許對ping廣播作出回應(yīng);

(4)路由器對主機回應(yīng)的ping數(shù)據(jù)流量未做限制。

所以，可以根據(jù)以上幾點來重新規(guī)劃網(wǎng)絡(luò)，以使本地的網(wǎng)絡(luò)不具備會成為流量放大器的條件就可以了，這樣可以大大降低被攻擊的可能性。