防止端口扫描什么意思_如何防范恶意端口扫描

如何防止被人扫描IP地址?用什么工具?

别人一般扫描对方IP都是从相应的端口入手。也就是说对方是扫描你的端口。

一般的公网IP扫描工具都是扫描一定范围内的IP.某个IP的某个端口是开着的。然后调出这些被选中的IP地址。所以说只要你关闭相应的端口就不会被别人扫描到。相应的端口你可以在网上搜索到相关的信息，我就不列出来了。

昨晚遭攻击，怎么才能让黑客扫描不到机子的所有端口，拒其之千里

关闭各个易被扫描端口

关闭445的 经过注册表更改

HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters

选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。

将DWORD值命名为“SMBDeviceEnabled”。右键单击“SMBDeviceEnabled”值，

选择“修改”。在“数值数据”下，输入“0”，单击“确定”按钮。

------------------------------------------------------------------------

关闭135的 经过注册表更改

HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Ole→EnableDCOM的值改为“N”

HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Rpc→DCOM Protocols键值中删除

“ncacn_ip_tcp”

还需要确认停用“Distributed Transaction Coordinator”服务。

重起一下 输入CMD .netstat -an 看 135 没有了

-------------------------------------------------------------------------

关闭3389 端口大家应该都知道的 不过有些人还是不知道 这我也讲一下

看我操作 在我的电脑上点右键选属性--远程，将里面的远程协助和远程桌面

两个选项框里的勾去掉。 还需要找到这个服务 “Terminal Services”

—————————————————————————————————————

接着是关闭139端口

关闭139端口 网络邻居属性 打开本地连接属性；接着，在属性窗口的

“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在

打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”

选项卡，NetBIOS设置”下，选择“禁用TCP/IP上的” NetBIOS

--------------------------------------------------------------------------

通过以上更改 可以免受黑客扫描你的IP 让你的电脑更安全

怎么防御DDOS攻击和端口入侵

DDOS的产生

DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。近几年由于宽带的普及，很多网站开始盈利，其中很多非法网站利润巨大,造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布， 流氓软件，病毒，木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式，而且收入非常高，利益的驱使下，攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购买，然后遥控这些肉鸡攻击服务器。

被DDoS攻击时的现象

被攻击主机上有大量等待的TCP连接

网络中充斥着大量的无用的数据包，源地址为假

制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

严重时会造成系统死机

大级别攻击运行原理

一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

DDOS的主要几个攻击

SYN变种攻击

发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

TCP混乱数据包攻击

发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

针对用UDP协议的攻击

很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，

针对WEB Server的多连接攻击

通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，

针对WEB Server的变种攻击

通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解决方案

针对WEB Server的变种攻击

通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案

针对游戏服务器的攻击

因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。

以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp，udp协议，和针对应用层的协议,比如http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。

SYN攻击解析

SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认；

第二次握手：服务器收到syn包，必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢，答案是不能，每种操作系统都有方法来调整TCP模块的半连接队列最大数，例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存，操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M，系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下，WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源IP是伪造的很难追查到攻击源,，所以这种攻击非常多。

如何防止和减少DDOS攻击的危害

拒绝服务攻击的发展

从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS（Distributed Denial of Service，分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢？下面我们从两个方面进行介绍。

预防为主保证安全

DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

（4）充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

（7）过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

（8）限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

寻找机会应对攻击

如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

（1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

（2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

（3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击（DDOS攻击）都瘫痪的情况呢？就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。

目前网络安全界对于DdoS的防范有效的防御办法:

可以采用因尔特网络数据中心推出的TNT防御防攻击系统:本系统对于攻击采用智能识别实时进行攻击流量的转移，让攻击者的流量作用在服务器上的流量控制在最小的程度从而到达防御防攻击的目的，无论是G口发包还是肉鸡攻击,使用我们TNT防御防攻击系统在保障您个人服务器或者数据安全的状态下,只影响瞬间某个地区某部分用户的使用，保证其他用户的正常使用。并且系统会在较短时间内恢复已经瘫痪的用户访问.还可以让G口发包的服务器或者肉鸡发出的数据包全部浪费与耗尽完.试想如果攻击的流量在白白浪费和消耗掉，黑客也不能真实把流量作用在你的网站或服务器上，那黑客用什么来攻击您的网站呢？

如果按照系统的方法和思路去防范DdoS的话，收到的效果还是非常明显的，可以将攻击带来的损失降低到最小。

你了解下,希望对你有帮助.

家庭路由器防端口扫描需要开启嘛？

我们可以使用云锁的，防端口扫描工具。我们找到系统防护，防端口扫描就可以在这里开启，并且配置了。

路由器攻击防护功能怎么设置

互联网的发展越来越快，网络也已经几乎普及到了我们每个家庭，路由器设备是我们最常使用来连接网络的工具，那么你知道路由器攻击防护功能怎么设置吗?下面是我整理的一些关于路由器攻击防护功能设置的相关资料，供你参考。

路由器攻击防护功能设置的 方法

在网络使用的过程中，往往会遇到各种各样的网络攻击，如：扫描类的攻击，DoS攻击等。

我司企业级路有器内置了目前常见的网络攻击防护 措施 ，支持内/外部攻击防范，提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效防止Nimda攻击等。(路由器只是对于网络中常见的攻击进行防护，对于网络的操作进行监控，而病毒，木马等这些处于应用层的应用，我司路由器并不是杀毒软件，并不是我在路由器上设置了防火墙或攻击防护等，您的计算机就不会中病毒)

在开启攻击防护时，必须开启路由器“防火墙总开关”，选中对应的“开启攻击防护”：

在菜单中的“安全设置”-“攻击防护”中，可以看到路由器针对各种网络攻击的防护及设置;

其中分别针对各种常见的网络攻击进行防护：正确设置各种防护的阈值，可以有效的对各种攻击进行防护。请根据您的网络环境进行相应的设置，一般可以使用路由器默认的值，或者可以自己进行设置。在设置的时候，阈值不要设置过小，会导致拦截过高，有可能把网络中正常的数据包误认为非法的数据包，使您的网络不能正常使用;阈值也不要设置过大，这样会起不到攻击防护的效果。

在区域的设置中，可以选择LAN和WAN，若选择LAN表示对来自局域网的数据包进行监控;而选择WAN表示对来自外网的数据包进行监控。

1、扫描类的攻击防护主要有三类：IP扫描，端口扫描，IP欺骗。

其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的第一个步骤，攻击者可以利用IP扫描和端口扫描来获取目标网络的主机信息和目标主机的端口开放情况，然后对某主机或者某主机的某端口发起攻击，对扫描进行预先的判断并保护可以有效的防止攻击。我司企业级路由器对扫描类攻击的判断依据是：设置一个时间阈值(微秒级)，若在规定的时间间隔内某种数据包的数量超过了10个，即认定为进行了一次扫描，在接下来的两秒时间里拒绝来自同一源的这种扫描数据包。阈值的设置一般建议尽可能的大，最大值为一秒，也就是1000000微妙，一般推荐0.5-1秒之间设置。(阈值越大，防火墙对扫描越“敏感”)

下面为路由器没有开启攻击防护下，使用端口扫描工具进行扫描的结果

开启了路由器的“攻击防护”

此时进行端口扫描的结果为

通过抓包分析，路由器检测到了有端口扫描攻击，进行了相应的攻击防护，扫描工具没有接收到前端计算机返回的信息，所以在端口扫描的时候，无法完成端口扫描。此时。路由器发送了一个系统日志给日志服务器，检测到有攻击的存在。

在开启了防火墙的攻击防护后，扫描软件扫描不正确。但路由器每次的扫描判断允许十个扫描数据包通过，因此有可能目的计算机开放的端口刚好在被允许的十个数据包之中，也能被扫描到，但这种几率是微乎其微的。

日志服务器上记录显示有端口扫描攻击

关于日志服务器的使用，请参考《日志服务器的安装与使用》，日志中很清晰的记录了内网电脑192.168.1.100有端口扫描的行为。

2、DoS类的攻击主要有：ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。

拒绝服务(DoS--Denial of Service)攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源，目标主机被迫全力处理虚假信息流，从而影响对正常信息流的处理。如果攻击来自多个源地址，则称为分布式拒绝服务DDoS。

企业级路由器对DoS类攻击的判断依据为：设置一个阈值(单位为每秒数据包个数PPS=Packet Per Second)，如果在规定的时间间隔内(1秒)，某种数据包超过了设置的阈值，即认定为发生了一次洪泛攻击，那么在接下来2秒的时间内，忽略掉下来自相同攻击源的这一类型数据包。

这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反，值越小越“敏感”，但一般也不能太小，正常的应用不能影响，我们可以根据自己的环境在实际的应用中动态调整。

下面为一个ICMP的例子，在路由器没有开启攻击防护的情况下，ping前端的计算机

使用发包工具，对前端的计算机进行1000pps的ping操作，通过抓包可以看到，前端的计算机都有回应。

而开启了路由器攻击防护的ICMP Flood攻击防护，设置阈值为100pps。

此时进行抓包分析

路由器检测到了有ICMP Flood攻击存在，发送了一个日志给日志服务器，在以后的ping请求中，都没有得到回应。有效地防止了ICMP Flood攻击。

日志服务器中，也可以查看到相应的攻击信息

3、可疑包类防护包括五类：大的ICMP包(大于1024字节)、没有Flag的TCP包、同时设置SYN和FIN的TCP包、仅设置 FIN 而没有设置ACK的TCP包、未知协议。

4、含有IP选项的包防护：在 Internet Protocol 协议(RFC 791)中，指定了一组选项以提供特殊路由控制、诊断工具和安全性。

它是在 IP 包头中的目的地址之后。协议认为这些选项“ 对最常用的通信是不必要的”。在实际使用中，它们也很少出现在 IP 包头中。这些选项经常被用于某些恶意用途。

IP选项包括。

选中一项IP选项的复选框，则检查;清除选项的选择，则取消检查。

一般情况下上面两部分的数据包是不会出现的，属于非正常的包，可能是病毒或者攻击者的试探，路由器在设置了相应的攻击防护的话会将对应的数据包丢弃。

本文主要介绍了企业级路由器的攻击防护的处理机制以及效果，通过举了几个例子进行详细地描述。例子中使用的参数只为测试使用，并不一定符合实际的使用环境，在具体的使用过程中，还需要根据您的实际网络使用环境进行调试，找到一个合理的阈值，才能有效的保护您的网络。

路由器攻击防护功能设置的相关 文章 ：

1. 路由器如何防止ARP病毒攻击

2. 路由器攻击如何防护

3. 怎样使用路由器防止DoS攻击

4. 路由器怎么防止被攻击

对别人服务器端口扫描是违法行为吗？

端口扫描与嗅探都是黑客常用的招数，其目的是定位目标计算机和窃取隐私信息。现在很多网站和服务都是通过云主机提供，为了更好保护云主机安全，必须防范恶意IP对对于云主机的端口扫描和嗅探。

在对云主机进行网络安全防护实践过程中，常见的扫描与防范如下：

1) 端口445流量潜在扫描或感染

此类威胁是检测出445端口流量异常，可能是扫描或感染。建议对主机进行查杀，删除感染的恶意程序；设置WAF屏蔽扫描行为。

2) 潜在的SSH/SSH OUTBOUND 扫描

此类威胁是潜在的ssh扫描。建议设置iptables防止22端口扫描；设置hosts.deny拒绝ssh连接尝试。

3) 快速的终端服务器流量潜在扫描或感染（入站/出站）

此类威胁是检测出快速服务终端的流量异常，可能是扫描或感染。建议对主机进行查杀，删除感染的恶意程序；设置WAF屏蔽扫描行为。

4) 电位VNC扫描5900-5920/5800-5820

此类威胁是潜在的VNC扫描。建议升级VNC至最新版本；设置iptables防止对5900-5920端口的扫描

5) 可疑入站到MSSQL端口1433

检测出MSSQL数据库的1433端口入站流量。建议核对业务是否需要把mssql暴露到公网，不需要的话不对外暴露；对数据库进行权限最小化设置；修改密码强度。

6) 可疑入站到mySQL端口3306

检测出mysql 3306端口的入站流量。建议核对业务是否需要把mysql暴露到公网，不需要的话不对外暴露；对数据库进行权限最小化设置；修改密码强度。

7) 快速POP3连接 - 可能的暴力攻击

此类威胁是快速POP3连接，可能是爆破行为。建议设置防火墙屏蔽此类威胁。

网络安全不仅关系到国计民生，还与国家安全密切相关，不仅涉及到国家政治、军事和经济各个方面，而且影响到国家的安全和主权，重视网络安全，从身边做起