網(wǎng)絡(luò)路由安全攻防對(duì)策分析及實(shí)踐網(wǎng)絡(luò)路由器的平安問(wèn)題始終以來(lái)被大家談?wù)摰帽容^多，雖然我們看到的路由器入侵大事不多，因此在許多人的印象中，路由(routing)只是選擇通過(guò)互聯(lián)網(wǎng)絡(luò)從源節(jié)點(diǎn)向目的節(jié)點(diǎn)傳輸信息的通道，其實(shí)路由器的平安隱患許多，只是由于一般黑客接觸得不太頻繁，被攻擊的大事很少發(fā)生，但假如路由器被攻擊，后果將不堪設(shè)想。

不行忽視的路由器平安

路由器（router）是因特網(wǎng)上最為重要的設(shè)備之一，正是遍布世界各地的數(shù)以萬(wàn)計(jì)的路由器構(gòu)成了因特網(wǎng)這個(gè)在我們的身邊日夜不停地運(yùn)轉(zhuǎn)的巨型信息網(wǎng)絡(luò)的“橋梁”。在因特網(wǎng)上，路由器扮演著轉(zhuǎn)發(fā)數(shù)據(jù)包“驛站”的角色，對(duì)于黑客來(lái)說(shuō)，利用路由器的漏洞發(fā)起攻擊通常是一件比較簡(jiǎn)單的事情，攻擊路由器會(huì)鋪張cpu周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)陷于癱瘓，通常好的路由器本身會(huì)實(shí)行一個(gè)好的平安機(jī)制來(lái)愛(ài)護(hù)自己，但是僅此一點(diǎn)是遠(yuǎn)遠(yuǎn)不夠的，愛(ài)護(hù)路由器平安還需要網(wǎng)管員在配置和管理路由器過(guò)程中實(shí)行相應(yīng)的平安措施。

流行的路由器大多是以硬件設(shè)備的形式存在的，但是在某些狀況下也用程序來(lái)實(shí)現(xiàn)“軟件路由器”，兩者的唯一差別只是執(zhí)行的效率不同而已。路由器一般至少和兩個(gè)網(wǎng)絡(luò)相聯(lián)，并依據(jù)它對(duì)所連接網(wǎng)絡(luò)的狀態(tài)打算每個(gè)數(shù)據(jù)包的傳輸路徑。路由器生成并維護(hù)一張稱為“路由信息表”的表格，其中跟蹤記錄相鄰其他路由器的地址和狀態(tài)信息。

路由器使用路由信息表并依據(jù)傳輸距離和通訊費(fèi)用等優(yōu)化算法來(lái)打算一個(gè)特定的數(shù)據(jù)包的最佳傳輸路徑。正是這種特點(diǎn)打算了路由器的“智能性”，它能夠依據(jù)相鄰網(wǎng)絡(luò)的實(shí)際運(yùn)行狀況自動(dòng)選擇和調(diào)整數(shù)據(jù)包的傳輸狀況，盡最大的努力以最優(yōu)的路線和最小的代價(jià)將數(shù)據(jù)包傳遞出去。路由器能否平安穩(wěn)定地運(yùn)行，直接影響著因特網(wǎng)的活動(dòng)，不管由于什么緣由消失路由器死機(jī)、拒絕服務(wù)或是運(yùn)行效率急劇下降，其結(jié)果都將是災(zāi)難性的。

路由器的平安剖析

路由器的平安性分兩方面，一方面是路由器本身的平安，另一方面是數(shù)據(jù)的平安。由于路由器是互聯(lián)網(wǎng)的核心，是網(wǎng)絡(luò)互連的關(guān)鍵設(shè)備，所以路由器的平安要求比其他設(shè)備的平安性要求更高，主機(jī)的平安漏洞最多導(dǎo)致該主機(jī)無(wú)法訪問(wèn)，路由器的平安漏洞可能導(dǎo)致整個(gè)網(wǎng)絡(luò)不行訪問(wèn)。

路由器的平安漏洞可能存在管理上的緣由和技術(shù)上的緣由。在管理上，對(duì)路由器口令糟糕的選擇、路由協(xié)議授權(quán)機(jī)制的不恰當(dāng)使用、錯(cuò)誤的路由配置都可能導(dǎo)致路由器工作消失問(wèn)題，技術(shù)上路由器的平安漏洞可能有惡意攻擊，如竊聽(tīng)、流量分析、假冒、重發(fā)、拒絕服務(wù)、資源非授權(quán)訪問(wèn)、干擾、病毒等攻擊。此外，還有軟件技術(shù)上的漏洞，諸如后門(mén)、操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、tcp/ip協(xié)議漏洞、網(wǎng)絡(luò)服務(wù)等都可能會(huì)存在漏洞。

為了使路由器將合法信息完整、準(zhǔn)時(shí)、平安地轉(zhuǎn)發(fā)到目的地，很多路由器廠商開(kāi)頭在路由器中添加平安模塊，比如將防火墻、___、ids、防病毒、url過(guò)濾等技術(shù)引入路由器當(dāng)中，于是消失了路由器與平安設(shè)備融合的趨勢(shì)。從本質(zhì)上講，增加平安模塊的路由器，在路由器功能實(shí)現(xiàn)方面與一般路由器沒(méi)有區(qū)分，所不同的是，添加平安模塊的路由器可以通過(guò)加密、認(rèn)證等技術(shù)手段增加報(bào)文的平安性，與專用平安設(shè)備進(jìn)行有效協(xié)作，來(lái)提高路由器本身的平安性和所管理網(wǎng)段的可用性。

而為了愛(ài)護(hù)路由器平安，我們還必需考慮路由器的配置問(wèn)題。一般來(lái)說(shuō)路由器的配置方式可以通過(guò)用主控ctermianl)telnet配置；可以從tftpserver上下載配置，另外，還可以用網(wǎng)管工作站進(jìn)行配置。路由器攻擊造成的最大威逼是網(wǎng)絡(luò)無(wú)法使用，而且這類攻擊需要?jiǎng)佑么罅靠拷歉删W(wǎng)絡(luò)的服務(wù)器。其實(shí)，路由器有一個(gè)操作系統(tǒng)，也是一個(gè)軟件，相對(duì)其他操作系統(tǒng)的技術(shù)性來(lái)說(shuō)，差距是特別明顯的，由于功能單一，不考慮兼容性和易用性等，核心固化，一般管理員不允許遠(yuǎn)程登錄，加上了解路由器的人少得很，所以它的平安問(wèn)題不太明顯，有時(shí)候間或消失死機(jī)狀態(tài)，管理員一般使用reboot命令后，也就沒(méi)什么問(wèn)題了。

也正由于這樣，致使許多路由器的管理員對(duì)這個(gè)不怎么關(guān)懷，只要網(wǎng)絡(luò)暢通就可以了，由于路由器通常都是廠家負(fù)責(zé)維護(hù)的。甚至有些廠家總愛(ài)附帶一句說(shuō):“假如遺忘了口令，請(qǐng)和經(jīng)銷商聯(lián)系?！笔聦?shí)上，連unix都有許多漏洞，何況路由器脆弱的操作系統(tǒng)?當(dāng)然路由器一般是無(wú)法滲入的。由于，你無(wú)法遠(yuǎn)程登錄，一般管理員都不會(huì)開(kāi)的。但是讓路由器拒絕服務(wù)的漏洞許多。而且，許多管理員有個(gè)毛病，他們往往對(duì)windows的操作系統(tǒng)補(bǔ)丁打得比較勤，但是對(duì)路由器的操作系統(tǒng)的補(bǔ)丁，許多管理員都懶得去理。

路由器五大類安控技術(shù)

訪問(wèn)掌握技術(shù)：用戶驗(yàn)證是實(shí)現(xiàn)用戶平安防護(hù)的基礎(chǔ)技術(shù)，路由器上可以采納多種用戶接入的掌握手段，如ppp、web登錄認(rèn)證、acl、802.1x協(xié)議等，愛(ài)護(hù)接入用戶不受網(wǎng)絡(luò)攻擊，同時(shí)能夠阻擋接入用戶攻擊其他用戶和網(wǎng)絡(luò)?；赾a標(biāo)準(zhǔn)體系的平安認(rèn)證，將進(jìn)一步加強(qiáng)訪問(wèn)掌握的平安性。

傳輸加密技術(shù)：ipsec是路由器常用的協(xié)議，借助該協(xié)議，路由器支持建立虛擬專用網(wǎng)（___）。ipsec協(xié)議包括esp（encapsulatingsecuritypayload）封裝平安負(fù)載、ah（authenticationheader）報(bào)頭驗(yàn)證協(xié)議及ike，密鑰管理協(xié)議等，可以用在公共ip網(wǎng)絡(luò)上確保數(shù)據(jù)通信的牢靠性和完整性，能夠保障數(shù)據(jù)平安穿越公網(wǎng)而沒(méi)有被偵聽(tīng)。由于ipsec的部署簡(jiǎn)便，只需平安通道兩端的路由器或主機(jī)支持ipsec協(xié)議即可，幾乎不需對(duì)網(wǎng)絡(luò)現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行更動(dòng)，這正是ipsec協(xié)議能夠確保包括遠(yuǎn)程登錄、客戶機(jī)、服務(wù)器、電子郵件、文件傳輸及web訪問(wèn)等多種應(yīng)用程序平安的重要緣由。

防火墻防護(hù)技術(shù)：采納防火墻功能模塊的路由器具有報(bào)文過(guò)濾功能，能夠?qū)θ拷邮蘸娃D(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾和檢查，檢查策略可以通過(guò)配置實(shí)現(xiàn)更改和管理。路由器還可以利用nat/pat功能隱蔽內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)，進(jìn)一步實(shí)現(xiàn)簡(jiǎn)單的應(yīng)用網(wǎng)關(guān)（alg）功能，還有一些路由器供應(yīng)基于報(bào)文內(nèi)容的防護(hù)。原理是當(dāng)報(bào)文通過(guò)路由器時(shí)，防火墻功能模塊可以對(duì)報(bào)文與指定的訪問(wèn)規(guī)章進(jìn)行比較，假如規(guī)章允許，報(bào)文將接受檢查，否則報(bào)文直接被丟棄，假如該報(bào)文是用于打開(kāi)一個(gè)新的掌握或數(shù)據(jù)連接，防護(hù)功能模塊將動(dòng)態(tài)修改或創(chuàng)建規(guī)章，同時(shí)更新?tīng)顟B(tài)表以允許與新創(chuàng)建的連接相關(guān)的報(bào)文，回來(lái)的報(bào)文只有屬于一個(gè)已經(jīng)存在的有效連接，才會(huì)被允許通過(guò)。

入侵檢測(cè)技術(shù)：在平安架構(gòu)中，入侵檢測(cè)（ids）是一個(gè)特別重要的技術(shù)，目前有些路由器和高端交換機(jī)已經(jīng)內(nèi)置ids功能模塊，內(nèi)置入侵檢測(cè)模塊需要路由器具備完善的端口鏡像（一對(duì)一、多對(duì)一）和報(bào)文統(tǒng)計(jì)支持功能。

ha（高可用性）：提高自身的平安性，需要路由器能夠支持備份協(xié)議（如vrrp）和具有日志管理功能，以使得網(wǎng)絡(luò)數(shù)據(jù)具備更高的冗余性和能夠獵取更多的保障。

入侵路由器的手法及其對(duì)策

通常來(lái)說(shuō)，黑客攻擊路由器的手段與攻擊網(wǎng)上其它計(jì)算機(jī)的手法大同小異，由于從嚴(yán)格的意義上講路由器本身就是一臺(tái)具備特別使命的電腦，雖然它可能沒(méi)有人們通常生疏的pc那樣的外觀。一般來(lái)講，黑客針對(duì)路由器的攻擊主要分為以下兩種類型：一是通過(guò)某種手段或途徑獵取管理權(quán)限，直接侵入到系統(tǒng)的內(nèi)部；一是采納遠(yuǎn)程攻擊的方法造成路由器崩潰死機(jī)或是運(yùn)行效率顯著下降。相較而言，前者的難度要大一些。

在第一種入侵方法中，黑客一般是利用系統(tǒng)用戶的馬虎或已知的系統(tǒng)缺陷（例如系統(tǒng)軟件中的“臭蟲(chóng)”）獲得進(jìn)入系統(tǒng)的訪問(wèn)權(quán)限，并通過(guò)一系列進(jìn)一步的行動(dòng)最終獲得超級(jí)管理員權(quán)限。黑客一般很難一開(kāi)頭就獲得整個(gè)系統(tǒng)的掌握權(quán)，在通常的狀況下，這是一個(gè)漸漸升級(jí)的入侵過(guò)程。由于路由器不像一般的系統(tǒng)那樣設(shè)有眾多的用戶賬號(hào)，而且常常使用平安性相對(duì)較高的專用軟件系統(tǒng)，所以黑客要想獵取路由器系統(tǒng)的管理權(quán)相對(duì)于入侵一般的主機(jī)就要困難得多。

因此，現(xiàn)有的針對(duì)路由器的黑客攻擊大多數(shù)都可以歸入其次類攻擊手段的范疇。這種攻擊的最終目的并非直接侵入系統(tǒng)內(nèi)部，而是通過(guò)向系統(tǒng)發(fā)送攻擊性數(shù)據(jù)包或在肯定的時(shí)間間隔里，向系統(tǒng)發(fā)送數(shù)量巨大的“垃圾”數(shù)據(jù)包，以此大量耗費(fèi)路由器的系統(tǒng)資源，使其不能正常工作，甚至徹底崩潰。

路由器是內(nèi)部網(wǎng)絡(luò)與外界的一個(gè)通信出口，它在一個(gè)網(wǎng)絡(luò)中充當(dāng)著平衡帶寬和轉(zhuǎn)換ip地址的作用，實(shí)現(xiàn)少量外部ip地址數(shù)量讓內(nèi)部多臺(tái)電腦同時(shí)訪問(wèn)外網(wǎng)，一旦黑客攻陷路由器，那么就把握了掌握內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)的權(quán)力，而且假如路由器被黑客使用拒絕服務(wù)攻擊，將造成內(nèi)部網(wǎng)絡(luò)不能訪問(wèn)外網(wǎng)，甚至造成網(wǎng)絡(luò)癱瘓。詳細(xì)來(lái)說(shuō)，我們可以實(shí)施下面的對(duì)策：

為了防止外部icmp重定向哄騙，我們知道攻擊者有時(shí)會(huì)利用icmp重定一直對(duì)路由器進(jìn)行重定向，將本應(yīng)送到正確目標(biāo)的信息重定向到它們指定的設(shè)備，從而獲得有用信息。禁止外部用戶使用icmp重定向的命令是：interfaceserial0noipredirects。

在防止外部源路由哄騙時(shí)，我們知道源路由選擇是指使用數(shù)據(jù)鏈路層信息來(lái)為數(shù)據(jù)報(bào)進(jìn)行路由選擇。該技術(shù)跨越了網(wǎng)絡(luò)層的路由信息，使入侵者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)指定一個(gè)非法的路由，這樣原本應(yīng)當(dāng)送到合法目的地的數(shù)據(jù)報(bào)就會(huì)被送到入侵者指定的地址。禁止使用源路由的命令：noipsource-route。

如何防止盜用內(nèi)部ip地址呢？由于攻擊者通