如何提防路由攻擊成為網路殺手

  歡迎來到,本文為大家講解,歡迎大家閱讀學習。

  平時,我們看到的路由器入侵事件不多,因此在很多人的印象中,路由Routing只是選擇通過網際網路絡從源節點向目的節點傳輸資訊的通道。其實,路由器的安全隱患很多,由於一般黑客接觸得不太頻繁,被攻擊的事件很少發生。但是如果路由器被攻擊,後果將不堪設想。

  路由安全,不可忽視

  路由器是內部網路與外界的一個通訊出口。它在一個網路中充當著平衡頻寬和轉換IP地址的作用,實現少量外部IP地址數量讓內部多臺電腦同時訪問外網。一旦黑客攻陷路由器,那麼就掌握了控制內部網路訪問外部網路的權力。而且如果路由器被黑客使用拒絕服務攻擊,將造成內部網路不能訪問外網,甚至造成網路癱瘓。

  一般來說,路由器的配置方式有:用主控Console口接終端配置;在AUX口接Modem同電話網相連,在遠端配置;在TCP/IP網上可通過模擬終端virtual termianltelnet配置;可以從TFTP Server上下載配置;另外,還可以用網管工作站進行配置。路由器攻擊造成的最大威脅是網路無法使用,而且這類攻擊需要動用大量靠近骨幹網路的伺服器。其實,路由器有一個作業系統,也是一個軟體,相對其他作業系統的技術性來說,差距是非常明顯的。由於功能單一,不考慮相容性和易用性等,核心固化,一般管理員不允許遠端登入,加上了解路由器的人少得很,所以它的安全問題不太明顯。有時候偶爾出現宕機狀態,管理員一般使用reboot命令後,也就沒什麼問題了。

  也正因為這樣,致使很多路由器的管理員對這個不怎麼關心,只要網路暢通就可以了,因為路由器通常都是廠家負責維護的。甚至有些廠家總愛附帶一句說:“如果忘記了口令,請和經銷商聯絡。”事實上,連Unix都有很多漏洞,何況路由器脆弱的作業系統?當然路由器一般是無法滲入的。因為,你無法遠端登入,一般管理員都不會開的。但是讓路由器拒絕服務的漏洞很多。而且,很多管理員有個毛病,他們往往對Windows的作業系統補丁打得比較勤,但是對路由器的作業系統的補丁,很多管理員都懶得去理。

  “萬能密碼”攻擊路由

  早在學校的時候,小張就對路由器的設定很感興趣,管理機房的導師也是這方面的行家,據說學校機房的一臺路由器的作業系統就被他給反編譯分析了。根據導師的說法,路由器的作業系統比起Linux來要簡單得多,而且那個型號的路由器存在著像計算機BIOS一樣的口令,有了這個口令,很多事情就方便多了,這就是為什麼有些路由器公司的手冊上有那句話:“如果忘記了口令,請和經銷商聯絡。”看來,這種情形放到其他軟體公司開發的產品上也不過分。根據小張的猜想,每個路由器都有一個萬能密碼,如果真這樣,那後果就不堪設想了。

  路由攻擊有理可依

  傳統的包過濾功能在路由器上常可看到,而專門的防火牆系統一般在此之上加了功能的擴充套件,如狀態檢測等。由於包過濾是一種保安機制,它通過檢查單個包的地址、協議、埠等資訊來決定是否允許此資料包通過。網路中的應用雖然很多,但其最終的傳輸單位都是以資料包的形式出現,這種做法主要是因為網路要為多個系統提供共享服務。例如,檔案傳輸時,必須將檔案分割為小的資料包,每個資料包單獨傳輸。每個資料包中除了包含所要傳輸的內容,還包括源地址、目標地址。資料包是通過網際網路絡中的路由器,從源網路到達目的網路的。路由器接收到的資料包就知道了該包要去往何處,然後路由器查詢自身的路由表,若有去往目的的路由,則將該包傳送到下一個路由器或直接發往下一個網段;否則,將該包丟掉。

  在區域網和Internet之間放置過濾器後,就可以保證區域網與Internet所有的通訊資料都要經過過濾器。於是,小張觀察到網管在reboot路由器的時候,就開動了包過濾軟體。果然,週一網管進行例行檢測的時候,IP資料包就源源不斷地傳過來了。在觀察的時候,小張立刻以最快的速度下載下記錄檔案,並恢復了出口路由器上的設定,然後刪除掉在備份資料庫伺服器上安裝的所有東西並斷掉連線。開始在自己的機器上分析攔截下來的資料包。根據以前telnet的資料包試驗分析,所以不費吹灰之力,密碼的位置在雜亂的資料包中很快就被試驗出來了。

  比較可行的手段預防DDOS攻擊,包括:

  首先,在各主要和關鍵節點安裝能夠防範Flooding攻擊的防火牆,這樣可以在攻擊時,將攻擊的效果封閉在相對較小的區域內,而不會波及全網,並能夠在一定程度上確定攻擊來源。這種方法的弊端也是十分明顯的,一是代價很高,需要配置比較多的高效能防火牆。另一方面,頻寬資源是ISP的主要競爭資源,任何降低頻寬的技術都是不利的,而位於骨幹節點的防火牆無疑會直接影響ISP所擁有的有效頻寬。當然,為了防止自己的小技巧被別人識破,小張制定了規則來避免虛假的TCP/IP地址,這樣攻擊者就不能用欺騙的方法偽裝成來自區域網的訊息。如果攻擊者假裝是內部的機器,用過濾器就能夠有效阻止攻擊者的攻擊了。

  其次,在骨幹節點安裝網路檢測裝置,當發現這類攻擊時可以通過臨時在各路由節點封鎖對攻擊目標的資料包,從而保護網路頻寬和被攻擊的伺服器。這種方式由於不在骨幹線路上增加過濾裝置,不會影響網路頻寬,因而比前面的方案更加合理。代價是,這種方案需要為網路檢測系統配備足夠的計算能力,以應付骨幹網路上的巨大的資料流量。同時,攻擊發生時需要具備比較強的處理能力,並預先攻擊發生時的處理規則。

  從上面這些分析看,路由器的安全不容忽視,由此到整個網路看,安全的隱患也不是某個裝置的問題,整體的安全協調才是最重要的。知己知彼,才能百戰百勝。