歡迎來到學(xué)習(xí)啦，本文為大家講解如何提防路由攻擊成為網(wǎng)絡(luò)殺手，歡迎大家閱讀學(xué)習(xí)。

　　平時，我們看到的路由器入侵事件不多，因此在很多人的印象中，路由(Routing)只是選擇通過互聯(lián)網(wǎng)絡(luò)從源節(jié)點向目的節(jié)點傳輸信息的通道。其實，路由器的安全隱患很多，由于一般黑客接觸得不太頻繁，被攻擊的事件很少發(fā)生。但是如果路由器被攻擊，后果將不堪設(shè)想。

　　路由安全，不可忽視

　　路由器是內(nèi)部網(wǎng)絡(luò)與外界的一個通信出口。它在一個網(wǎng)絡(luò)中充當(dāng)著平衡帶寬和轉(zhuǎn)換IP地址的作用，實現(xiàn)少量外部IP地址數(shù)量讓內(nèi)部多臺電腦同時訪問外網(wǎng)。一旦黑客攻陷路由器，那么就掌握了控制內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的權(quán)力。而且如果路由器被黑客使用拒絕服務(wù)攻擊，將造成內(nèi)部網(wǎng)絡(luò)不能訪問外網(wǎng)，甚至造成網(wǎng)絡(luò)癱瘓。

　　一般來說，路由器的配置方式有:用主控Console口接終端配置;在AUX口接Modem同電話網(wǎng)相連，在遠(yuǎn)端配置;在TCP/IP網(wǎng)上可通過仿真終端(virtual termianl)telnet配置;可以從TFTP Server上下載配置;另外，還可以用網(wǎng)管工作站進行配置。路由器攻擊造成的最大威脅是網(wǎng)絡(luò)無法使用，而且這類攻擊需要動用大量靠近骨干網(wǎng)絡(luò)的服務(wù)器。其實，路由器有一個操作系統(tǒng)，也是一個軟件，相對其他操作系統(tǒng)的技術(shù)性來說，差距是非常明顯的。由于功能單一，不考慮兼容性和易用性等，核心固化，一般管理員不允許遠(yuǎn)程登錄，加上了解路由器的人少得很，所以它的安全問題不太明顯。有時候偶爾出現(xiàn)死機狀態(tài)，管理員一般使用reboot命令后，也就沒什么問題了。

　　也正因為這樣，致使很多路由器的管理員對這個不怎么關(guān)心，只要網(wǎng)絡(luò)暢通就可以了，因為路由器通常都是廠家負(fù)責(zé)維護的。甚至有些廠家總愛附帶一句說:“如果忘記了口令，請和經(jīng)銷商聯(lián)系。”事實上，連Unix都有很多漏洞，何況路由器脆弱的操作系統(tǒng)?當(dāng)然路由器一般是無法滲入的。因為，你無法遠(yuǎn)程登錄，一般管理員都不會開的。但是讓路由器拒絕服務(wù)的漏洞很多。而且，很多管理員有個毛病，他們往往對Windows的操作系統(tǒng)補丁打得比較勤，但是對路由器的操作系統(tǒng)的補丁，很多管理員都懶得去理。

　　“萬能密碼”攻擊路由

　　早在學(xué)校的時候，小張就對路由器的設(shè)置很感興趣，管理機房的導(dǎo)師也是這方面的行家，據(jù)說學(xué)校機房的一臺路由器的操作系統(tǒng)就被他給反編譯分析了。根據(jù)導(dǎo)師的說法，路由器的操作系統(tǒng)比起Linux來要簡單得多，而且那個型號的路由器存在著像計算機BIOS一樣的口令，有了這個口令，很多事情就方便多了，這就是為什么有些路由器公司的手冊上有那句話:“如果忘記了口令，請和經(jīng)銷商聯(lián)系。”看來，這種情形放到其他軟件公司開發(fā)的產(chǎn)品上也不過分。根據(jù)小張的猜想，每個路由器都有一個萬能密碼，如果真這樣，那后果就不堪設(shè)想了。

　　路由攻擊有理可依

　　傳統(tǒng)的包過濾功能在路由器上?？煽吹剑鴮ｉT的防火墻系統(tǒng)一般在此之上加了功能的擴展，如狀態(tài)檢測等。由于包過濾是一種保安機制，它通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過。網(wǎng)絡(luò)中的應(yīng)用雖然很多，但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn)，這種做法主要是因為網(wǎng)絡(luò)要為多個系統(tǒng)提供共享服務(wù)。例如，文件傳輸時，必須將文件分割為小的數(shù)據(jù)包，每個數(shù)據(jù)包單獨傳輸。每個數(shù)據(jù)包中除了包含所要傳輸?shù)膬?nèi)容，還包括源地址、目標(biāo)地址。數(shù)據(jù)包是通過互聯(lián)網(wǎng)絡(luò)中的路由器，從源網(wǎng)絡(luò)到達目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處，然后路由器查詢自身的路由表，若有去往目的的路由，則將該包發(fā)送到下一個路由器或直接發(fā)往下一個網(wǎng)段;否則，將該包丟掉。

　　在局域網(wǎng)和Internet之間放置過濾器后，就可以保證局域網(wǎng)與Internet所有的通信數(shù)據(jù)都要經(jīng)過過濾器。于是，小張觀察到網(wǎng)管在reboot路由器的時候，就開動了包過濾軟件。果然，周一網(wǎng)管進行例行檢測的時候，IP數(shù)據(jù)包就源源不斷地傳過來了。在觀察的時候，小張立刻以最快的速度下載下記錄文件，并恢復(fù)了出口路由器上的設(shè)置，然后刪除掉在備份數(shù)據(jù)庫服務(wù)器上安裝的所有東西并斷掉連接。開始在自己的機器上分析攔截下來的數(shù)據(jù)包。根據(jù)以前telnet的數(shù)據(jù)包試驗分析，所以不費吹灰之力，密碼的位置在雜亂的數(shù)據(jù)包中很快就被試驗出來了。

　　比較可行的手段預(yù)防DDOS攻擊，包括:

　　首先，在各主要入口和關(guān)鍵節(jié)點安裝能夠防范Flooding攻擊的防火墻，這樣可以在攻擊時，將攻擊的效果封閉在相對較小的區(qū)域內(nèi)，而不會波及全網(wǎng)，并能夠在一定程度上確定攻擊來源。這種方法的弊端也是十分明顯的，一是代價很高，需要配置比較多的高性能防火墻。另一方面，帶寬資源是ISP的主要競爭資源，任何降低帶寬的技術(shù)都是不利的，而位于骨干節(jié)點的防火墻無疑會直接影響ISP所擁有的有效帶寬。當(dāng)然，為了防止自己的小技巧被別人識破，小張制定了規(guī)則來避免虛假的TCP/IP地址，這樣攻擊者就不能用欺騙的方法偽裝成來自局域網(wǎng)的消息。如果攻擊者假裝是內(nèi)部的機器，用過濾器就能夠有效阻止攻擊者的攻擊了。

　　其次，在骨干節(jié)點安裝網(wǎng)絡(luò)檢測設(shè)備，當(dāng)發(fā)現(xiàn)這類攻擊時可以通過臨時在各路由節(jié)點封鎖對攻擊目標(biāo)的數(shù)據(jù)包，從而保護網(wǎng)絡(luò)帶寬和被攻擊的服務(wù)器。這種方式由于不在骨干線路上增加過濾設(shè)備，不會影響網(wǎng)絡(luò)帶寬，因而比前面的方案更加合理。代價是，這種方案需要為網(wǎng)絡(luò)檢測系統(tǒng)配備足夠的計算能力，以應(yīng)付骨干網(wǎng)絡(luò)上的巨大的數(shù)據(jù)流量。同時，攻擊發(fā)生時需要具備比較強的處理能力，并預(yù)先攻擊發(fā)生時的處理規(guī)則。

　　從上面這些分析看，路由器的安全不容忽視，由此到整個網(wǎng)絡(luò)看，安全的隱患也不是某個設(shè)備的問題，整體的安全協(xié)調(diào)才是最重要的。知己知彼，才能百戰(zhàn)百勝。