平時，我們看到的路由器入侵事件不多，因此在很多人的印象中，路由(Routing)只是選擇通過互聯網絡從源節點向目的節點傳輸信息的通道。其實，路由器的安全隱患很多，由于一般黑客接觸得不太頻繁，被攻擊的事件很少發生。但是如果路由器被攻擊，后果將不堪設想。

　　路由安全，不可忽視

　　路由器是內部網絡與外界的一個通信出口。它在一個網絡中充當著平衡帶寬和轉換IP地址的作用，實現少量外部IP地址數量讓內部多臺電腦同時訪問外網。一旦黑客攻陷路由器，那么就掌握了控制內部網絡訪問外部網絡的權力。而且如果路由器被黑客使用拒絕服務攻擊，將造成內部網絡不能訪問外網，甚至造成網絡癱瘓。

　　一般來說，路由器的配置方式有:用主控Console口接終端配置;在AUX口接Modem同電話網相連，在遠端配置;在TCP/IP網上可通過仿真終端(virtual termianl)telnet配置;可以從TFTP Server上下載配置;另外，還可以用網管工作站進行配置。路由器攻擊造成的最大威脅是網絡無法使用，而且這類攻擊需要動用大量靠近骨干網絡的服務器。其實，路由器有一個操作系統，也是一個軟件，相對其他操作系統的技術性來說，差距是非常明顯的。由于功能單一，不考慮兼容性和易用性等，核心固化，一般管理員不允許遠程登錄，加上了解路由器的人少得很，所以它的安全問題不太明顯。有時候偶爾出現死機狀態，管理員一般使用reboot命令后，也就沒什么問題了。

　　也正因為這樣，致使很多路由器的管理員對這個不怎么關心，只要網絡暢通就可以了，因為路由器通常都是廠家負責維護的。甚至有些廠家總愛附帶一句說:“如果忘記了口令，請和經銷商聯系�！笔聦嵣�，連Unix都有很多漏洞，何況路由器脆弱的操作系統?當然路由器一般是無法滲入的。因為，你無法遠程登錄，一般管理員都不會開的。但是讓路由器拒絕服務的漏洞很多。而且，很多管理員有個毛病，他們往往對Windows的操作系統補丁打得比較勤，但是對路由器的操作系統的補丁，很多管理員都懶得去理。

　　“萬能密碼”攻擊路由

　　早在學校的時候，小張就對路由器的設置很感興趣，管理機房的導師也是這方面的行家，據說學校機房的一臺路由器的操作系統就被他給反編譯分析了。根據導師的說法，路由器的操作系統比起Linux來要簡單得多，而且那個型號的路由器存在著像計算機BIOS一樣的口令，有了這個口令，很多事情就方便多了，這就是為什么有些路由器公司的手冊上有那句話:“如果忘記了口令，請和經銷商聯系�！笨磥�，這種情形放到其他軟件公司開發的產品上也不過分。根據小張的猜想，每個路由器都有一個萬能密碼，如果真這樣，那后果就不堪設想了。

　　畢業后參加工作，小張來到了一家網絡公司。通過對公司的網絡設置觀察，小張發現，由于一般機器都有防火墻，包過濾通常安裝在路由器上，并且大多數路由器都提供了包過濾的功能�，F在小張想做的，就是實踐導師所說的那個“萬能密碼”，而且很巧的是，單位里用的路由器也是導師反編譯過的那個型號，但是想獲得連接路由器的控制權力還是要費點事的。小張選擇了對路由器管理接口的入侵，通過獲取路由器的登錄口令到設備內部，然后看看設備的配置，只要不影響到網絡的正常運行就可以了。通過觀察，小張發現有臺備份數據庫的計算機和交換機是一個網段的，按道理說，應該是通的。經過一個小小的遠程測試，果然如此�？磥恚�就要用這個備份數據庫來“偷窺”密碼了。

　　找了個理由，小張非常輕松地進入了備份數據庫，打開FTP端口，然后輕松地安裝了一個代理服務器。現在該做點其他的事情了，小張回到自己的機器上，測試了一下Proxy+這個軟件。到http://www.skycn.net下載后，然后一路“Next”在本機安裝完畢，啟動軟件后界面如圖1所示。

圖1

    根據軟件的英文提示，打開本機地址的4400端口，看了看簡單的代理設置。如圖2所示。

圖2

　　測試完畢，小張神不知鬼不覺地把這個代理軟件傳到了備份服務器上，安裝以后，打開客戶端IE瀏覽器的“工具”菜單下的“Internet選項”，然后打開“連接”選項卡下的“局域網設置”，選擇“使用代理服務器”，下面要做的當然就是填寫安裝proxy+的備份數據庫的IP了，端口號是4480，如圖3所示。

圖3

　　這樣就可以在無人可知的情況下放心上網查看路由器的“萬能密碼”了。小張現在要做的，就是在備份數據庫服務器上安裝個軟件路由器。然后在總路由表中加一條規則，把公司網管計算機的數據全部轉發到備份數據庫服務器的軟件路由器上，然后通過備份數據庫服務器的路由器再轉向那個總路由器。做完這些以后，小張在備份數據庫服務器的路由器上安裝了一個包過濾軟件。這樣，網管對外的數據包都會被記錄下來，至于數據加密的強度，網管覺得telnet是個很不錯的登陸方式，方便而且自我感覺安全性不錯，實際上，telnet傳遞的數據是不加密的。小張心里琢磨著，如果采用個什么DES加密，那這么多活說不定都白干了。

    路由攻擊有理可依

　　傳統的包過濾功能在路由器上�？煽吹剑�而專門的防火墻系統一般在此之上加了功能的擴展，如狀態檢測等。由于包過濾是一種保安機制，它通過檢查單個包的地址、協議、端口等信息來決定是否允許此數據包通過。網絡中的應用雖然很多，但其最終的傳輸單位都是以數據包的形式出現，這種做法主要是因為網絡要為多個系統提供共享服務。例如，文件傳輸時，必須將文件分割為小的數據包，每個數據包單獨傳輸。每個數據包中除了包含所要傳輸的內容，還包括源地址、目標地址。數據包是通過互聯網絡中的路由器，從源網絡到達目的網絡的。路由器接收到的數據包就知道了該包要去往何處，然后路由器查詢自身的路由表，若有去往目的的路由，則將該包發送到下一個路由器或直接發往下一個網段;否則，將該包丟掉。結構如圖4所示。

圖4

　　在局域網和Internet之間放置過濾器后，就可以保證局域網與Internet所有的通信數據都要經過過濾器。于是，小張觀察到網管在reboot路由器的時候，就開動了包過濾軟件。果然，周一網管進行例行檢測的時候，IP數據包就源源不斷地傳過來了。在觀察的時候，小張立刻以最快的速度下載下記錄文件，并恢復了出口路由器上的設置，然后刪除掉在備份數據庫服務器上安裝的所有東西并斷掉連接。開始在自己的機器上分析攔截下來的數據包。根據以前telnet的數據包試驗分析，所以不費吹灰之力，密碼的位置在雜亂的數據包中很快就被試驗出來了。

　　路由防御有道可尋

　　后來，小張榮升為網管，針對路由器的安全情況，就進行了如下的修改:合理配置路由器等網絡設備，可以避免多數的對路由協議和遠程配置端口的攻擊;用專用的身份鑒別產品增強路由器等設備的登錄安全性;使用雙因素身份鑒別產品，這類產品采用一次性口令技術，并且在登錄過程中要求相應的認證硬件參與，可以有效消除口令泄密的危險。同時可以通過收回或撤消令牌的辦法明確地收回離職管理員的權限。同時，他還準備采用比較可行的手段預防DDOS攻擊，包括:

　　首先，在各主要入口和關鍵節點安裝能夠防范Flooding攻擊的防火墻，這樣可以在攻擊時，將攻擊的效果封閉在相對較小的區域內，而不會波及全網，并能夠在一定程度上確定攻擊來源。這種方法的弊端也是十分明顯的，一是代價很高，需要配置比較多的高性能防火墻。另一方面，帶寬資源是ISP的主要競爭資源，任何降低帶寬的技術都是不利的，而位于骨干節點的防火墻無疑會直接影響ISP所擁有的有效帶寬。當然，為了防止自己的小技巧被別人識破，小張制定了規則來避免虛假的TCP/IP地址，這樣攻擊者就不能用欺騙的方法偽裝成來自局域網的消息。如果攻擊者假裝是內部的機器，用過濾器就能夠有效阻止攻擊者的攻擊了。

　　其次，在骨干節點安裝網絡檢測設備，當發現這類攻擊時可以通過臨時在各路由節點封鎖對攻擊目標的數據包，從而保護網絡帶寬和被攻擊的服務器。這種方式由于不在骨干線路上增加過濾設備，不會影響網絡帶寬，因而比前面的方案更加合理。代價是，這種方案需要為網絡檢測系統配備足夠的計算能力，以應付骨干網絡上的巨大的數據流量。同時，攻擊發生時需要具備比較強的處理能力，并預先攻擊發生時的處理規則。

　　從上面這些分析看，路由器的安全不容忽視，由此到整個網絡看，安全的隱患也不是某個設備的問題，整體的安全協調才是最重要的。知己知彼，才能百戰百勝。