IP网络路由器的设备安全与设备测试

一、引言

当今的时代是网络的时代,20世纪末出现的IP网络,以前所未有的发展速度创造了人类科技史上的奇迹,并大有取代已经存在了100多年的电路交换网的趋势。但从电信网的角度来说,IP网络还存在着诸如安全、服务质量、运营模式等问题。

其中, IP网络的安全问题是其中非常重要的一个方面,由于IP网络的开放性,又使得它的安全问题变得十分复杂。本文着重分析IP网络中所面临的安全威胁,并讨论路由器设备安全功能的测试。

二、IP网络所面临的安全威胁

IP网络的最大优势是它的开放性,并最大限度地支持终端的智能,这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时,IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁。

IP网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身,即网络设备(主要是路由器)自身的安全问题。

路由器设备从功能上可以划分为数据平面、控制/信令平面和管理平面,也可以从协议系统的角度按TCP/IP协议的层次进行划分。图l所示为路由器的系统框架。路由器设备在系统框架中的每个层次上都有可能受到攻击。

图1 路由器的系统框架

(1)对数据平面来说,其功能是负责处理进入设备的数据流,它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。由于数据平面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要是对用户数据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。

(2)对路由器来说,控制/信令平面的主要功能是进行路由信息的交换。这一平面受到的主要威胁来自对路由信息的窃取,对IP地址的伪造等,这会造成网络路由信息的泄漏或滥用。

(3)对系统管理平面来说,威胁来自于两个方面,一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。

三、威胁网络安全的主要攻击手段

1.数据平面

数据平面受到的主要攻击是拒绝服务(DoS,Deny of Service)攻击,拒绝服务攻击针对不同的协议会有很多种形式。

(1)LAND攻击。LAND攻击是利用某些系统TCP协议实现中的漏洞,制造TCPSYN报文,这些报文的源IP地址和TCP端口号与目的IP地址和TCP端口号相同,这样系统就会向自身发起一个TCP连接,造成了系统资源的无谓消耗。

(2)SYNF1ood攻击。SYNF1ood攻击是利用TCP协议三次握手的机制,由攻击主机向被攻击设备发送大量的SYN请求报文,这些报文的源地址是一个不可达的主机地址,被攻击设备发送SYNACK报文后,就开始等待大量根本不可能到达的ACK报文,造成了系统资源的大量占用。

(3)Smurf攻击。Smurf攻击是利用ICMP协议的一种DoS攻击手段。该攻击是将ICMP Echo Request(Ping)报文的源地址伪造成被攻击设备的地址,目的地址为网络中的广播地址,这样大量的ICMP响应报文将造成被攻击设备以及所在网络的负载大大增加。如果攻击中使用的是UDP的应答请求消息则演变为Fraggle攻击。

(4)PingF1ood攻击。PingF1ood攻击是从一条高带宽的连接向一条低带宽的连接连续发送大量的Ping报文,被攻击设备将对每一个Ping报文进行回应,造成了网络可用带宽的降低。

(5)Teardrop攻击。Teardrop攻击是利用IP报文的分片/重组机制,发送伪造的分片IP报文,而将IP报文头部中指示分片标记的Offset字段设为重复的值,使得被攻击设备在处理这些分片报文时造成系统的挂起甚至宕机。

(6)Ping of Death攻击。Ping of Death攻击通过发送一个包长超过65535的Ping报文,使被攻击设备的内存分配产生错误,从而导致设备的瘫痪。

除了DoS攻击,网络设备还会面对网络中大量的各种各样的畸形报文和错误报文,这些报文将耗费网络设备大量的处理能力,Ping of Death攻击也可以看作是畸形报文的一种形式。

同时,网络上的用户数据也有可能受到恶意监听或截取,目前比较有效的防范方式是使用IPSec协议进行用户数据的加密。

2.控制/信令平面

对控制/信令平面的攻击主要是通过使用非法的或未授权的路由设备与网络中的合法设备建立路由邻接关系,获取网络中的路由信息。通过路由协议的加密认证可以有效阻止这种攻击。目前,主要使用的RIPv2,OSPF,IS-IS都支持对协议报文的明文认证和MD5加密认证,BGP,LDP等协议则依靠TCP的MD5加密认证来保证协议报文的安全性。

3.管理平面

目前,对设备的远程管理主要采用Telnet,Web等方式,而Telnet,HTTP协议本身都没有提供安全功能,用户数据、用户账号和口令等都是明文传送,很容易被监听窃取,也很容易受到中间人(Man In the Middle)攻击。

解决网络设备远程管理问题主要依靠SSH和SSL协议。SSH(Secure Shell)是目前比较可靠的为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSL(Secure Socket Layer)协议可以在使用Web方式进行远程管理时对浏览器和Web服务器之间的通信进行加密。

时间: 2024-09-13 17:39:16

IP网络路由器的设备安全与设备测试的相关文章

单网卡工作站用作TCP/IP网络路由器

我们一般认为,路由器连接在多个网络上,所以它应当对应每个网络有一块网卡和一个IP地址.然而在实际中可能会出现需建立一个内部网以解决Internet的IP地址不够用的情况,而工作站往往在自己的主板上又已集成了一块网卡.如何利用现有的资源设置路由器呢?似乎不好办,然而事实上单网卡工作站也可以配成 TCP/IP网络路由器.在装有Solaris2.x操作系统的SUN工作站上,可以采用下述方法来配置. 一.配置路由器接口 1.创建/etc/hostname.interface文件 对应每个连接的网络均应有

原子路由器发布:仅手指大小 实现IP网络可视化

华为在昨日的2014 世界移动通信大会上推出原子路由器(Atom Router),该产品可在现网任意节点.任意设备部署,零改造现网即可实现IP网络的可视化.可管理,提供实时的每用户.每业务高精度性能检测,帮助传统网络实现网络增值.据介绍,此次发布的原子路由器为全球最小的运营级路由器,仅有手指大小,无需额外供电和站点资源,插入现网任意设备的业务端口,如基站.路由器.交换机等,即插即用.该产品适配多厂家的网络,可以对每业务.每用户实时检测,并快速故障定位和定界.随着移动互联网的快速发展,移动.固定业

全球最小3G网络冰岛开通爱立信华为提供设备

12月24日消息,北欧岛国冰岛近期开通了3G网络.冰岛游离于北欧大陆之外,面积10.3万平方公里,40%的土地属无人区:人口20余万,除首都外尚有3个人口逾万的小城市,城镇人口比重高达88%,这也是3G网络主要覆盖的区域,堪称全球最小3G网络. 今年4月,爱立信与冰岛最大的运营商Síminn签署合同,为其提供WCDMA/HSPA网络.爱立信此前也是冰岛GSM的供应商,北欧领域一直是爱立信和诺基亚西门子的固有领土. 冰岛属寒温带海洋性气候,变化无常,并且该国对环保要求严格.爱立信的站点无需无需柴油

腾达(Tenda)P1000修改网络名称后搜索不到设备怎么办

A:因为您修改的是另一台的网络名称,这样两台设备不在同一个私网络里,于是被修改过的设备从这个私网里消失,这时可以使用Reset按钮复位修改过的设备并重新配对,也可以将修改过的设备连接在电脑上,运行管理软件 >> 点击设置图标 >> 点击"修改网络名称",修改网络名称与另一台设备相同,如图:

二层设备与三层设备的区别--总结

1.前言 说来惭愧,我是学软件出生的,误打误撞去了一家搞网络设备的公司.本来对网络不熟悉,只知道一些基础的知识.虽然在公司主要是搞应用层开发,但是毕竟是网络公司,不懂网络肯定是不行的.为此要很下心来学习一些网络知识,从最基本的开始.网络设备最重要的是对报文转发和控制.高性能搞并发的转发报文需要很强的技术.目前炒的比较火的sdn(软件定义网络),将网络转发和控制分开,移到应用层.技术很先进,容易跟踪定位问他.例如intel的开发的dpdk,目前已经被很多公司采用.今天从简单的二层口和三层口学习起.

IP网络存储iSCSI的概念与工作原理

本章主要介绍基于IP SAN的网络存储iSCSI.iSCSI技术以其低廉的构建成本和优秀的存储性能,博得了很多CIO和存储管理员的喜爱,目前陆续进入企业应用领域,推动了企业的存储环境向集中式转变.虽然,目前对于iSCSI应该在什么样的环境中使用还存在着诸多争议,但是iSCSI的前途是光明的,在未来的存储世界中,iSCSI一定会占据重要的席位.本章重点介绍iSCSI在Windows和Linux环境下的配置和使用. 存储的概念与术语 在存储的世界里,有各种各样的名词和术语,常见的有SCSI.FC.D

SD-WAN和IP网络演进探讨

今天的SD-WAN 对于绝大部分的企业而言,IT系统已经成为了企业运营中的一个关键基础设施,这其中网络部分Internet的接入.企业分支/合作伙伴之间的VPN连接是IT化基础设施中重要的部件.而MPLS VPN专线接入价格高昂,对于大部分企业是笔不菲的支出;同时对于运行关键业务的企业总部或重要站点,往往需要连接到多个运营商或采用多种接入方式以提供网络冗余的保护,进一步增加了WAN接入的成本.科技进步的实质就是降低成本,使得组织和个人单纯的需要和欲望变成可以支付得起的需求,从而释放购买力,创造新

爱立信联手思科虚拟化VHA核心和IP网络

根据相关消息显示,爱立信和思科系统将对澳大利亚电信运营商沃达丰和黄澳洲(Vodafone Hutchison Australia,沃达丰与和记电讯在澳大利亚合资公司,以下简称VHA)网络进行转型和虚拟化,以便更好的为新兴服务做好准备,并通过网络切片技术进行核心网络演化,提高敏捷性和可编程性水平. 通过简化其网络和基础设施,VHA将受益于更灵活.创新和更积极主动的方式将服务推向市场,最终改善客户参与体验以及运营支出和资本支出的减少. 此次交易代表了爱立信和思科在电信云基础设施上的第一次重要合作.

家庭无线网络路由器设置多SSID教程

  很多家庭和中小企业已经布置了无线网络,最常用到的设备就是无线路由器,它集中了无线AP与宽带路由器的功能.使用无线路由器,移动用户便可以通过拥有无线网卡的设备连入无线网络,从而实现移动互通,针对一般的用户来说,无线路由器买来以后,经过简单的设置便可能进行工作,甚至一两年都不用管它. 但无线路由器还具有一个比较特殊的功能,称为多SSID,很多朋友可能没有使用过.使用这个功能可以迅速的让一台无线路由器却变成了两台甚至更多台,听起来是不是很神奇? 首先,我们先来看一下什么是SSID: SSID是什么