时间:2015-06-25 09:49 文章来源:http://www.lunwenbuluo.com 作者:肖蕾 马瑞聪 任李 点击次数:
摘要:在整个互联网的拓扑环境中,存在着成千上万个枢纽设备,他们就是路由器,路由器的作用是连接多个网络或网段,并根据约定好的协议进行“交流”和传输数据包,从而构成一个更大的网络。骨干网路由器作为一个特殊的路由器,在网络中有着举足轻重的作用。
【关键词】骨干网路由器骨干网攻击防御
骨干网安全一直网络安全的焦点,本文针对骨干网路由器,从概念出发,综合分析了骨干网路由器的安全需求和面临的安全威胁,对今后对骨干网路由器的研究和防御做了充分的准备工作。
1骨干网路由器介绍
骨干网(BackboneNetwork)是用来连接多个区域或地区的高速网络。每个骨干网中至少有一个和其他骨干网进行互联互通的连接点。不同的网络供应商都拥有自己的骨干网,用以连接其位于不同区域的网络。而路由器根据所处网络位置和功能的不同,分为以下三种。
接入路由器。接入路由器是位于网络外围(边缘)的路由器,主要用于连接家庭或ISP内的小型企业客户。它的主要功能就是将局域网用户接入到广域网中。
企业级路由器。企业级的路由器适用于大规模的企业网络连接,或者校园网之间的连接。企业或校园间网络一般采用复杂的网络拓扑结构,路由之间采用负载共享并使用最优路径,具有处理多媒体效果好,安全性高的优点,同时在节省局域网的频宽方面具有显著的效果。此外在隔离不需要的通信量和减少主机负担方面的优势比较明显。
骨干网路由器。骨干网路由器不常见,在规模一般的网络中也涉及不到它的使用,只有工作在网络提供商等少数部门的技术人员,才能接触到骨干网路由器。互联网是一个具有十分复杂拓扑结构的网络,目前由几十个骨干网构成,每个骨干网为几千个小网络提供服务,骨干网路由器的功能就是实现企业级网络的互联。骨干网路由器通常采用背板吞吐量在25Gbit以上的中高档路由器作为核心转发设备。
2骨干网路由器攻击方法分析
近些年,针对网络的攻击层出不穷,本文针对骨干网路由器攻击,主要介绍以下几类:
2.1路由欺骗攻击
路由器有个更新过滤的功能,但是一般用户在使用的时候不会开启这项功能。这对攻击者来说就是一个“后门”,他们可以十分轻松地监听到网络中正在使用的路由协议和部分网络拓扑信息。外部攻击者通过伪装成原来的路由器的方式,通过发送虚假的路由更新信息给邻居路由器,进而对更多的路由设备造成欺骗。结果是被欺骗的路由器通过与路由表的比较和筛选,认为攻击者的发送的路由是到达目的IP的最佳路径,进而更新自己的路由条目,使数据包发往攻击者主机,而获得了想要的数据包之后,攻击者就可以对数据进行了窃听和篡改,最终通过源路由技术将数据包发往正常的接收方。路由欺骗的攻击方式导致通信双方无法察觉数据流被截获,具有极大的风险性。路由欺骗主要包括以下几种:
OSPF欺骗。OSPF即开放最短路径优先,是一种十分适合大型网络使用的基于链路状态的路由协议。而OSPF的欺骗攻击的方法是冒充一台合法路由器,通过与网络中的其他路由器建立邻居关系,并通过向攻击的路由器发送大量链路状态更新包的形式导致被攻击的路由器产生形成大量错误的网络拓扑,打乱整个网络的路由表,严重的会导致整个网络瘫痪。
IS-IS欺骗。IS-IS协议,即中间系统之间的协议,也是基于链路状态的路由协议。该协议可以运行在IP网络中,对报文的传递进行选路,同时通过建立邻居关系,收集路由信息建立链路状态数据库。对该协议的欺骗攻击原理与OSPF欺骗攻击类似,都是通过扰乱邻居路由器进而破坏整个网络的逻辑拓扑实现攻击目的。
2.2拒绝服务攻击
拒绝服务,英文缩写为DoS(DenialofService),是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常网络带宽,文件系统空间容量或开放的进程或者允许的连接。拒绝服务主要包括两种类型,即网络带宽攻击和连通性攻击。网络带宽攻击是通过极大的通信量对网络造成冲击,尽可能地消耗所有可用网络资源,最终导致合法的用户请求无法被处理的结果。连通性攻击指向受害机器发送大量的连接请求,尽可能地消耗所有可用操作系统资源,导致受害机器无法再处理合法用户的任何请求的结果。下文主要介绍了针对BGP协议的拒绝服务攻击。
BGP拒绝服务攻击。由于BGP在报文传送过程是通过使用TCP的序列号来工作,所以,如果路由器采用了可预测序列号方案,那么,遭受这种类型的攻击的可能性就会大大提升。TCP在工作中使用了多个标记选项和序列号来重组网络包。如果攻击者通过某些途径获取到Window中的序列号或ISN值,就可以通过注入数据的方式破坏传输信息;如果攻击者没有得到这些值,也可以通过猜测这些值范围内的数据来检测猜测的正确性,直到有一个包被接收来实现。因此,BGP协议的Window值越大,序列号可接收范围越大。TCP会话时间越长,受到攻击的可能性越大。
3结束语
随着网络技术的不断发展,互联网在给人们带来便利的同时,网络安全更是一个不可忽视的问题。作为网络核心骨干网的核心设备,骨干网路由器的安全更需要人们的广泛关注。目前,路由器成为移动安全的难点,有调查数据显示,在日常路由器的使用中,已有1300万台路由器遭遇过DNS篡改,2510万台路由器未修改过出厂设置,1700万台路由器管理账号存在弱密码问题,2500万台路由器Wi-Fi账号存在弱密码问题。我们应尽快研究出更安全更严谨的措施应对,保护网络和信息安全。
参考文献
[1]周华春,蒋旭卉,刘颖等.骨干网路由器控制平面攻击方法的研究[C].全国网络与信息安全技术研讨会,2007.
[2]蒋旭卉.骨干网路由器攻击方法研究与实现[D].北京交通大学,2007.
[3]唐有武.基于漏洞攻击技术的路由器攻击研究与实现[D].电子科技大学,2012.
联系方式
随机阅读
热门排行