路由技术,路由器与网络安全
作者:
路由器(Router)是因特网上最为重要的设备之一,正是遍布世界各地的数以万计的路由器构成了因特网这个在我们的身边日夜不停地运转的巨型信息网络的“桥梁”。因特网的核心通讯机制是一种被称为“存储转发”的数据传输模型。在这种通讯机制下,所有在网络上流动的数据都是以数据包(Packet)的形式被发送、传输和接收处理的。接入因特网的任何一台电脑要与别的机器相互通讯并交换信息就必须拥有一个唯一的网络“地址”。数据并不是从它的“出发点”直接就被传送到“目的地”的,相反,数据在传送之前按照特定的标准划分成长度一定的片断——数据包。每一个数据包中都加入了目的计算机的网络地址,这就好比套上了一个写好收件人地址的信封,这样的数据包在网上传输的时候才不会 “迷路”。这些数据包在到达目的地之前必须经过因特网上为数众多的通信设备或者计算机的层层转发、接力传递。古代驿站的运作情形就是这个过程的一个形象比喻,在因特网上,路由器正是扮演着的转发数据包“驿站”角色。
流行的路由器大多是以硬件设备的形式存在的,但是在某些情况下也用程序来实现“软件路由器”,两者的唯一差别只是执行的效率不同而已。路由器一般至少和两个网络相联,并根据它对所连接网络的状态决定每个数据包的传输路径。路由器生成并维护一张称为“路由信息表”的表格,其中跟踪记录相邻其他路由器的地址和状态信息。路由器使用路由信息表并根据传输距离和通讯费用等优化算法来决定一个特定的数据包的最佳传输路径。正是这种特点决定了路由器的“智能性”,它能够根据相邻网络的实际运行状况自动选择和调整数据包的传输情况,尽最大的努力以最优的路线和最小的代价将数据包传递出去。路由器能否安全稳定地运行,直接影响着因特网的活动。不管因为什么原因出现路由器死机、拒绝服务或是运行效率急剧下降,其结果都将是灾难性的。
黑客攻击路由器的手段与袭击网上其它计算机的手法大同小异,因为从严格的意义上讲路由器本身就是一台具备特殊使命的电脑,虽然它可能没有人们通常熟识的PC那样的外观。一般来讲,黑客针对路由器的攻击主要分为以下两种类型:一是通过某种手段或途径获取管理权限,直接侵入到系统的内部;一是采用远程攻击的办法造成路由器崩溃死机或是运行效率显著下降。相较而言,前者的难度要大一些。
上面提及的第一种入侵方法中,黑客一般是利用系统用户的粗心或已知的系统缺陷(例如系统软件中的“臭虫”)获得进入系统的访问权限,并通过一系列进一步的行动最终获得超级管理员权限。黑客一般很难一开始就获得整个系统的控制权,在通常的情况下,这是一个逐渐升级的入侵过程。由于路由器不像一般的系统那样设有众多的用户账号,而且经常使用安全性相对较高的专用软件系统,所以黑客要想获取路由器系统的管理权相对于入侵一般的主机就要困难得多。因此,现有的针对路由器的黑客攻击大多数都可以归入第二类攻击手段的范畴。这种攻击的最终目的并非直接侵入系统内部,而是通过向系统发送攻击性数据包或在一定的时间间隔里,向系统发送数量巨大的“垃圾”数据包,以此大量耗费路由器的系统资源,使其不能正常工作,甚至彻底崩溃。
路由技术介绍
STUN技术:
即串行隧道(serial tunnel)技术。该技术是将SNA的软件包从FEP(3745/6)的串口出来送到路由器,经路由器打包成IP数据包,然后在由路由器构成的网络中传输,至目标路由器后,再经该路由器拆包还原成SNA的SDLC数据包送到SDLC接口设备。
CIP技术:
CIP即通道接口处理器(Channel Interface Processor)。它被成一个插卡设备,可以方便地安装在CISCO7000系列的路由器中。CIP通过直接与IBM大机的通道联接,为IBM大机提供多协议网间网的访问能力。为大机提供TCP/IP、SNA、APPN流量,从而取消了对中间设备(诸如3172 互联控制器和IBM3745/6 FEP的需求。
DLSw技术:
是一种国际标准技术,可将SNA的软件包经IP方式打包后由IP网传输至IP网上的任何一个路由器节点,再经路由器的串口以SDLC方式传送给SDLC接口设备或经以太网接口(或TOKEN RING)接口设备传送给LLC2链路层协议传输SNA数据包的SNA节点(如RS6000)。
MIP的一个E1接口:
可提供30条64Kbps的子通道,通道还可组合成N×64K的更大的子通道,足以满足相当长时间内与地市行连接的带宽需求。
CiscoWorks:
网管应用是一系列基于SNMP的管理应用软件,可集成在SunNet Manager、HP OpenView、IBM NetView/AIX、Windows95/NT平台上,提供的主要功能有:允许利用邻近的路由器远程地安装新的路由器对Cisco的网际产品提供广泛的动态状态、统计和配置信息,直观地以图形方式显示Cisco的设备,以及基本的故障排除信息。
审计和记录配置文件的改变,探测出网络上非授权配置改变方便网络中相似路由器的配置记录某一特定设备的联系人的详细信息查看一个设备的状态信息,包括缓冲内存,CPU的负载,可用内存,正使用的接口和协议收集网络的历史数据,分析网络的流量和性能趋势,并以图形方式显示出来建立授权检查程序以保护CiscoWorks应用和网络设备不受非授权用户的访问尤其需要说明是,Cisco为很好地管理SNA互联网络,专门开发了用于IBM网络管理的CiscoWorks Blue网管应用,除支持上述功能外,还增加了路由器中SNA型的MIBs,支持NMVT和LU6.2管理方式,提供SNA管理相关功能,如:知道网络中每个SNA资源的状态,并用来改变SNA资源状态帮助检测与网络数据流的延迟有关的问题,可用来测量从主机到LU的响应时间。