IP網絡路由器設備的安全問題和測試問題是值得我們關心的，它面臨哪些安全威脅呢。威脅網絡安全的主要攻擊手段又是那些呢？帶著這些疑問，我們來看看吧。

IP網絡路由器設備安全與設備測試

一、IP網絡路由器設備引言

當今的時代是網絡的時代，20世紀末出現的IP網絡，以前所未有的發展速度創造了人類科技史上的奇跡，并大有取代已經存在了100多年的電路交換網的趨勢。但從電信網的角度來說，IP網絡還存在著諸如安全、服務質量、運營模式等問題。

其中，IP網絡的安全問題是其中非常重要的一個方面，由于IP網絡的開放性，又使得它的安全問題變得十分復雜。本文著重分析IP網絡中所面臨的安全威脅，并討論路由器設備安全功能的測試。

二、IP網絡路由器設備所面臨的安全威脅

IP網絡的最大優勢是它的開放性，并最大限度地支持終端的智能，這使得IP網絡中存在著各種各樣豐富多彩的業務與應用。但與此同時，IP網絡的開放性與終端的智能化也使得IP網絡面臨著前所未有的安全威脅。

IP網絡的安全威脅有兩個方面，一是主機(包括用戶主機和應用服務器等)的安全，二是網絡自身(主要是網絡設備，包括路由器、交換機等)的安全。用戶主機所感知的安全威脅主要是針對特定操作系統(主要是Windows系統)的攻擊，即所謂病毒。網絡設備主要面對的是基于TCP/IP協議的攻擊。本文主要討論網絡自身，即網絡設備(主要是路由器)自身的安全問題。

路由器設備從功能上可以劃分為數據平面、控制/信令平面和管理平面，也可以從協議系統的角度按TCP/IP協議的層次進行劃分。圖l所示為路由器的系統框架。路由器設備在系統框架中的每個層次上都有可能受到攻擊。

                                                                                                                           圖1　路由器的系統框架

(1)對數據平面來說，其功能是負責處理進入設備的數據流，它有可能受到基于流量的攻擊，如大流量攻擊、畸形報文攻擊。這些攻擊的主要目的是占用設備CPU的處理時間，造成正常的數據流量無法得到處理，使設備的可用性降低。由于數據平面負責用戶數據的轉發，因此也會受到針對用戶數據的攻擊，主要是對用戶數據的惡意竊取、修改、刪除等，使用戶數據的機密性和完整性受到破壞。

(2)對路由器來說，控制/信令平面的主要功能是進行路由信息的交換。這一平面受到的主要威脅來自對路由信息的竊取，對IP地址的偽造等，這會造成網絡路由信息的泄漏或濫用。

(3)對系統管理平面來說，威脅來自于兩個方面，一個是系統管理所使用的協議(如Telnet協議、HTTP協議等)的漏洞，另一個是不嚴密的管理，如設備管理賬號的泄露等。

三、IP網絡路由器設備威脅網絡安全的主要攻擊手段

數據平面受到的主要攻擊是拒絕服務(DoS，Deny of Service)攻擊，拒絕服務攻擊針對不同的協議會有很多種形式。

◆LAND攻擊。LAND攻擊是利用某些系統TCP協議實現中的漏洞，制造TCPSYN報文，這些報文的源IP地址和TCP端口號與目的IP地址和TCP端口號相同，這樣系統就會向自身發起一個TCP連接，造成了系統資源的無謂消耗。

◆SYNF1ood攻擊。SYNF1ood攻擊是利用TCP協議三次握手的機制，由攻擊主機向被攻擊設備發送大量的SYN請求報文，這些報文的源地址是一個不可達的主機地址，被攻擊設備發送SYNACK報文后，就開始等待大量根本不可能到達的ACK報文，造成了系統資源的大量占用。

◆Smurf攻擊。Smurf攻擊是利用ICMP協議的一種DoS攻擊手段。該攻擊是將ICMP Echo Request(Ping)報文的源地址偽造成被攻擊設備的地址，目的地址為網絡中的廣播地址，這樣大量的ICMP響應報文將造成被攻擊設備以及所在網絡的負載大大增加。如果攻擊中使用的是UDP的應答請求消息則演變為Fraggle攻擊。

◆PingF1ood攻擊。PingF1ood攻擊是從一條高帶寬的連接向一條低帶寬的連接連續發送大量的Ping報文，被攻擊設備將對每一個Ping報文進行回應，造成了網絡可用帶寬的降低。

◆Teardrop攻擊。Teardrop攻擊是利用IP報文的分片/重組機制，發送偽造的分片IP報文，而將IP報文頭部中指示分片標記的Offset字段設為重復的值，使得被攻擊設備在處理這些分片報文時造成系統的掛起甚至宕機。

◆Ping of Death攻擊。Ping of Death攻擊通過發送一個包長超過65535的Ping報文，使被攻擊設備的內存分配產生錯誤，從而導致設備的癱瘓。