路由器網(wǎng)絡(luò)攻擊分析與防范措施研究

李進(jìn)

摘 ?要：網(wǎng)絡(luò)時(shí)代為地方社會(huì)經(jīng)濟(jì)的發(fā)展帶來更多的力量，網(wǎng)絡(luò)通信也成為當(dāng)前生活、生產(chǎn)領(lǐng)域中使用最為廣泛的工具，給人們帶來了大量的信息支持。與此同時(shí)，網(wǎng)絡(luò)通信技術(shù)安全問題常常發(fā)生，如何提升網(wǎng)絡(luò)安全，是社會(huì)各界關(guān)注的重點(diǎn)問題。文章基于此，針對(duì)路由器網(wǎng)絡(luò)攻擊技術(shù)進(jìn)行了分析，探討路由器網(wǎng)絡(luò)攻擊的防范措施。

關(guān)鍵詞：路由器;網(wǎng)絡(luò)攻擊;防范措施;技術(shù)

在互聯(lián)網(wǎng)+時(shí)代中，網(wǎng)絡(luò)成為了人們生活、生產(chǎn)必不可少的重要組成，在各類購(gòu)物中心、咖啡館、快餐店等公共場(chǎng)所，都會(huì)為顧客提供免費(fèi)WIFI，此類WIFI一般沒有密碼，安全保障非常弱，很容易受到攻擊者的攻擊，利用路由器網(wǎng)絡(luò)攻擊，可以阻斷通信、收集用戶數(shù)據(jù)、窺探用戶資料。在無線網(wǎng)絡(luò)的普及下，網(wǎng)絡(luò)安全態(tài)勢(shì)變得日趨復(fù)雜，網(wǎng)絡(luò)安全問題也受到了高度重視，在2017年，國(guó)家正式頒布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，這一法律的頒布為個(gè)人信息的保障提供了一定的支持，針對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、網(wǎng)絡(luò)詐騙也提出了明確要求。在這一背景下，研究路由器網(wǎng)絡(luò)攻擊的相關(guān)問題，具有重要的理論與現(xiàn)實(shí)意義。

1 路由器網(wǎng)絡(luò)攻擊技術(shù)分析

出于利益、愛好等各種原因，網(wǎng)絡(luò)入侵自進(jìn)入公眾視野以來就從沒有停歇過，網(wǎng)絡(luò)互聯(lián)使人們可以輕松訪問網(wǎng)絡(luò)中的各種資源，但與此同時(shí)，也同樣為攻擊帶來了便利條件?；ヂ?lián)網(wǎng)攻擊技術(shù)五花八門，滲透測(cè)試種類繁多，為了防御各種攻擊，需要對(duì)其進(jìn)行正確分類，了解攻擊原理，從路由器網(wǎng)絡(luò)攻擊的技術(shù)手段來看，主要有幾種類型：

掃描與嗅探

路由器網(wǎng)絡(luò)攻擊的首要步驟是收集信息，在計(jì)算機(jī)系統(tǒng)中，有多種服務(wù)和應(yīng)用類型，開放了多個(gè)端口，各個(gè)端口都有對(duì)應(yīng)服務(wù)，在探測(cè)到端口后，即可確定系統(tǒng)環(huán)境和具體服務(wù)。按照實(shí)現(xiàn)方式的差異，掃描器有基于響應(yīng)的掃描器、基于端口的掃描器、基于協(xié)議的掃描器，先借助掃描器確定存活主機(jī)，再開展全端口掃描。掃描與嗅探可以確定IP地址、運(yùn)行服務(wù)，如果可以進(jìn)一步獲取到其他信息，就為后續(xù)的攻擊提供了有效條件。

弱口令攻擊

密碼在路由器中有廣泛應(yīng)用，是獲得權(quán)限、驗(yàn)證身份的憑證，可為路由器的安全運(yùn)行提供保障，如果密碼的安全性不夠，就會(huì)給路由器帶來各種風(fēng)險(xiǎn)。如果密碼口令的強(qiáng)度較高，攻擊者往往需要花費(fèi)高昂的代價(jià)才能獲取，在日常生活、生產(chǎn)領(lǐng)域，管理員的安全意識(shí)普遍較弱，對(duì)口令管理的重視度不夠，會(huì)使用簡(jiǎn)單、低強(qiáng)度的口令，這無疑給攻擊者帶來可乘之機(jī)。

拒絕服務(wù)攻擊

在路由器攻擊中，拒絕服務(wù)攻擊也是常見類型，攻擊者在破壞主機(jī)服務(wù)后，讓用戶無法使用網(wǎng)絡(luò)資源，盡管這是一種古老的攻擊手段，但是造成的影響非常大。從產(chǎn)生的后果來看，拒絕服務(wù)攻擊有三類：①消耗資源（硬盤空間、帶寬、CPU資源等）;②破壞客戶端與服務(wù)器網(wǎng)絡(luò)通信;③破壞路由選擇、配置信息、DNS或者其他信息。

漏洞攻擊

相較于上述幾種攻擊方式，漏洞攻擊可以產(chǎn)生更為持久、深遠(yuǎn)的影響，者是研究路由器安全的重點(diǎn)內(nèi)容。漏洞攻擊是攻擊者利用軟件、系統(tǒng)漏洞來實(shí)施的惡意攻擊行為，無論是操作系統(tǒng)，還是商用軟件，都存在各類漏洞，在網(wǎng)絡(luò)中，并沒有絕對(duì)安全的對(duì)象，或多或少有缺陷，不過是有的缺陷已經(jīng)暴露，有的還未暴露，近年來，針對(duì)網(wǎng)絡(luò)路由的漏洞攻擊也時(shí)?？梢?。

2 路由器網(wǎng)絡(luò)攻擊的防范措施

2.1 把好路由器的選擇關(guān)

在路由器內(nèi)部配置時(shí)，運(yùn)營(yíng)商可以通過提前對(duì)硬件層面進(jìn)行限制，繼而對(duì)其中有代表性的類型數(shù)據(jù)包接收數(shù)量進(jìn)行限制。這樣做的弊端是配置硬件限速有很大可能性使正常報(bào)文受到誤傷，這主要是由于當(dāng)配置硬件限速后，硬件難以識(shí)別出攻擊報(bào)文與正常用戶報(bào)文。如今，一些路由器廠商為了讓路由器能夠及時(shí)、安全、完整的應(yīng)用，在其中增設(shè)了安全模塊，引入了防火墻、內(nèi)容過濾、防病毒等技術(shù)。比之普通路由器，具備安全模塊的路由器顯著提高了路由器的安全性，利用認(rèn)證技術(shù)、加密技術(shù)提高了路由器的使用安全性。而大品牌的路由器廠商也會(huì)針對(duì)新漏洞、新病毒的出現(xiàn)了推出安全補(bǔ)丁，定期升級(jí)，這對(duì)于保證路由器的運(yùn)行安全具有重要意義。為了確保網(wǎng)絡(luò)安全，在路由器的選擇上，要選擇大品牌、大廠商的路由器，確保其質(zhì)量、服務(wù)、功能都能滿足要求。

2.2 加強(qiáng)口令的加密保護(hù)

針對(duì)路由器的訪問，需要在操作中設(shè)置認(rèn)證機(jī)制，針對(duì)路由器口令選擇，不能采用簡(jiǎn)單的數(shù)字、英文單詞，而是要盡可能選擇長(zhǎng)度較長(zhǎng)，數(shù)字、字母等搭配的復(fù)雜密碼，存儲(chǔ)不可逆加密功能，為路由器的運(yùn)行提供穩(wěn)定環(huán)境。并對(duì)口令進(jìn)行加密處理，這樣，可以有效避免配置路由器時(shí)的口令泄露，加密的口令內(nèi)容需涵蓋特權(quán)命令口令、認(rèn)證密鑰口令、用戶名口令、控制臺(tái)與虛擬終端線路訪問口令。

2.3 防止拒絕服務(wù)攻擊

拒絕服務(wù)攻擊會(huì)占用大量的設(shè)備資源，致使設(shè)備無法正常為用戶提供服務(wù)，為了解決上述問題，可采用相應(yīng)措施來杜絕路由器攻擊。在路由器中的虛擬終端端口上，是有限的，如果各個(gè)端口都被占用，就難以建立連接，為攻擊提供了目標(biāo)，入侵者可利用這一漏洞來發(fā)起攻擊。為了避免這一攻擊的產(chǎn)生，可在虛擬終端端口上設(shè)置access-class命令，對(duì)管理工作站做出限定，在采用該種方式后，至少有一個(gè)端口可訪問，在路由器受到攻擊后，即可發(fā)起操作。并配備exec-timeout命令，避免空閑用戶占用端口。目前，Smurf這一新型拒絕服務(wù)攻擊類型越來越常見，是應(yīng)用偽造源地址來發(fā)起攻擊，導(dǎo)致設(shè)備癱瘓，為此，需要將廣播包轉(zhuǎn)發(fā)設(shè)置關(guān)閉，按照要求設(shè)置no ip directed-broadcast命令。在部分情況下，隨著數(shù)據(jù)的增加，會(huì)中斷處理接口，對(duì)此，可借助scheduler interval命令讓路由器可以在指定間隔中中斷，優(yōu)化路由器的性能。

2.4 強(qiáng)化安全管理

在路由器配置完成后，還需要對(duì)路由器進(jìn)行嚴(yán)格監(jiān)管，避免攻擊者利用各類手段來篡改路由器配置。管理員要定期備份數(shù)據(jù)，將其上傳至指定地點(diǎn)，這樣，即便路由器在后期遭到攻擊，或者配置發(fā)生問題，也可及時(shí)恢復(fù)出廠設(shè)施。另外，為了提高管理質(zhì)量，需要應(yīng)用安全加密口令來建立遠(yuǎn)程連接，為路由器提供安全大門，將入侵者拒之門外，解決各類因素對(duì)路由器安全性能造成的影響，從而提升路由器的工作效率。

2.5 配置黑洞路由

黑洞路由就是將路由器功能調(diào)整為被保護(hù)狀態(tài)，在路由器遭到外部攻擊后，可進(jìn)行主動(dòng)防御。目前，路由器的攻擊多是來自于外部，通過攻擊流入內(nèi)部，鑒于此，只要轉(zhuǎn)移攻擊者目標(biāo)地址，就能夠避免核心層受到攻擊者的影響，從而保護(hù)設(shè)備、用戶的信息安全。配置路由黑洞有著較強(qiáng)的被動(dòng)性，如果攻擊地址發(fā)生變化，就需要按照實(shí)際情況來重新調(diào)整目標(biāo)地址。

3 結(jié)語

在網(wǎng)絡(luò)技術(shù)的發(fā)展下，路由器的應(yīng)用領(lǐng)域也更加廣泛，路由器處在可信任網(wǎng)絡(luò)、不可信任網(wǎng)絡(luò)之間，是數(shù)據(jù)交換的必經(jīng)之路，在整個(gè)互聯(lián)網(wǎng)中，路由器具有重要地位，是網(wǎng)絡(luò)的核心內(nèi)容。目前，路由器的安全形勢(shì)非常嚴(yán)峻，技術(shù)人員要針對(duì)路由器安全問題進(jìn)行深入研究，明確不同攻擊類型的特點(diǎn)，根據(jù)攻擊類型來提前設(shè)置安全防范措施，提升其安全性能，構(gòu)建其和諧、安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]邱楊，黃麗萍.針對(duì)運(yùn)營(yíng)商路由器網(wǎng)絡(luò)攻擊分析與防范措施研究[J].通訊世界，2015，（23）.67-67.

[2]姜海波.針對(duì)路由器的攻擊與防范[J].軟件，2013，（11）.122-124.

[3劉宇帆.路由器技術(shù)及其發(fā)展探尋[J].科學(xué)技術(shù)創(chuàng)新.2018，（17）.79-80.

[4]李麗.路由器在網(wǎng)絡(luò)中的應(yīng)用研究[J].科學(xué)技術(shù)創(chuàng)新.2018，（17）.71-72.