路由器基礎精析
流行的路由器大多是以硬件設備的形式存在的,但是在某些情況下也用程序來實現(xiàn)“軟件路由器”,兩者的唯一差別只是執(zhí)行的效率不同而已。路由器一般至少和兩個網(wǎng)絡相聯(lián),并根據(jù)它對所連接網(wǎng)絡的狀態(tài)決定每個數(shù)據(jù)包的傳輸路徑。路由器生成并維護一張稱為“路由信息表”的表格,其中跟蹤記錄相鄰其他路由器的地址和狀態(tài)信息。路由器使用路由信息表并根據(jù)傳輸距離和通訊費用等優(yōu)化算法來決定一個特定的數(shù)據(jù)包的最佳傳輸路徑。正是這種特點決定了路由器的“智能性”,它能夠根據(jù)相鄰網(wǎng)絡的實際運行狀況自動選擇和調(diào)整數(shù)據(jù)包的傳輸情況,盡最大的努力以最優(yōu)的路線和最小的代價將數(shù)據(jù)包傳遞出去。路由器能否安全穩(wěn)定地運行,直接影響著因特網(wǎng)的活動。不管因為什么原因出現(xiàn)路由器死機、拒絕服務或是運行效率急劇下降,其結果都將是災難性的。
黑客攻擊路由器的手段與襲擊網(wǎng)上其它計算機的手法大同小異,因為從嚴格的意義上講路由器本身就是一臺具備特殊使命的電腦,雖然它可能沒有人們通常熟識的PC那樣的外觀。一般來講,黑客針對路由器的攻擊主要分為以下兩種類型:一是通過某種手段或途徑獲取管理權限,直接侵入到系統(tǒng)的內(nèi)部;一是采用遠程攻擊的辦法造成路由器崩潰死機或是運行效率顯著下降。相較而言,前者的難度要大一些。
上面提及的第一種入侵方法中,黑客一般是利用系統(tǒng)用戶的粗心或已知的系統(tǒng)缺陷(例如系統(tǒng)軟件中的“臭蟲”)獲得進入系統(tǒng)的訪問權限,并通過一系列進一步的行動最終獲得超級管理員權限。黑客一般很難一開始就獲得整個系統(tǒng)的控制權,在通常的情況下,這是一個逐漸升級的入侵過程。由于路由器不像一般的系統(tǒng)那樣設有眾多的用戶賬號,而且經(jīng)常使用安全性相對較高的專用軟件系統(tǒng),所以黑客要想獲取路由器系統(tǒng)的管理權相對于入侵一般的主機就要困難得多。因此,現(xiàn)有的針對路由器的黑客攻擊大多數(shù)都可以歸入第二類攻擊手段的范疇。這種攻擊的最終目的并非直接侵入系統(tǒng)內(nèi)部,而是通過向系統(tǒng)發(fā)送攻擊性數(shù)據(jù)包或在一定的時間間隔里,向系統(tǒng)發(fā)送數(shù)量巨大的“垃圾”數(shù)據(jù)包,以此大量耗費路由器的系統(tǒng)資源,使其不能正常工作,甚至徹底崩潰。
路由技術介紹
STUN技術:
即串行隧道(serial tunnel)技術。該技術是將SNA的軟件包從FEP(3745/6)的串口出來送到路由器,經(jīng)路由器打包成IP數(shù)據(jù)包,然后在由路由器構成的網(wǎng)絡中傳輸,至目標路由器后,再經(jīng)該路由器拆包還原成SNA的SDLC數(shù)據(jù)包送到SDLC接口設備。
CIP技術:
CIP即通道接口處理器(Channel Interface Processor)。它被成一個插卡設備,可以方便地安裝在CISCO7000系列的路由器中。CIP通過直接與IBM大機的通道聯(lián)接,為IBM大機提供多協(xié)議網(wǎng)間網(wǎng)的訪問能力。為大機提供TCP/IP、SNA、APPN流量,從而取消了對中間設備(諸如3172互聯(lián)控制器和IBM3745/6 FEP的需求。
DLSw技術:
是一種國際標準技術,可將SNA的軟件包經(jīng)IP方式打包后由IP網(wǎng)傳輸至IP網(wǎng)上的任何一個路由器節(jié)點,再經(jīng)路由器的串口以SDLC方式傳送給SDLC接口設備或經(jīng)以太網(wǎng)接口(或TOKEN RING)接口設備傳送給LLC2鏈路層協(xié)議傳輸SNA數(shù)據(jù)包的SNA節(jié)點(如RS6000)。
MIP的一個E1接口:
可提供30條64Kbps的子通道,通道還可組合成N×64K的更大的子通道,足以滿足相當長時間內(nèi)與地市行連接的帶寬需求。
CiscoWorks:
網(wǎng)管應用是一系列基于SNMP的管理應用軟件,可集成在SunNet Manager、HP OpenView、IBM NetView/AIX、Windows95/NT平臺上,提供的主要功能有:
允許利用鄰近的路由器遠程地安裝新的路由器對Cisco的網(wǎng)際產(chǎn)品提供廣泛的動態(tài)狀態(tài)、統(tǒng)計和配置信息,直觀地以圖形方式顯示Cisco的設備,以及基本的故障排除信息。
審計和記錄配置文件的改變,探測出網(wǎng)絡上非授權配置改變方便網(wǎng)絡中相似路由器的配置記錄某一特定設備的聯(lián)系人的詳細信息查看一個設備的狀態(tài)信息,包括緩沖內(nèi)存,CPU的負載,可用內(nèi)存,正使用的接口和協(xié)議收集網(wǎng)絡的歷史數(shù)據(jù),分析網(wǎng)絡的流量和性能趨勢,并以圖形方式顯示出來建立授權檢查程序以保護CiscoWorks應用和網(wǎng)絡設備不受非授權用戶的訪問尤其需要說明是,Cisco為很好地管理SNA互聯(lián)網(wǎng)絡,專門開發(fā)了用于IBM網(wǎng)絡管理的CiscoWorks Blue網(wǎng)管應用,除支持上述功能外,還增加了路由器中SNA型的MIBs,支持NMVT和LU6.2管理方式,提供SNA管理相關功能,如:
知道網(wǎng)絡中每個SNA資源的狀態(tài),并用來改變SNA資源狀態(tài)幫助檢測與網(wǎng)絡數(shù)據(jù)流的延遲有關的問題,可用來測量從主機到LU的響應時間.
評論