网络安全之注意警惕DoS的路由器攻击

　　用Dos来攻击路由器将对整个因特网造成严重影响。因为路由协议会遭到直接攻击，从而在大范围内带来严重的服务器的可用性问题。路由器攻击之所以吸引黑客有几个原因。

　　不同于计算机系统，路由器通常处于企业的基础设施内部。与计算机相比，它们受监视器和安全政策的保护相对薄弱，从而为不法之徒提供了为非作歹的躲藏之处。许多路由器配置不当，厂商提供的默认口令是网络安全与遭受毁坏的主要原因。一旦受到危害，路由器就可以被用作扫描行动、欺骗连接的平台，并作为发动dos攻击的一块跳板。

　　Cahners in-stat集团的高级分析家劳里·维科斯声称，“路由器是通向公司的门户。它成为黑客的目标已经有了一段时间，现在的黑客似乎变得更加老谋深算。他们往往会这样，当发现锁定的目标前门被锁上后，就会改而寻找露台的大门是否敞开。”

　　维科斯坚称，路由器攻击会对网络造成毁灭性的后果。因为路由器常常集成了vpn服务或者防火墙，因而使其成为更吸引黑客的目标。因为，一旦路由器岌岌可危，整个网络便立刻变得十分危险了。

　　另一个问题是卡内基·梅隆大学的计算机紧急响应队(cert)协调中心提到的“利用时间”(time-to-exploit)的缩短。即一旦系统或设备的一个漏洞被发现，在短时间内就打上安全补丁往往来不及。

　　那么如何采取适当的对策来抵御dos呢?传统的安全解决方案对付现在的dos只能是隔靴搔痒。因为防火墙和入侵检测系统(ids)的目的在于检测针对个别网络服务器或主机的攻击，而不是网络基础设施。

　　为了解决这个问题，目前已经有几家公司想出了专门防御dos攻击的方案。arbor networks凭借产品peakflow dos成为这个领域的先驱。peakflow会部署数据收集程序，由此分析通信流量(到达企业路由器或防火墙之前)，并搜寻反常现象。这类信息会转发给控制程序，进而对攻击进行追根溯源的审查。同时，控制程序会把过滤建议发给网络管理人员，从而进行相应部署以避开攻击。他们提供的企业解决方案的起始价为13万美元，arbor另有计划为规模较小的网络以按月收费的方式来提供这种服务。

　　Tripwire的tripwire for routers则采取价ge比较适中的方案，以监视cisco路由器的启动和配置文件。只要该设备的安全状态出现任何变动，它就会通知你。目前只有针对solaris 7或8工作站的版本。适用windows 2000的版本即将推出，其价ge随路由器数量不同而异，有一个评估版软件可供下载。

　　总地来说，具备一些基本常识是首要的，可能也是最佳的防御方法，这可以确保你时刻关注外部接入路由器的每个连接，并且确保改变了默认安全配置，尤其是口令。

　　Dos攻击的这些新动向表明：服务可用性面临的危胁，无论针对网络还是整个因特网都可能会更让人防不胜防。除了你的网络受到影响外，路由器和基础设施缺乏安全审查也会使你无意当中成为攻击dos的帮凶。密切关注事态发展，并肩负起保护网络各方面安全的责任，这样你才能够避免灾难。