一、引言

    當今的時代是網(wǎng)絡的時代，20世紀末出現(xiàn)的IP網(wǎng)絡，以前所未有的發(fā)展速度創(chuàng)造了人類科技史上的奇跡，并大有取代已經(jīng)存在了100多年的電路交換網(wǎng)的趨勢。但從電信網(wǎng)的角度來說，IP網(wǎng)絡還存在著諸如安全、服務質量、運營模式等問題。

    其中，IP網(wǎng)絡的安全問題是其中非常重要的一個方面，由于IP網(wǎng)絡的開放性，又使得它的安全問題變得十分復雜。本文著重分析IP網(wǎng)絡中所面臨的安全威脅，并討論路由器設備安全功能的測試。

    二、IP網(wǎng)絡所面臨的安全威脅

    IP網(wǎng)絡的最大優(yōu)勢是它的開放性，并最大限度地支持終端的智能，這使得IP網(wǎng)絡中存在著各種各樣豐富多彩的業(yè)務與應用。但與此同時，IP網(wǎng)絡的開放性與終端的智能化也使得IP網(wǎng)絡面臨著前所未有的安全威脅。

    IP網(wǎng)絡的安全威脅有兩個方面，一是主機（包括用戶主機和應用服務器等）的安全，二是網(wǎng)絡自身（主要是網(wǎng)絡設備，包括路由器、交換機等）的安全。用戶主機所感知的安全威脅主要是針對特定操作系統(tǒng)（主要是Windows系統(tǒng)）的攻擊，即所謂病毒。網(wǎng)絡設備主要面對的是基于TCP/IP協(xié)議的攻擊。本文主要討論網(wǎng)絡自身，即網(wǎng)絡設備（主要是路由器）自身的安全問題。

    路由器設備從功能上可以劃分為數(shù)據(jù)平面、控制/信令平面和管理平面，也可以從協(xié)議系統(tǒng)的角度按TCP/IP協(xié)議的層次進行劃分。圖l所示為路由器的系統(tǒng)框架。路由器設備在系統(tǒng)框架中的每個層次上都有可能受到攻擊。

圖1　路由器的系統(tǒng)框架

    （1）對數(shù)據(jù)平面來說，其功能是負責處理進入設備的數(shù)據(jù)流，它有可能受到基于流量的攻擊，如大流量攻擊、畸形報文攻擊。這些攻擊的主要目的是占用設備CPU的處理時間，造成正常的數(shù)據(jù)流量無法得到處理，使設備的可用性降低。由于數(shù)據(jù)平面負責用戶數(shù)據(jù)的轉發(fā)，因此也會受到針對用戶數(shù)據(jù)的攻擊，主要是對用戶數(shù)據(jù)的惡意竊取、修改、刪除等，使用戶數(shù)據(jù)的機密性和完整性受到破壞。

    （2）對路由器來說，控制/信令平面的主要功能是進行路由信息的交換。這一平面受到的主要威脅來自對路由信息的竊取，對IP地址的偽造等，這會造成網(wǎng)絡路由信息的泄漏或濫用。

    （3）對系統(tǒng)管理平面來說，威脅來自于兩個方面，一個是系統(tǒng)管理所使用的協(xié)議（如Telnet協(xié)議、HTTP協(xié)議等）的漏洞，另一個是不嚴密的管理，如設備管理賬號的泄露等。

    三、威脅網(wǎng)絡安全的主要攻擊手段

    1.數(shù)據(jù)平面

    數(shù)據(jù)平面受到的主要攻擊是拒絕服務（DoS，Deny of Service）攻擊，拒絕服務攻擊針對不同的協(xié)議會有很多種形式。

    （1）LAND攻擊。LAND攻擊是利用某些系統(tǒng)TCP協(xié)議實現(xiàn)中的漏洞，制造TCPSYN報文，這些報文的源IP地址和TCP端口號與目的IP地址和TCP端口號相同，這樣系統(tǒng)就會向自身發(fā)起一個TCP連接，造成了系統(tǒng)資源的無謂消耗。

    （2）SYNF1ood攻擊。SYNF1ood攻擊是利用TCP協(xié)議三次握手的機制，由攻擊主機向被攻擊設備發(fā)送大量的SYN請求報文，這些報文的源地址是一個不可達的主機地址，被攻擊設備發(fā)送SYNACK報文后，就開始等待大量根本不可能到達的ACK報文，造成了系統(tǒng)資源的大量占用。

    （3）Smurf攻擊。Smurf攻擊是利用ICMP協(xié)議的一種DoS攻擊手段。該攻擊是將ICMP Echo Request（Ping）報文的源地址偽造成被攻擊設備的地址，目的地址為網(wǎng)絡中的廣播地址，這樣大量的ICMP響應報文將造成被攻擊設備以及所在網(wǎng)絡的負載大大增加。如果攻擊中使用的是UDP的應答請求消息則演變?yōu)镕raggle攻擊。

    （4）PingF1ood攻擊。PingF1ood攻擊是從一條高帶寬的連接向一條低帶寬的連接連續(xù)發(fā)送大量的Ping報文，被攻擊設備將對每一個Ping報文進行回應，造成了網(wǎng)絡可用帶寬的降低。

    （5）Teardrop攻擊。Teardrop攻擊是利用IP報文的分片/重組機制，發(fā)送偽造的分片IP報文，而將IP報文頭部中指示分片標記的Offset字段設為重復的值，使得被攻擊設備在處理這些分片報文時造成系統(tǒng)的掛起甚至宕機。

    （6）Ping of Death攻擊。Ping of Death攻擊通過發(fā)送一個包長超過65535的Ping報文，使被攻擊設備的內存分配產生錯誤，從而導致設備的癱瘓。

    除了DoS攻擊，網(wǎng)絡設備還會面對網(wǎng)絡中大量的各種各樣的畸形報文和錯誤報文，這些報文將耗費網(wǎng)絡設備大量的處理能力，Ping of Death攻擊也可以看作是畸形報文的一種形式。

    同時，網(wǎng)絡上的用戶數(shù)據(jù)也有可能受到惡意監(jiān)聽或截取，目前比較有效的防范方式是使用IPSec協(xié)議進行用戶數(shù)據(jù)的加密。

    2.控制/信令平面

    對控制/信令平面的攻擊主要是通過使用非法的或未授權的路由設備與網(wǎng)絡中的合法設備建立路由鄰接關系，獲取網(wǎng)絡中的路由信息。通過路由協(xié)議的加密認證可以有效阻止這種攻擊。目前，主要使用的RIPv2，OSPF，IS-IS都支持對協(xié)議報文的明文認證和MD5加密認證，BGP，LDP等協(xié)議則依靠TCP的MD5加密認證來保證協(xié)議報文的安全性。

    3.管理平面

    目前，對設備的遠程管理主要采用Telnet，Web等方式，而Telnet，HTTP協(xié)議本身都沒有提供安全功能，用戶數(shù)據(jù)、用戶賬號和口令等都是明文傳送，很容易被監(jiān)聽竊取，也很容易受到中間人（Man In the Middle）攻擊。

    解決網(wǎng)絡設備遠程管理問題主要依靠SSH和SSL協(xié)議。SSH（Secure Shell）是目前比較可靠的為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。SSL（Secure Socket Layer）協(xié)議可以在使用Web方式進行遠程管理時對瀏覽器和Web服務器之間的通信進行加密。

    四、網(wǎng)絡安全與設備測試

    目前的路由器測試主要針對的是設備的功能、協(xié)議、性能等基本能力，隨著對IP網(wǎng)絡中安全要求的不斷提高，路由器本身也需要支持各種各樣的安全能力，因此在測試中需要加強對路由器安全能力的測試。對路由器能力的測試同樣也可以從數(shù)據(jù)平面、控制/信令平面和管理平面三個層次來考慮。

    1.數(shù)據(jù)平面的安全測試

    （1）抗DoS攻擊能力的測試。主要是利用儀表模擬攻擊流量，驗證被測設備對攻擊流量的處理。被測設備應該對異常流量采取丟棄策略，并生成告警日志。

    （2）ACL功能測試。驗證設備可以提供豐富的ACL功能來對非法流量進行過濾。

    （3）防止IP地址欺騙測試。主要是URPF（單播逆向路徑轉發(fā)，Unicast Reverse Path Forwarding）功能的測試。被測設備應具備URPF功能，即設備可以檢查數(shù)據(jù)包的源地址，在FIB表中查找該源地址是否與數(shù)據(jù)包的來源接口相匹配，如果沒有匹配表項將丟棄該數(shù)據(jù)包。

    （4）IPSec協(xié)議測試。驗證設備是否支持IPSec協(xié)議來保證用戶數(shù)據(jù)的機密性。

    （5）對協(xié)議的控制測試。被測設備應該能夠關閉一些可能造成攻擊的協(xié)議端口或過濾某些可能對網(wǎng)絡造成安全隱患的協(xié)議報文，如關閉UDP的回應請求端口、過濾源路由數(shù)據(jù)包等。

    2.控制/信令平面的安全測試

    （1）OSPF協(xié)議安全測試。包括鄰居路由器之間的明文/MD5認證、OSPF區(qū)域內使用明文/MD5認證。

    （2）IS-IS協(xié)議安全測試。包括接口間Level-1明文/MD5認證、接口Level-2明文/MD5認證、IS-IS區(qū)域內明文/MD5認證和IS-IS路由域上的明文/MD5認證。

    （3）BGP協(xié)議的MD5認證。

    （4）RIPv2協(xié)議的認證。

    3.管理平面的安全測試

    （1）SSH協(xié)議支持能力的測試。
 
    （2）SSL協(xié)議支持能力的測試。

    （3）安全審計功能的測試。包括提供安全告警日志以及用戶操作日志等的能力。

    除安全功能及協(xié)議的測試外，路由器的安全測試還應包括性能測試，開啟安全功能后對路由器的正常轉發(fā)能力不應產生嚴重影響。

    五、結束語

    目前的IP網(wǎng)絡仍然面臨著許多安全問題，新的攻擊手段和技術層出不窮，在這種形勢下，迫切需要網(wǎng)絡設備，尤其是路由器設備支持完善的安全功能。除了對安全技術的不斷研究，對路由器等網(wǎng)絡設備進行嚴格的安全測試。強制網(wǎng)絡設備支持應有的安全功能也是提高IP網(wǎng)絡安全性的一個重要方面。目前，《高端路由器的安全技術要求》、《中低端路由器的安全技術要求》、《高端路由器的安全測試規(guī)范》、《中低端路由器的安全測試規(guī)范》等標準文稿都已經(jīng)在制訂之中，這些標準的制訂必將使路由器設備的測試更加完善，同時也會有助于網(wǎng)絡安全水平的提高。