控制著如此多的網(wǎng)絡(luò)流量的路由器已經(jīng)證明遠(yuǎn)程入侵者想進(jìn)行破壞不是件容易的事情，這聽起來似乎有些違反常理。德國(guó)一家安全實(shí)驗(yàn)室的研究所在Black Hat安全會(huì)議上聲稱雖然路由的開發(fā)利用是較高的目標(biāo)，但是已經(jīng)涌現(xiàn)出大規(guī)模的先進(jìn)開發(fā)。

之所以是較高目標(biāo)，部分原因是受到路由器本身屬性以及廣泛部署的路由操作系統(tǒng)(思科 IOS)兩方面的限制。

路由器不會(huì)向攻擊者暴露許多功能。路由協(xié)議在內(nèi)部運(yùn)行。此外網(wǎng)絡(luò)設(shè)備中的弊端通常是作為功能問題被修復(fù)的，因?yàn)樗鼈円蟾叨鹊目捎眯浴?/P>

當(dāng)前將側(cè)重點(diǎn)放在客戶端的缺陷上的策略也保護(hù)了路由器，因?yàn)樗鼈兒苌贂?huì)以客戶端方式運(yùn)行。

思科IOS身上某些明顯的缺陷也為攻擊增加了難度。

思科不能從軟件中出現(xiàn)的任何錯(cuò)誤恢復(fù)過來。對(duì)于錯(cuò)誤的唯一選擇是死機(jī)，而這樣它就不能再為攻擊者所用。

而對(duì)于任意版本的IOS也不存在一個(gè)標(biāo)準(zhǔn)圖像。每個(gè)圖像都是建立在草圖基礎(chǔ)上，因此具體布局不僅受到版本的影響，還取決于編譯的人員。就互操作性而言，這可能會(huì)導(dǎo)致一些問題，因?yàn)榛ゲ僮餍蕴岢O(shè)備的整體升級(jí)，盡管如此，它卻為攻擊帶來了諸多不便。攻擊者要想找到一個(gè)合適的地址來攻擊都不是一件容易的事情。

所以，大多數(shù)路由開發(fā)都涉及配置事宜以及內(nèi)部攻擊。但是，這種情況可能會(huì)隨著研究的深入而改變。其他IOS圖像的分析師能夠識(shí)別式樣，從而可以很容易地找到目標(biāo)地址。但是想保持路由運(yùn)行并執(zhí)行開發(fā)可不是一件簡(jiǎn)單的事情。

好與壞，取決于你看事物的觀點(diǎn)，對(duì)于一些新的服務(wù)，如VoIP，都是如此。VoIP可以在路由上生成更多客戶型攻擊面。

對(duì)路由器最好的保護(hù)是將網(wǎng)絡(luò)設(shè)備中，或者是單獨(dú)架構(gòu)中的類似服務(wù)保持關(guān)閉狀態(tài)，而且要確保只有管理者才有權(quán)操作路由器。

【編輯推薦】

1. 路由器原理和路由協(xié)議、算法詳解
2. 確保持續(xù)網(wǎng)絡(luò)路由