关于路由和路由协议的漏洞(1)

此文章讨论了有关对网络底层协议的攻击和防止攻击的方法，特别是关于路由和路由协议的漏洞，如Routing Information Protocol (RIP，路由信息协议), Border Gateway Protocol (边缘网关协议), Open Shortest Path First (OSPF，开放最短路径优先协议)等。
ENT: 2em">路由器在每个网络中起到关键的作用，如果一路由器被破坏或者一路由被成功的欺骗，网络的完整性将受到严重的破坏，如果使用路由的主机没有使用加密通信那就更为严重，因为这样的主机被控制的话，将存在着中间人(man-in-the-middle)攻击，拒绝服务攻击，数据丢失，网络整体性破坏，和信息被嗅探等攻击。
路由是一个巨大又复杂的话题，所以本人只是在此提到一部分知识，而且水平的关系，请大家多多指教。
关于一些很普遍的路由器安全问题

多种路由器存在各种众所周知的安全问题，一些网络底层设备提供商如Cisco, Livingston, Bay等的普通安全问题。

上面地址所收集的漏洞大部分无关于路由协议级的攻击，而是一些由于错误配置,IP信息包错误处理，SNMP存在默认的communit name string,薄弱密码或者加密算法不够强壮而造成。上面的一些攻击一般一个标准的NIDS都能够探测出来。这些类型的攻击对网络底层有一定的削弱性并可以组合一些高极别的协议进行攻击。

正确的配置管理可以处理不少普通的漏洞，如你必须处理一些标准的规程:不使用SNMP(或者选择强壮的密码)，保持补丁程序是最新的，正确处理访问控制列表，出入过滤，防火墙,加密管理通道和密码，路由过滤和使用MD5认证。当然在采用这些规程之前你必须知道这些安全规则的相关的含义和所影响到的服务。

近来有关的一些低部构造防卫检测系统的开发

近来的在网络防护开发项目中比较不错的是一个IDS叫JiNao. JiNao是由DARPA发起的，并现在成为一个合作研究项目由MCNC和北卡罗莱纳州大学共同开发。JiNao在FreeBSD和Linux上运行的是在线模式(使用divert sockets)，在Solaris运行在离线模式，并在3个网络上测试-MCNC，NCSU和由PC（操作系统做路由）和商业路由器组合的AF/Rome 实验室。测试结果显示了可以成功的防止多种类型的网络底层攻击并能很好的高精度的探测这些攻击。

当前，JiNao看起来在研究关于Open Shortest Path First (OSPF，开放最短路径优先)协议，并且最终JiNao会延伸到各种协议。JiNao指出，防卫攻击和入侵探测将会集成在网络管理内容中，所以JINao现在正趋向于网络防火墙，入侵探测系统和网络管理系统组合一体。

还有一个工具可以很好的分析高级的协议，如Agilent Advisor的网络分析工具，它能很好的支持多种路由协议并能定制过滤器来探测各种不正常的行为。

一些工作于路由协议的工具
Linux divert sockets描述到:\"Divert socket能够在末端主机也能在路由器上进行IP信息包捕获和注入，信息包的捕获和插入发生在IP层上，捕获的信息包在用户空间转向到套接口中，因此这些信息包将不会达到它们的最终目的地，除非用户空间套接口重插入它们。这样在信息包捕获和重新插入之间可以在系统系统内核之外允许各种不同的操作(如路由和防火墙).\".简单的说divert socket就是由user space(用户空间)的程序来处理kernel(内核)中的IP packet(IP信息包)，这个divert socket最早应用与FreeBSD系统中，如NAT就是应用了divert socket。这样使开发程序很容易，因为在用户层，而处理IP packet(IP信息包)的效率也比较高，因为是直接处理kernel(内核)中的IP packet(IP信息包)。

Divert socket就象上面说最早实现于FreeBSD中，现在已经移植到Linux中并作为JiNao IDS项目的一部分采用。

另一个叫Nemesis Packet Injection suite，是一个比较强大的网络和安全工具，由Obecian开发.最新的nemesis-1.1发行在2000年6月24号。Nemesis是一个\"命令行式的UNIX网络信息包插入套件\"，并是一个很好的测试防火墙，入侵探测系统，路由器和其他网络环境的工具。它可以被攻击者使用和授权渗透探测者在主机和网络级的网络安全环境检测。其中这个站点还有一个演化的Nemesis叫Intravenous,发行于11/30/00. Intravenous看起来承载了Nemesis所有基本功能，其中不同的是增加了人工智能引擎的内容。