路由器(Router)是因特網上最為重要的設備之一����,正是遍布世界各地的數以萬計的路由器構成了因特網這個在我們的身邊日夜不停地運轉的巨型信息網絡的“橋梁”。因特網的核心通訊機制是一種被稱為“存儲轉發”的數據傳輸模型���。在這種通訊機制下�,所有在網絡上流動的數據都是以數據包(Packet)的形式被發送、傳輸和接收處理的���。接入因特網的任何一臺電腦要與別的機器相互通訊并交換信息就必須擁有一個唯一的網絡“地址”。數據并不是從它的“出發點”直接就被傳送到“目的地”的�����,相反�,數據在傳送之前按照特定的標準劃分成長度一定的片斷——數據包。每一個數據包中都加入了目的計算機的網絡地址����,這就好比套上了一個寫好收件人地址的信封,這樣的數據包在網上傳輸的時候才不會 “迷路”。這些數據包在到達目的地之前必須經過因特網上為數眾多的通信設備或者計算機的層層轉發�、接力傳遞����。古代驛站的運作情形就是這個過程的一個形象比喻�����,在因特網上����,路由器正是扮演著的轉發數據包“驛站”角色���。
流行的路由器大多是以硬件設備的形式存在的���,但是在某些情況下也用程序來實現“軟件路由器”�,兩者的唯一差別只是執行的效率不同而已。路由器一般至少和兩個網絡相聯,并根據它對所連接網絡的狀態決定每個數據包的傳輸路徑��。路由器生成并維護一張稱為“路由信息表”的表格�����,其中跟蹤記錄相鄰其他路由器的地址和狀態信息�����。路由器使用路由信息表并根據傳輸距離和通訊費用等優化算法來決定一個特定的數據包的最佳傳輸路徑。正是這種特點決定了路由器的“智能性”,它能夠根據相鄰網絡的實際運行狀況自動選擇和調整數據包的傳輸情況��,盡最大的努力以最優的路線和最小的代價將數據包傳遞出去�。路由器能否安全穩定地運行���,直接影響著因特網的活動��。不管因為什么原因出現路由器死機����、拒絕服務或是運行效率急劇下降�����,其結果都將是災難性的�����。
黑客攻擊路由器的手段與襲擊網上其它計算機的手法大同小異,因為從嚴格的意義上講路由器本身就是一臺具備非凡使命的電腦��,雖然它可能沒有人們通常熟識的PC那樣的外觀�����。一般來講��,黑客針對路由器的攻擊主要分為以下兩種類型:一是通過某種手段或途徑獲取治理權限,直接侵入到系統的內部��;一是采用遠程攻擊的辦法造成路由器崩潰死機或是運行效率顯著下降����。相較而言�,前者的難度要大一些�。
上面提及的第一種入侵方法中,黑客一般是利用系統用戶的粗心或已知的系統缺陷(例如系統軟件中的“臭蟲”)獲得進入系統的訪問權限��,并通過一系列進一步的行動最終獲得超級治理員權限����。黑客一般很難一開始就獲得整個系統的控制權��,在通常的情況下����,這是一個逐漸升級的入侵過程���。由于路由器不像一般的系統那樣設有眾多的用戶賬號�,而且經常使用安全性相對較高的專用軟件系統,所以黑客要想獲取路由器系統的治理權相對于入侵一般的主機就要困難得多��。因此��,現有的針對路由器的黑客攻擊大多數都可以歸入第二類攻擊手段的范疇��。這種攻擊的最終目的并非直接侵入系統內部,而是通過向系統發送攻擊性數據包或在一定的時間間隔里���,向系統發送數量巨大的“垃圾”數據包,以此大量耗費路由器的系統資源�,使其不能正常工作�,甚至徹底崩潰����。
路由技術介紹
STUN技術:
即串行隧道(serial tunnel)技術。該技術是將SNA的軟件包從FEP(3745/6)的串口出來送到路由器�,經路由器打包成ip數據包�����,然后在由路由器構成的網絡中傳輸,至目標路由器后��,再經該路由器拆包還原成SNA的SDLC數據包送到SDLC接口設備�����。
CIP技術:
CIP即通道接口處理器(Channel Interface PRocessor)。它被成一個插卡設備,可以方便地安裝在CISCO7000系列的路由器中��。CIP通過直接與IBM大機的通道聯接�����,為IBM大機提供多協議網間網的訪問能力��。為大機提供TCP/IP、SNA、APPN流量�,從而取消了對中間設備(諸如3172 互聯控制器和IBM3745/6 FEP的需求���。
DLSw技術:
是一種國際標準技術����,可將SNA的軟件包經IP方式打包后由IP網傳輸至IP網上的任何一個路由器節點���,再經路由器的串口以SDLC方式傳送給SDLC接口設備或經以太網接口(或TOKEN RING)接口設備傳送給LLC2鏈路層協議傳輸SNA數據包的SNA節點(如RS6000)��。
MIP的一個E1接口:
可提供30條64Kbps的子通道����,通道還可組合成N×64K的更大的子通道�����,足以滿足相當長時間內與地市行連接的帶寬需求�。
CiscoWorks:
網管應用是一系列基于SNMP的治理應用軟件�����,可集成在SunNet Manager���、HP OpenView��、IBM NetView/AIX、Windows95/NT平臺上��,提供的主要功能有:答應利用鄰近的路由器遠程地安裝新的路由器對Cisco的網際產品提供廣泛的動態狀態����、統計和配置信息,直觀地以圖形方式顯示Cisco的設備,以及基本的故障排除信息��。
審計和記錄配置文件的改變�����,探測出網絡上非授權配置改變方便網絡中相似路由器的配置記錄某一特定設備的聯系人的具體信息查看一個設備的狀態信息���,包括緩沖內存�,CPU的負載����,可用內存,正使用的接口和協議收集網絡的歷史數據,分析網絡的流量和性能趨勢����,并以圖形方式顯示出來建立授權檢查程序以保護CiscoWorks應用和網絡設備不受非授權用戶的訪問尤其需要說明是��,Cisco為很好地治理SNA互聯網絡,專門開發了用于IBM網絡治理的CiscoWorks Blue網管應用�,除支持上述功能外�����,還增加了路由器中SNA型的MIBs,支持NMVT和LU6.2治理方式����,提供SNA治理相關功能,如:知道網絡中每個SNA資源的狀態����,并用來改變SNA資源狀態幫助檢測與網絡數據流的延遲有關的問題�,可用來測量從主機到LU的響應時間���。
