平時,我們看到的路由器入侵事件不多,因此在很多人的印象中,路由(Routing)只是選擇通過互聯(lián)網(wǎng)絡(luò)從源節(jié)點向目的節(jié)點傳輸信息的通道。其實,路由器的安全隱患很多,由于一般黑客接觸得不太頻繁,被攻擊的事件很少發(fā)生。但是如果路由器被攻擊,后果將不堪設(shè)想。
路由安全,不可忽視
路由器是內(nèi)部網(wǎng)絡(luò)與外界的一個通信出口。它在一個網(wǎng)絡(luò)中充當著平衡帶寬和轉(zhuǎn)換IP地址的作用,實現(xiàn)少量外部IP地址數(shù)量讓內(nèi)部多臺電腦同時訪問外網(wǎng)。一旦黑客攻陷路由器,那么就掌握了控制內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的權(quán)力。而且如果路由器被黑客使用拒絕服務(wù)攻擊,將造成內(nèi)部網(wǎng)絡(luò)不能訪問外網(wǎng),甚至造成網(wǎng)絡(luò)癱瘓。
一般來說,路由器的配置方式有:用主控Console口接終端配置;在AUX口接Modem同電話網(wǎng)相連,在遠端配置;在TCP/IP網(wǎng)上可通過仿真終端(virtual termianl)telnet配置;可以從TFTP Server上下載配置;另外,還可以用網(wǎng)管工作站進行配置。路由器攻擊造成的最大威脅是網(wǎng)絡(luò)無法使用,而且這類攻擊需要動用大量靠近骨干網(wǎng)絡(luò)的服務(wù)器。其實,路由器有一個操作系統(tǒng),也是一個軟件,相對其他操作系統(tǒng)的技術(shù)性來說,差距是非常明顯的。由于功能單一,不考慮兼容性和易用性等,核心固化,一般管理員不允許遠程登錄,加上了解路由器的人少得很,所以它的安全問題不太明顯。有時候偶爾出現(xiàn)死機狀態(tài),管理員一般使用reboot命令后,也就沒什么問題了。
也正因為這樣,致使很多路由器的管理員對這個不怎么關(guān)心,只要網(wǎng)絡(luò)暢通就可以了,因為路由器通常都是廠家負責(zé)維護的。甚至有些廠家總愛附帶一句說:“如果忘記了口令,請和經(jīng)銷商聯(lián)系。”事實上,連Unix都有很多漏洞,何況路由器脆弱的操作系統(tǒng)?當然路由器一般是無法滲入的。因為,你無法遠程登錄,一般管理員都不會開的。但是讓路由器拒絕服務(wù)的漏洞很多。而且,很多管理員有個毛病,他們往往對Windows的操作系統(tǒng)補丁打得比較勤,但是對路由器的操作系統(tǒng)的補丁,很多管理員都懶得去理。
“萬能密碼”攻擊路由
早在學(xué)校的時候,小張就對路由器的設(shè)置很感興趣,管理機房的導(dǎo)師也是這方面的行家,據(jù)說學(xué)校機房的一臺路由器的操作系統(tǒng)就被他給反編譯分析了。根據(jù)導(dǎo)師的說法,路由器的操作系統(tǒng)比起Linux來要簡單得多,而且那個型號的路由器存在著像計算機BIOS一樣的口令,有了這個口令,很多事情就方便多了,這就是為什么有些路由器公司的手冊上有那句話:“如果忘記了口令,請和經(jīng)銷商聯(lián)系。”看來,這種情形放到其他軟件公司開發(fā)的產(chǎn)品上也不過分。根據(jù)小張的猜想,每個路由器都有一個萬能密碼,如果真這樣,那后果就不堪設(shè)想了。
畢業(yè)后參加工作,小張來到了一家網(wǎng)絡(luò)公司。通過對公司的網(wǎng)絡(luò)設(shè)置觀察,小張發(fā)現(xiàn),由于一般機器都有防火墻,包過濾通常安裝在路由器上,并且大多數(shù)路由器都提供了包過濾的功能。現(xiàn)在小張想做的,就是實踐導(dǎo)師所說的那個“萬能密碼”,而且很巧的是,單位里用的路由器也是導(dǎo)師反編譯過的那個型號,但是想獲得連接路由器的控制權(quán)力還是要費點事的。小張選擇了對路由器管理接口的入侵,通過獲取路由器的登錄口令到設(shè)備內(nèi)部,然后看看設(shè)備的配置,只要不影響到網(wǎng)絡(luò)的正常運行就可以了。通過觀察,小張發(fā)現(xiàn)有臺備份數(shù)據(jù)庫的計算機和交換機是一個網(wǎng)段的,按道理說,應(yīng)該是通的。經(jīng)過一個小小的遠程測試,果然如此。看來,就要用這個備份數(shù)據(jù)庫來“偷窺”密碼了。
找了個理由,小張非常輕松地進入了備份數(shù)據(jù)庫,打開FTP端口,然后輕松地安裝了一個代理服務(wù)器。現(xiàn)在該做點其他的事情了,小張回到自己的機器上,測試了一下Proxy+這個軟件。到http://www.skycn.net下載后,然后一路“Next”在本機安裝完畢,啟動軟件后界面如圖1所示。
圖 1
根據(jù)軟件的英文提示,打開本機地址的4400端口,看了看簡單的代理設(shè)置。如圖2所示。
圖 2
測試完畢,小張神不知鬼不覺地把這個代理軟件傳到了備份服務(wù)器上,安裝以后,打開客戶端IE瀏覽器的“工具”菜單下的“Internet選項”,然后打開“連接”選項卡下的“局域網(wǎng)設(shè)置”,選擇“使用代理服務(wù)器”,下面要做的當然就是填寫安裝proxy+的備份數(shù)據(jù)庫的IP了,端口號是4480,如圖3所示。
圖 3
這樣就可以在無人可知的情況下放心上網(wǎng)查看路由器的“萬能密碼”了。小張現(xiàn)在要做的,就是在備份數(shù)據(jù)庫服務(wù)器上安裝個軟件路由器。然后在總路由表中加一條規(guī)則,把公司網(wǎng)管計算機的數(shù)據(jù)全部轉(zhuǎn)發(fā)到備份數(shù)據(jù)庫服務(wù)器的軟件路由器上,然后通過備份數(shù)據(jù)庫服務(wù)器的路由器再轉(zhuǎn)向那個總路由器。做完這些以后,小張在備份數(shù)據(jù)庫服務(wù)器的路由器上安裝了一個包過濾軟件。這樣,網(wǎng)管對外的數(shù)據(jù)包都會被記錄下來,至于數(shù)據(jù)加密的強度,網(wǎng)管覺得telnet是個很不錯的登陸方式,方便而且自我感覺安全性不錯,實際上,telnet傳遞的數(shù)據(jù)是不加密的。小張心里琢磨著,如果采用個什么DES加密,那這么多活說不定都白干了。
路由攻擊有理可依
傳統(tǒng)的包過濾功能在路由器上常可看到,而專門的防火墻系統(tǒng)一般在此之上加了功能的擴展,如狀態(tài)檢測等。由于包過濾是一種保安機制,它通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過。網(wǎng)絡(luò)中的應(yīng)用雖然很多,但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn),這種做法主要是因為網(wǎng)絡(luò)要為多個系統(tǒng)提供共享服務(wù)。例如,文件傳輸時,必須將文件分割為小的數(shù)據(jù)包,每個數(shù)據(jù)包單獨傳輸。每個數(shù)據(jù)包中除了包含所要傳輸?shù)膬?nèi)容,還包括源地址、目標地址。數(shù)據(jù)包是通過互聯(lián)網(wǎng)絡(luò)中的路由器,從源網(wǎng)絡(luò)到達目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處,然后路由器查詢自身的路由表,若有去往目的的路由,則將該包發(fā)送到下一個路由器或直接發(fā)往下一個網(wǎng)段;否則,將該包丟掉。結(jié)構(gòu)如圖4所示。
圖 4
在局域網(wǎng)和Internet之間放置過濾器后,就可以保證局域網(wǎng)與Internet所有的通信數(shù)據(jù)都要經(jīng)過過濾器。于是,小張觀察到網(wǎng)管在reboot路由器的時候,就開動了包過濾軟件。果然,周一網(wǎng)管進行例行檢測的時候,IP數(shù)據(jù)包就源源不斷地傳過來了。在觀察的時候,小張立刻以最快的速度下載下記錄文件,并恢復(fù)了出口路由器上的設(shè)置,然后刪除掉在備份數(shù)據(jù)庫服務(wù)器上安裝的所有東西并斷掉連接。開始在自己的機器上分析攔截下來的數(shù)據(jù)包。根據(jù)以前telnet的數(shù)據(jù)包試驗分析,所以不費吹灰之力,密碼的位置在雜亂的數(shù)據(jù)包中很快就被試驗出來了。
路由防御有道可尋
后來,小張榮升為網(wǎng)管,針對路由器的安全情況,就進行了如下的修改:合理配置路由器等網(wǎng)絡(luò)設(shè)備,可以避免多數(shù)的對路由協(xié)議和遠程配置端口的攻擊;用專用的身份鑒別產(chǎn)品增強路由器等設(shè)備的登錄安全性;使用雙因素身份鑒別產(chǎn)品,這類產(chǎn)品采用一次性口令技術(shù),并且在登錄過程中要求相應(yīng)的認證硬件參與,可以有效消除口令泄密的危險。同時可以通過收回或撤消令牌的辦法明確地收回離職管理員的權(quán)限。同時,他還準備采用比較可行的手段預(yù)防DDOS攻擊,包括:
首先,在各主要入口和關(guān)鍵節(jié)點安裝能夠防范Flooding攻擊的防火墻,這樣可以在攻擊時,將攻擊的效果封閉在相對較小的區(qū)域內(nèi),而不會波及全網(wǎng),并能夠在一定程度上確定攻擊來源。這種方法的弊端也是十分明顯的,一是代價很高,需要配置比較多的高性能防火墻。另一方面,帶寬資源是ISP的主要競爭資源,任何降低帶寬的技術(shù)都是不利的,而位于骨干節(jié)點的防火墻無疑會直接影響ISP所擁有的有效帶寬。當然,為了防止自己的小技巧被別人識破,小張制定了規(guī)則來避免虛假的TCP/IP地址,這樣攻擊者就不能用欺騙的方法偽裝成來自局域網(wǎng)的消息。如果攻擊者假裝是內(nèi)部的機器,用過濾器就能夠有效阻止攻擊者的攻擊了。
其次,在骨干節(jié)點安裝網(wǎng)絡(luò)檢測設(shè)備,當發(fā)現(xiàn)這類攻擊時可以通過臨時在各路由節(jié)點封鎖對攻擊目標的數(shù)據(jù)包,從而保護網(wǎng)絡(luò)帶寬和被攻擊的服務(wù)器。這種方式由于不在骨干線路上增加過濾設(shè)備,不會影響網(wǎng)絡(luò)帶寬,因而比前面的方案更加合理。代價是,這種方案需要為網(wǎng)絡(luò)檢測系統(tǒng)配備足夠的計算能力,以應(yīng)付骨干網(wǎng)絡(luò)上的巨大的數(shù)據(jù)流量。同時,攻擊發(fā)生時需要具備比較強的處理能力,并預(yù)先攻擊發(fā)生時的處理規(guī)則。
從上面這些分析看,路由器的安全不容忽視,由此到整個網(wǎng)絡(luò)看,安全的隱患也不是某個設(shè)備的問題,整體的安全協(xié)調(diào)才是最重要的。知己知彼,才能百戰(zhàn)百勝。
攻防小便箋
利用智能ABC來關(guān)閉程序
智能ABC是一款非常流行的拼音輸入法,在所有的Windows系統(tǒng)中進行了默認的安裝,這樣就可以方便大家按照我們介紹的技巧來進行操作了。在智能ABC輸入法的狀態(tài)下依次輸入V、↑(向上的方向鍵)、Delete、空格,接著就會連同你輸入的介質(zhì)程序一起崩潰。比如你在WPS中輸入,就會連WPS和輸入法一起崩潰退出。雖然在平時我們覺得它沒有什么用處,但在某些地方,比如說網(wǎng)吧,就可以使用該方法來對付網(wǎng)吧的計費程序或管理程序。該方法可以對付一切的網(wǎng)吧計費程序。目前對于該漏洞的避免只有刪除智能ABC輸入法,使用紫光等其他的中文輸入法來代替。
防范Office文件夾帶惡意程序
通過Office文件夾帶惡意程序是最近才流行起來的一種傳播方法,該方法的隱蔽性很強,一般不會引起用戶的注意。黑客通過在Office文件的尾部加入惡意程序,然后利用VBA來編寫一段宏代碼,只要用戶運行這個Office文件,宏就會自動將文件尾部的可執(zhí)行文件讀出并保存,然后運行它。
其實要成功地利用該方法進行惡意程序的種植,還需要滿足一個條件,那就是HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Stationery中的“Level”值必須為1或者2才行。因為當“Level”的鍵值為3時就表示安全度高,這時Word將拒絕執(zhí)行任何的宏;只要我們將“Level”的鍵值設(shè)為3就可以起到防范的作用。
