一 : 物联网再现安全漏洞 这次中招的是网件路由器
如果你在使用网件的路由器,或许想要购买网件的路由,你可能需要多加小心了。最近,一名安全研究员发现,一些备受欢迎的网件路由器存在严重安全漏洞。如果被黑客利用,这些路由器就会变成僵尸网络的一部分。
据 Wired 网站报道,今年 8 月,网名“Acew0rm”的安全研究人员 Andrew Rollins 把这个漏洞通知了网件,但是,公司一直没有做出任何回应。3 个月后,他公开了漏洞。随后,美国国防部下属的计算机应急响应组(设在卡内基梅隆大学)发布了相关的公告。由于这个漏洞极易被利用,计算机应急响应组的建议是,在漏洞被修复之前,用户应该停止使用这些设备。
(图片来自 gizmodo)
目前,网件已经承认 8 款路由器存在安全漏洞(R6250,R6400,R6700,R7000, R7100LG, R7300, R7900, R8000),其中三款属于亚马逊上最受欢迎的路由器。网件也发布了一些安全补丁,但是,这些安全补丁并未经过完全测试,另外,用户需要自己手动安装它们。
针对这个问题,计算机科学研究员 Bas van Schaik 给出了一个暂时性的解决方案。“让我最为惊讶的是,网件数月前就收到了通知,但是并未采取行动,” 他说,“考虑到此漏洞的严重性,我觉得这很令人震惊,而且令人困惑。”
(图片来自 informationtrust)
现在有多少网件路由器被黑客利用了?没有人能说清楚。不过,既然漏洞已经公开,那么,网件路由器的用户肯定要面临风险。这件事再次提醒人们,物联网的安全问题不容忽视。问题在于,当物联网设备被利用后,人们很可能意识不到,而且,即使知道自己的设备存在漏洞,人们也不知道怎么去修补。
“在通知和升级流程方面,一定要简单才好,否则,我们就会遇到这样的问题,” 安全公司 BeyondTrust 的技术副总裁 Morey Haber 说,“现有的许多设备是复杂而且难以升级的,而且人们对它们知之甚少。”
二 : 那些默默坑了大家十年的路由器漏洞大盘点
最近两大话题备受关注,“雾霾、Wi-Fi安全”。直至前阵子那部巨火的纪录片曝光,一些存在几十年的污染源才被人们认识到。惊人相似的是,前些天在央视315晚会曝光无线路由器盗取用户账户密码之后,Wi-Fi安全才逐渐成为热点话题。
Wi-Fi的普及已近十年,这些Wi-Fi漏洞也已存在十年,下面就来细数一下那些默默坑了大家十年的路由器漏洞。
PIN码漏洞:无用的功能,高危的风险
说到WPS,你可能会想到某办公软件,但你应该不知道的是,WPS也是路由器上快速连接功能的缩写。没用过?正常,现在绝大多数人都不会用WPS功能进行连接了。就是这么一个没什么人用的功能却存在着一个巨大的风险:PIN码漏洞。
PIN码是无线上网设备用于快速连接的一段编码,这段码只有8位,由纯数字组成,WPS连接就是通过路由和网卡的PIN码匹配完成的。
那么问题来了,PIN码位数很短,攻破PIN码根本用不着什么高级黑客程序,通过穷举法最多2个小时就能获取一台路由器的PIN码,甚至一个文科女生使用一块市面价格99块的蹭网卡就可以轻松攻破。
早在2012年就被爆出,国内某路由器品牌存在PIN码漏洞,导致大量用户被蹭网。
三年以后问题是否还存在呢?答案是:80%以上的路由器存在。
Wi-Fi加密算法漏洞:十年前就能补救
你有没有试过用12345678或者123123123这样的密码,借邻居家的网来用用?好吧,如果你没借过,也许别人借过你的。数字密码看似很长,但总有规律可循,你肯定不会用自己都记不住的密码,所以,连数、生日、电话号码成为最常用的密码,你记起来方便,黑客破解起来也很方便。
解决这个问题很简单,把密码设置得复杂一点就可以了,字母加数字加特殊字符,最好再区分大小写,这种长密码的破解难度成几何级数增加。当然,能够使用长密码的前提是路由器必须支持WPA/WPA2的强加密机制。
而现实是:并不是所有的家用路由器都支持WPA/WPA2加密。更另人费解的是,许多型号的路由器虽然支持,却从来不提醒用户使用高强度加密方式,就像买了把高级防盗锁没装在门上而是放在衣柜里,有效的防护变成了花瓶。
这个让用户轻松保护隐私的WPA2加密机制诞生于哪一年呢?答案是:2004年。
路由后门漏洞:厂商不能说的秘密
如果说以上两个漏洞都是因产品设计的疏忽造成的,那么后门漏洞则是厂商的主动行为。大家对苹果手机存在后门的事心有余悸,殊不知路由器普遍存在后门?
所谓“后门”其实是厂商在研发、测试、生产过程中通过远程对产品进行修改,而预留在产品里的小尾巴。这样的做法的确带来生产过程中的方便,减少管理成本,却将后门永久性地留在产品里。
只要是通信设备,就一定有可以识别的唯一代码(比如MAC地址),也就意味着用户无论在哪里,只要联网,就一定能被找到,甚至被控制。当然想做到远程控制也绝非易事,控制的前提是必须知道厂商的整套规则,这也就是为什么iPhone手机虽然有后门,但除了苹果之外没人可以利用这个后门。
当然事情换到国内可就另当别论了,广东一代制造企业的人员流动如此频繁,难免少数掌握规则的不良技术人员离职后另谋他途。要知道,贩卖信息的利润可比工厂的工资高出不少。
来看看市面上有多少路由器留有后门呢?答案是:90%。
Wi-Fi密码破解:远不止被蹭网那么简单
刚才讲到这么多的漏洞,也许你会想:顶多也就是上网密码被人知道,被蹭网而已,也没什么大不了?好的,那么问一个问题,你还记不记得你第一次设置路由器上网的情景?或者赶紧问问帮你设置路由器的那位GG当时是怎么设的。
没错,把路由器插上网线,电脑连上Wi-Fi,输入“192.168.X.X”进入路由器的管理界面……嗯,想起什么了没?如果你连上Wi-Fi就能进入路由器的管理界面,那么,任何人只要连上Wi-Fi都能进得去。
还没紧张感?那现在就来科普一下,路由器可是像手机一样,有软件系统的哟!还有,路由器的软件系统是可以升级的哟(传说中的刷机)!还有还有,黑客程序是可以随着软件升级被植入路由的哟!
所以现实的情况就是,被蹭网=路由器可能被他人控制=系统可能被他人更改=可能被植入黑客程序。
还没危机感?去搜下前两天央视315晚会,看看500多名现场观众连接被植入黑客程序的路由器之后发生了什么吧。
被遗忘的路由管理密码
稍有路由器使用经验的人会知道:在Wi-Fi连接上网和进入路由器管理界面之间并非不设防,路由管理密码是存在的。当然,现实中大多数人根本就不会设置这个密码,或者用了三年,还在使用厂家默认的出厂密码,别指望了,不是“guest”就是“admin”,跟没有一样。
朋友会用你的手机,所以你会给手机设个屏保密码,很好,你已经具备了一定的信息安全意识,但还不够!记住,朋友会用你的Wi-Fi,隔壁老王,也可能蹭你的Wi-Fi,现在就进入路由管理界面设置一个管理密码吧。
三 : 十年精华收藏关于路由和路由协议的漏洞
此文章讨论了有关对网络底层协议的攻击和防止攻击的方法,特别是关于路由和路由协议的漏洞,如Routing Information Protocol (RIP,路由信息协议), Border Gateway Protocol (边缘网关协议), Open Shortest Path First (OSPF,开放最短路径优先协议)等。
路由器在每个网络中起到关键的作用,如果一路由器被破坏或者一路由被成功的欺骗,网络的完整性将受到严重的破坏,如果使用路由的主机没有使用加密通信那就更为严重,因为这样的主机被控制的话,将存在着中间人(man-in-the-middle)攻击,拒绝服务攻击,数据丢失,网络整体性破坏,和信息被嗅探等攻击。
路由是一个巨大又复杂的话题,所以本人只是在此提到一部分知识,而且水平的关系,请大家多多指教。
关于一些很普遍的路由器安全问题
多种路由器存在各种众所周知的安全问题,一些网络底层设备提供商如Cisco, Livingston, Bay等的普通安全问题。
上面地址所收集的漏洞大部分无关于路由协议级的攻击,而是一些由于错误配置,IP信息包错误处理,SNMP存在默认的communit name string,薄弱密码或者加密算法不够强壮而造成。上面的一些攻击一般一个标准的NIDS都能够探测出来。这些类型的攻击对网络底层有一定的削弱性并可以组合一些高极别的协议进行攻击。
正确的配置管理可以处理不少普通的漏洞,如你必须处理一些标准的规程:不使用SNMP(或者选择强壮的密码),保持补丁程序是最新的,正确处理访问控制列表,出入过滤,防火墙,加密管理通道和密码,路由过滤和使用MD5认证。当然在采用这些规程之前你必须知道这些安全规则的相关的含义和所影响到的服务。
近来有关的一些低部构造防卫检测系统的开发
近来的在网络防护开发项目中比较不错的是一个IDS叫JiNao. JiNao是由DARPA发起的,并现在成为一个合作研究项目由MCNC和北卡罗莱纳州大学共同开发。JiNao在FreeBSD和Linux上运行的是在线模式(使用divert sockets),在Solaris运行在离线模式,并在3个网络上测试-MCNC,NCSU和由PC(操作系统做路由)和商业路由器组合的AF/Rome 实验室。测试结果显示了可以成功的防止多种类型的网络底层攻击并能很好的高精度的探测这些攻击。
当前,JiNao看起来在研究关于Open Shortest Path First (OSPF,开放最短路径优先)协议,并且最终JiNao会延伸到各种协议。JiNao指出,防卫攻击和入侵探测将会集成在网络管理内容中,所以JINao现在正趋向于网络防火墙,入侵探测系统和网络管理系统组合一体。
还有一个工具可以很好的分析高级的协议,如Agilent Advisor的网络分析工具,它能很好的支持多种路由协议并能定制过滤器来探测各种不正常的行为。
一些工作于路由协议的工具
Linux divert sockets描述到:"Divert socket能够在末端主机也能在路由器上进行IP信息包捕获和注入,信息包的捕获和插入发生在IP层上,捕获的信息包在用户空间转向到套接口中,因此这些信息包将不会达到它们的最终目的地,除非用户空间套接口重插入它们。这样在信息包捕获和重新插入之间可以在系统系统内核之外允许各种不同的操作(如路由和防火墙).".简单的说divert socket就是由user space(用户空间)的程序来处理kernel(内核)中的IP packet(IP信息包),这个divert socket最早应用与FreeBSD系统中,如NAT就是应用了divert socket。这样使开发程序很容易,因为在用户层,而处理IP packet(IP信息包)的效率也比较高,因为是直接处理kernel(内核)中的IP packet(IP信息包)。
Divert socket就象上面说最早实现于FreeBSD中,现在已经移植到Linux中并作为JiNao IDS项目的一部分采用。
另一个叫Nemesis Packet Injection suite,是一个比较强大的网络和安全工具,由Obecian开发.最新的nemesis-1.1发行在2000年6月24号。Nemesis是一个"命令行式的UNIX网络信息包插入套件",并是一个很好的测试防火墙,入侵探测系统,路由器和其他网络环境的工具。它可以被攻击者使用和授权渗透探测者在主机和网络级的网络安全环境检测。其中这个站点还有一个演化的Nemesis叫Intravenous,发行于11/30/00. Intravenous看起来承载了Nemesis所有基本功能,其中不同的是增加了人工智能引擎的内容。
IRPAS,Internetwork Routing Protocol Attack Suite,由FX所写,可以在下面的站点找到http://www.phenoelit.de/irpas/.IRPAS包含了各种可工作于Cisco路由设备的协议层的命令行工具,包括如下这些命令: cdp--可发送Cisco router Discovery Protocol (CDP CISCO路由发现协议)消息;
igrp是能插入Interior Gateway Routing Protocol (IGRP 内部网关路由协议)消息;irdp用来发送ICMP Router Discovery Protocol (ICMP路由发现协议)消息;
irdresponder--可使用精心制作的信息包来响应IRDP请求;
ass--Autonomous System Scanner(自主系统扫描器,现在可下载的版本只支持IGRP),这里解释下Autonomous system,即一般所说的AS,简单的说是一组内部路由器,使用共同协议交流内部网络的信息,更直接的说法就是这些路由器自己自主,交流信息。与之相反的是我们经常知道的外部路由器如一般的电信节点处的路由器。典型的AS使用单一的路由协议在它的边界产生和传播路由信息。ass就类似于TCP端口扫描器一样,只不过其是针对自主系统的。使用ass扫描的话,如果自主系统应答,将返回路由进程中的所有路由信息。IRPAS 的网站也包含一条关于Generic Routing Encapsulation(GRE 一般路由封装) 漏洞的文档,其中这个Generic Routing Encapsulation (GRE 一般路由封装)漏洞允许外部攻击者绕过NAT和破坏一通过VPN的内部RFC1918网络。其中在其他章节还包含了更多的信息和通过irpas的可能攻击策略.
irpas的开发者FX,发送了由ass新版本2.14(还没有发布)扫描的AS样本和igrp怎样利用ass的信息(AS #10和其他数据)来插入一欺骗的路由给222.222.222.0/24。虽然IGRP协议目前不是很多使用,但这个例子却是相当的不错。下面是FX测试的结果:
test# ./ass -mA -i eth0 -D 192.168.1.10 -b15 -v(这里的-i是接口,-D是目的地址,-b15指的是自主系统0-15之间
ASS [Autonomous System Scanner] $Revision: 2.14 $
(c) 2k FX
Phenoelit (http://www.phenoelit.de)
No protocols selected; scanning all
Running scan with:
interface eth0
Autonomous systems 0 to 15
delay is 1
in ACTIVE mode
Building target list ...
192.168.1.10 is alive
Scanning ...
Scanning IGRP on 192.168.1.10
Scanning IRDP on 192.168.1.10
Scanning RIPv1 on 192.168.1.10
shutdown ...
OK,得到以下的结果
>>>>>>>>>>>> Results >>>>>>>>>>>
192.168.1.10
IGRP
#AS 00010 10.0.0.0 (50000,1111111,1476,255,1,0)
IRDP
192.168.1.10 (1800,0)
192.168.9.99 (1800,0)
RIPv1
10.0.0.0 (1)
test# ./igrp -i eth0 -f routes.txt -a 10 -S 192.168.1.254 -D 192.168.1.10
当然这里的routes.txt需要你自己指定:
routes.txt:
# Format
# destination:delay:bandwith:mtu:reliability:load:hopcount
222.222.222.0:500:1:1500:255:1:0
Cisco#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.1.2.0/30 is directly connected, Tunnel0
S 10.0.0.0/8 is directly connected, Tunnel0
C 192.168.9.0/24 is directly connected, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
I 222.222.222.0/24 [100/1600] via 192.168.1.254, 00:00:05, Ethernet0
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
看到没有,到达222.222.222.0/24经由192.168.1.254
Rprobe & srip--这个工具附带在一篇关于RIP欺骗非常不错的指南文档中(由humble写),你可以在下面的地址找到这篇文章http://www.technotronic.com/horizon/ripar.txt.Rprobe工具会从一路由daemon(守护程序)中请求一RIP路由表的拷贝,使用Tcpdump或者其他任何嗅探工具可以用来捕获这些结果。接下来,srip可以用来从任意源IP发送一伪造的RIPv1或者RIPv2消息,Srip可以插入新的路由和使当前的路由无效,当然攻击者/渗透测试者需要知道命令行中使用什么参数。关于这些工具的介绍可参看Hacking Exposed 第二版Network Device节找到示例。
当然还有其他工作与相关路由协议的工具可被攻击者或者渗透测试者使用,如:Routed,gated, zebra, mrt, 和 gasp ,大家可以参看其他的文档。
下面是有关各种协议的浅释和相关漏洞及可以采用的防卫措施
Routing Information Protocol (RIP,路由信息协议)
Routing Information Protocol (RIP,路由信息协议)是基于距离矢量的路由协议,其所有路由基于(hop)跳数来衡量。由Autonomous System (AS,自主系统) 来全面的管理整个由主机,路由器和其他网络设备组成的系统。RIP是作为一种内部网关协议(interior gateway protocol),即在自治系统内部执行路由功能。相反的大家都知道外部网关路由协议(exterior gateway protocol),如边缘网关协议(BGP),在不同的自治系统间进行路由。RIP协议对大型网络来说不是一个好的选择,因为它只支持15跳,RIPv1而且只能通信自身相关的路由信息,反之RIPv2能对其他路由器进行通信。RIP协议能和其他路由协议共同工作,依照Cisco,RIP协议经常用来与OSPF协议相关联,虽然很多文荡指出OSPF需代替RIP. 应该知道经由RIP更新提交的路由可以通过其他路由协议重新分配,这样如果一攻击者能通过RIP来欺骗路由到网络,然后再通过其他协议如OSPF或者不用验证的BGP协议来重新分配路由,这样攻击的范围将可能扩大。
RIP协议相关的漏洞和防范措施
一个测试者或者攻击者可以通过探测520 UDP端口来判断是否使用RIP,你可以使用熟悉的工具如nmap来进行测试,如下所示,这个端口打开了并没有使用任何访问控制联合任意类型的过滤:
[root@test]# nmap -sU -p 520 -v router.ip.address.2
interesting ports on (router.ip.address..2):
Port State Service
520/udp open route
扫描UDP520端口在网站http://www.dshield.org/的"Top 10 Target Ports"上被排列在第7位,你表明有许多人在扫描RIP,这当然和一些路由工具工具的不断增加有一定的关联。
RIPv1 天生就有不安全因素,因为它没有使用认证机制并使用不可靠的UDP协议进行传输。RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串(表示可很容的被嗅探到)或者MD5签字。虽然RIP信息包可以很容易的伪造,但在RIPv2中你使用了MD5签字将会使欺骗的操作难度大大提高。一个类似可以操作的工具就是nemesis项目中的RIP命令--nemesis-rip,但由于这个工具有很多的命令行选项和需要必备的知识,所以nemesis-rip 比较难被script kiddies使用。想使用nemesis-rip成功进行一次有效的RIP欺骗或者类似的工具需要很多和一定程度的相关知识。不过"Hacking Exposed"第二版第10章:Network Devices提到的有些工具组合可以比较容易的进行RIP欺骗攻击攻击,这些工具是使用rprobe来获得远程网络RIP路由表,使用标准的tcpdump或者其他嗅探工具来查看路由表,srip来伪造RIP信息包(v1或者v2),再用fragrouter重定向路由来通过我们控制的主机,并使用类似dsniff的工具来最后收集一些通信中的明文密码。
尽管大家知道欺骗比较容易,但仍然存在一些大的网络提供商仍旧依靠RIP来实现一些路由功能,虽然不知道他们是否采用来安全的措施。RIP显然目前还是在使用,呵呵但希望很少人使用RIPv1,并且使用了采用MD5安全机制的RIPv2,或者已经移植到了使用MD5认证的OSPF来提高安全性。
Border Gateway Protocol (BGP,边界网关协议)
BGP是Exterior Gateway Protocol (EGP,外部网关协议),此协议执行的时候自主系统之间的路由,现在BGP4是最近的流行标准,BGP使用几种消息类型,其中这文章相关的最重要的消息是UPDATE消息类型,这个消息包含了路由表的更新信息,全球INTERNET大部分依靠BGP,因此一些安全问题必须很严肃的对待,L0pht几年就宣称过:他们能在很短的时间内利用路由协议的安全如BGP来搞垮整个Internet.
BGP协议相关的漏洞和防范措施
BGP使用TCP 179端口来进行通信,因此nmap必须探测TCP 179端口来判断BGP的存在。
[root@test]# nmap -sS -p 179 -v router.ip.address.2
Interesting ports on (router.ip.address..2):
Port State Service
179/tcp open bgp
一个开放的BGP端口,更容易被攻击
[root@test]# nmap -sS -n -p 179 router.ip.address.6
Interesting ports on (router.ip.address.6):
Port S
由于BGP使用了TCP的传输方式,它就会使BGP引起不少关于TCP方面的问题,如很普遍的SYN Flood攻击,序列号预测,一般拒绝服务攻击等。BGP没有使用它们自身的序列而依靠TCP的序列号来代替,因此,如果设备采用了可预测序列号方案的话,就存在这种类型的攻击,幸好的是,运行在Internet上大部分重要的路由器使用了Cisco设备,而其是没有使用可预测序列号方案。
部分BGP的实现默认情况下没有使用任何的认证机制,而有些可能存在和RIP同样的问题就是使用了明文密码。这样假如认证方案不够强壮的话,攻击者发送UPDATE信息来修改路由表的远程攻击的机会就会增加许多,导致进一步的破坏扩大。
BGP也可以传播伪造的路由信息,如果攻击者能够从一协议如RIP中修改或者插入路由信息并由BGP重新分配。这个缺陷是存在与信任模块中而不是其协议本身。另外BGP的community 配置也会有某些类型的攻击,原因是community name在某些情况下是作为信任token(标志)可以被获得。至于通过通过BGP的下层协议(TCP)对其攻击看来是比较困难的,因为会话在点对点之间是通过一条单独的物理线路进行通信的,但在一定环境如在两AS系统通过交换机来连接则可能存在TCP插入的攻击,在这样的网络中,攻击者在同一VLAN或者他有能力嗅探switch的通信(如使用dsniff工具通过ARP欺骗来获得),监视TCP序列号,插入修改的信息包或者使用工具如hunt的进行hijack连接而获得成功,但这种类型的攻击一般只能在实验室环境中演示比较容易,而在实际的网络中因为太过复杂而很难成功。
要使BGP更安全,你最好对端口179采用访问列表控制,使用MD5认证,使用安全传输媒体进行安全BGP通信和执行路由过滤以及一些标准的路由安全设置过滤配置。
Open Shortest Path First (OSPF,开放最短路径优先协议)
OSPF是动态连接状态路由协议,其保持整个网络的一个动态的路由表并使用这个表来判断网络间的最短路径,OSPF是内部使用连接状态路由协议,协议通过向同层结点发送连接状态信息(LSA)工作,当路由器接收到这些信息时,它就可以根据SPF算法计算出到每个结点的最短路了。其他相临路由器通过使用OSPF的Hello协议每10秒发送一个问候包给224.0.0.5,然后接收这些路由器发回的信息。一个OSPF的hello信息包头可以通过iptraf来嗅探到,如下所示:
OSPF hlo (a=3479025376 r=192.168.19.35) (64 bytes) from 192.168.253.67 to 224.0.0.5 on eth0
192.168.253.67边界路由器发送一个helo信息包给多播(224.0.0.5)来告诉其他路由器和主机怎样
从192.168.19.35联系区域a(a=3479025376).
一旦路由器接受到Hello信息包,它就开始同步自己的数据库和其他路由一样。
一个LAS头包括以下几个部分: LS age, option, LS type, Link state ID, Advertising Router ID,
LS sequence number, LS checksum, 和 length.
OSPF协议相关的漏洞和防范措施
OSPF使用协议类型89,因此你可以使用nmap协议扫描来判断OSPF,除非网络通过配置访问列表来不响应这些类型的查询。如下所示:
root@test]# nmap -sO -router.ip.address.252
Interesting protocols on (router.ip.address.252):
Protocol State Name
89 open ospfigp
OSPF由于内建几个安全机制所以比起RIP协议安全的多,但是,其中LSA的几个组成部分也可以通过捕获和重新注入OSPF信息包被修改,JiNao小组开发了一个FREEBSD divert socket的LINUX实现并在它们的测试中使用到。
OSPF可以被配置成没有认证机制,或者使用明文密码认证,或者MD5,这样如果攻击者能获得一定程度的访问,如他们可以使用如dsniff等工具来监视OSPF信息包和或者明文密码,这个攻击者可以运行divert socket或者其他可能的各种类型ARP欺骗工具来重定向通信。
JiNao小组发现了有关OSPF的4种拒绝服务的攻击方法,下面是简单的说明:
Max Age attack攻击
LSA的最大age为一小时(3600)
攻击者发送带有最大MaxAge设置的LSA信息包,这样,最开始的路由器通过产生刷新信息来发送这个LSA,而后就引起在age项中的突然改变值的竞争。如果攻击者持续的突然插入最大值到信息包给整个路由器群将会导致网络混乱和导致拒绝服务攻击。
Sequence++ 攻击
即攻击者持续插入比较大的LSA sequence(序列)号信息包,根据OSPF的RFC介绍因为LS sequence number(序列号)栏是被用来判断旧的或者是否同样的LSA,比较大的序列号表示 这个LSA越是新近的。所以到攻击者持续插入比较大的LSA sequence(序列)号信息包时候,最开始的路由器就会产生发送自己更新的LSA序列号来超过攻击者序列号的竞争,这样就导致了网络不稳定并导致拒绝服务攻击。
最大序列号攻击
就是攻击者把最大的序列号0x7FFFFFFF插入。根据OSPF的RFC介绍,当想超过最大序列号的时候,LSA就必须从路由domain(域)中刷新,有InitialSequenceNumber初始化序列号。这样如果攻击者的路由器序列号被插入最大序列号,并即将被初始化,理论上就会马上导致最开始的路由器的竞争。但在实践中,JiNao发现在某些情况下,拥有最大MaxSeq(序列号)的LSA并没有被清除而是在连接状态数据库中保持一小时的时间。
伪造LSA攻击
这个攻击主要是gated守护程序的错误引起的,需要所有gated进程停止并重新启动来清除伪造的不正确的LSA,导致拒绝服务的产生。这个攻击相似对硬件的路由器不影响并且对于新版本的gated也没有效果。
nemesis-ospf能对OSPF协议产生上述攻击,但是,由于nemesis-ospf太多的选项和需要对OSPF有详细深刻的了解,所以一般的攻击者和管理人员难于实现这些攻击。并且也听说nemesis-ospf也不是一直正常正确的工作,就更限制了这个工具的使用价值。
OSPF认证需要KEY的交换,每次路由器必须来回传递这个KEY来认证自己和尝试传递OSPF消息,路由器的HELLO信息包在默认配置下是每10秒在路由器之间传递,这样就给攻击者比较的大机会来窃听这个KEY,如果攻击者能窃听网络并获得这个KEY的话,OSPF信息包就可能被伪造,更严重的会盲目重定向这些被伪造的OSPF信息包。当然这些攻击少之又少,不光光是其难度,重要的是因为还有其他更容易的安全漏洞可以利用,谁不先捏软柿子.
这里建议如果一个主机不要使用动态路由,大多数的主机使用静态路由就能很好的完成起功能。因为使用动态路由协议很会受到攻击,例如,几年以前gated软件就被发现有一个认证的问题。
关于使用IRPAS对CDP和IRDP攻击
IRPAS的cdp程序主要对发送CDP (Cisco router Discovery Protocol)消息给CISCO路由器并对内部网络段产生拒绝服务攻击,发送一些垃圾字符就会导致路由器重新启动或者崩溃。它也能作为欺骗来使用,为其他更危险的程序打开方便的大门,一种可能的攻击场景:如使用cdp来使路由器停止服务,然后使用irdp或者irdresponder工具发送高优先值来通知一新的路由器,这样如果我们的目标路由器不能与被拒绝服务攻击而停止服务的通信,新的路由器的高优先值就会被采用,如果攻击者设置的这个值被成功采用的话,攻击者就能在他们的系统中轻松插入通信路径。
这种类型的攻击也可以应用在某些配置了使用IRDP协议的主机,如WINDOWS98默认情况下配置使用IRDP,WINNT需要手工配置支持IRDP环境,并在启动的时候广播3个ICMP Router Solicitation messages(ICMP路由请求消息)。L0pht有文章详细的描述关于WINDOWS和SUN机器上的采用IRDP而存在漏洞。
四 : BGP路由的优化
你如果拥有多个互联网连接,就会知道仅仅简单使用边界网关协议(Border Gateway Protocol,BGP)很难得到最优的路由路径。在这点上,没有电信网络的7号信令系统精妙(Signaling System 7,SS7)。作为电讯网络的控制面,SS7在一次通话建立之前能够决定出最好的路径。互联网上没有这样的控制面,虽然BGP也能决定路由(这点与SS7 相似),但它不是总能选择最好的路径。BGP在不打断内部或外部用户的情况下让边缘路由器通过一个首选的连接传输业务,如果首选连接失败则通过次选连接提供业务。
当BGP选择一个路由时,如果能考虑到每个ISP连接所能提供路由通路的性能等因素的话,情况肯定会更好。
RouteScience的PathControl是这样一种新产品,它不仅可以衡量通过每个BGP对等体的路由性能,还可以根据这些信息来改变通过BGP的优先路由。//本文来自61阅读www.61k.com
PathControl勇挑重任
PathControl 1.1运行在Linux上,提供独立的功能,一个用于报告,一个用于管理,还有一个给核心引擎,对于每个外部BGP对等体都有一个接口。
PathControl 1.1提供了一个强健的Java程序工具。下一个版本将允许从GUI(图形用户界面)配置PathControl,但在目前的版本中必须通过基于IOS的命令行界面管理设备。
PathControl所能提供的不只是连接性能和它们的相应通路等内部信息,还可以让你通过配置一些变量来控制使用那些连接。
PathControl可被放置于边缘路由器之后的任何位置。对路由器的连接可以通过一个专用端口或一个通道连接建立,无论哪种方式,PathControl都需要对外部世界和边缘路由器进行访问。
测试见性能
将PathControl直接连接到一个Cisco Catalyst 6500交换机上,交换机被配置为接收来自两个Nortel Web交换机(一台180e和一台AD4)的外部BGP输入数据。PathControl被设置与Cisco交换器对等,监视被每个Nortel设备声明的路由。PathControl可以保持在被动状态,监视并报告每个远程对等体的性能;它也可以被置于声明模式,这使它可以在确定了哪一条连接性能更好后,在边缘路由器上改变首选路由。
用户可以配置PathControl更改路由的频度,使用户的边缘路由器不会被压制。最好让PathControl至少在被动模式下持续运行几天,使用报告发生器来观察PathControl声明一个新路由的频度,然后针对具体情况确定最佳的更改频度。
PathControl 用一个TCP握手的往返时间作为其性能度量的基础,经由HTTP向一台客户机发送一幅1x1像素的GIF图像来被动检索衡量性能的数据,还可通过探查用户设置的Web站点来进行主动检索。对于后者,PathControl打开一个到达某站点的TCP连接并测量完成三向TCP握手的时间。
为实现被动测量,设备上的每一个测量接口都被配置一个虚拟IP地址(Virtual IP Address,VIP)。当经由HTTP或HTTPS访问该地址时,返回一个1x1像素的GIF图像。PathControl直接提供这个GIF,测量与一台客户机建立起一个TCP通话的时间。只要将VIP地址嵌入进站点网页的一个HREF,一旦某台客户机发出对该页的请求,测量就开始。此中的关键是对基于策略路由的使用,该路由在边缘路由器上配置,根据源地址连贯地转送通讯数据。这样PathControl会连续测量每条路径的性能,而不必考虑路由表中的其它项。
默认状态下PathControl为执行对数据的计算至少需要6次测量。计算过程赋予每条路径一个等级,该等级将用于确定哪条连接工作得更好。在默认状态下,如果两个或更多的等级被赋的数值差别不超过25点,它们都会被认为“更好”。如果某条连接的等级比另一条高出25点,则它被认为是“最好”的,PathControl会经由内部边界网关协议(interior BGP,iBGP)向与之对等的边缘路由器声明这条路由。
五 : IPv6协议漏洞将威胁核心路由器安全
目前随着互联网应用的不断加深,在全球范围内IPv4地址都呈现出逐渐枯竭的状况,而面向IPv6地址过渡的呼声变得越来越强。不过,对于现在网络设备来说,IPv6准备好了吗?
作为旨在替代传统IPv4协议的IPv6,其在协议制定和演进之时,便考虑设计成能够修补IPv4协议中的安全缺陷,并将原IPv4的安全性选项IPSec(IP安全协议)加入IPv6协议中,以消除现行采用IPv4协议所产生的网络安全问题。
不过实际上,像IPv6这样的新通信协议同样也会出现一些无法预期的设计漏洞,而且当网络系统以及终端设备向IPv6协议过渡时也会衍生出各种各样的新安全弱点。
以长期以来一直被怀疑会引发IPv6安全漏洞的“原子碎片”向量为例,就被网络专家指出,可能会导致大规模核心网络路由器遭受碎片攻击。
针对IPv4,碎片攻击是一个相当普遍的攻击手段,其主要目的为规避防火墙及入侵检测系统的侦测,将易被察觉的恶意数字签名(data signature)分散到数个封包中,造成防火墙及入侵检测系统难以有效侦测出其原封包的意图。
而在IPv6仅有来源端可分割封包,其被分割的封包大小可依来源端到目的端路径所测得的最大MTU来指定,一般正常的IPv6封包为1280字节(bytes),也就是IPv6最小的封包大小,而最后一个传送的封包大小通常会小于1280字节。同时,要处理重叠的碎片为相当困难的一件事,原因在于不同的目地端系统使用不同的方式来重组封包。
对IPv6而言,当主机接收到小于1280字节(最小IPv6 MTU)的报文时,已无法将其分段为若干片段,这时便会发送包含偏移值为0、MF位为0的碎片头信息的IPv6原子碎片。关键的是,这些原子碎片会成为拒绝服务(DoS)的攻击向量,进而威胁到核心路由器的安全运行。
因此,目前来自国际互联网工程任务组(IETF)贡献者之一的Fernando Gont已经正式提交了RFC 8021文件,将IPv6协议中存在的此种情况,归类到“认为有害”列表上,以敦促业界重视该问题。
由于IPv6协议中的此漏洞会存在于采用该协议的任何产品中,这就意味着当前主流核心网络设备供应商,如思科、瞻博网络、爱立信、华为等都必须给予重视并处理,才能避免协议层面漏洞引发原子碎片攻击的风险。
本文标题:路由器优化大师漏洞-物联网再现安全漏洞 这次中招的是网件路由器
61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1