路由器網絡攻擊分析與防范措施研究

李進

摘 ?要：網絡時代為地方社會經濟的發展帶來更多的力量，網絡通信也成為當前生活、生產領域中使用最為廣泛的工具，給人們帶來了大量的信息支持。與此同時，網絡通信技術安全問題常常發生，如何提升網絡安全，是社會各界關注的重點問題。文章基于此，針對路由器網絡攻擊技術進行了分析，探討路由器網絡攻擊的防范措施。

關鍵詞：路由器;網絡攻擊;防范措施;技術

在互聯網+時代中，網絡成為了人們生活、生產必不可少的重要組成，在各類購物中心、咖啡館、快餐店等公共場所，都會為顧客提供免費WIFI，此類WIFI一般沒有密碼，安全保障非常弱，很容易受到攻擊者的攻擊，利用路由器網絡攻擊，可以阻斷通信、收集用戶數據、窺探用戶資料。在無線網絡的普及下，網絡安全態勢變得日趨復雜，網絡安全問題也受到了高度重視，在2017年，國家正式頒布了《中華人民共和國網絡安全法》，這一法律的頒布為個人信息的保障提供了一定的支持，針對網絡安全監測預警、網絡詐騙也提出了明確要求。在這一背景下，研究路由器網絡攻擊的相關問題，具有重要的理論與現實意義。

1 路由器網絡攻擊技術分析

出于利益、愛好等各種原因，網絡入侵自進入公眾視野以來就從沒有停歇過，網絡互聯使人們可以輕松訪問網絡中的各種資源，但與此同時，也同樣為攻擊帶來了便利條件。互聯網攻擊技術五花八門，滲透測試種類繁多，為了防御各種攻擊，需要對其進行正確分類，了解攻擊原理，從路由器網絡攻擊的技術手段來看，主要有幾種類型：

掃描與嗅探

路由器網絡攻擊的首要步驟是收集信息，在計算機系統中，有多種服務和應用類型，開放了多個端口，各個端口都有對應服務，在探測到端口后，即可確定系統環境和具體服務。按照實現方式的差異，掃描器有基于響應的掃描器、基于端口的掃描器、基于協議的掃描器，先借助掃描器確定存活主機，再開展全端口掃描。掃描與嗅探可以確定IP地址、運行服務，如果可以進一步獲取到其他信息，就為后續的攻擊提供了有效條件。

弱口令攻擊

密碼在路由器中有廣泛應用，是獲得權限、驗證身份的憑證，可為路由器的安全運行提供保障，如果密碼的安全性不夠，就會給路由器帶來各種風險。如果密碼口令的強度較高，攻擊者往往需要花費高昂的代價才能獲取，在日常生活、生產領域，管理員的安全意識普遍較弱，對口令管理的重視度不夠，會使用簡單、低強度的口令，這無疑給攻擊者帶來可乘之機。

拒絕服務攻擊

在路由器攻擊中，拒絕服務攻擊也是常見類型，攻擊者在破壞主機服務后，讓用戶無法使用網絡資源，盡管這是一種古老的攻擊手段，但是造成的影響非常大。從產生的后果來看，拒絕服務攻擊有三類：①消耗資源（硬盤空間、帶寬、CPU資源等）;②破壞客戶端與服務器網絡通信;③破壞路由選擇、配置信息、DNS或者其他信息。

漏洞攻擊

相較于上述幾種攻擊方式，漏洞攻擊可以產生更為持久、深遠的影響，者是研究路由器安全的重點內容。漏洞攻擊是攻擊者利用軟件、系統漏洞來實施的惡意攻擊行為，無論是操作系統，還是商用軟件，都存在各類漏洞，在網絡中，并沒有絕對安全的對象，或多或少有缺陷，不過是有的缺陷已經暴露，有的還未暴露，近年來，針對網絡路由的漏洞攻擊也時常可見。

2 路由器網絡攻擊的防范措施

2.1 把好路由器的選擇關

在路由器內部配置時，運營商可以通過提前對硬件層面進行限制，繼而對其中有代表性的類型數據包接收數量進行限制。這樣做的弊端是配置硬件限速有很大可能性使正常報文受到誤傷，這主要是由于當配置硬件限速后，硬件難以識別出攻擊報文與正常用戶報文。如今，一些路由器廠商為了讓路由器能夠及時、安全、完整的應用，在其中增設了安全模塊，引入了防火墻、內容過濾、防病毒等技術。比之普通路由器，具備安全模塊的路由器顯著提高了路由器的安全性，利用認證技術、加密技術提高了路由器的使用安全性。而大品牌的路由器廠商也會針對新漏洞、新病毒的出現了推出安全補丁，定期升級，這對于保證路由器的運行安全具有重要意義。為了確保網絡安全，在路由器的選擇上，要選擇大品牌、大廠商的路由器，確保其質量、服務、功能都能滿足要求。

2.2 加強口令的加密保護

針對路由器的訪問，需要在操作中設置認證機制，針對路由器口令選擇，不能采用簡單的數字、英文單詞，而是要盡可能選擇長度較長，數字、字母等搭配的復雜密碼，存儲不可逆加密功能，為路由器的運行提供穩定環境。并對口令進行加密處理，這樣，可以有效避免配置路由器時的口令泄露，加密的口令內容需涵蓋特權命令口令、認證密鑰口令、用戶名口令、控制臺與虛擬終端線路訪問口令。

2.3 防止拒絕服務攻擊

拒絕服務攻擊會占用大量的設備資源，致使設備無法正常為用戶提供服務，為了解決上述問題，可采用相應措施來杜絕路由器攻擊。在路由器中的虛擬終端端口上，是有限的，如果各個端口都被占用，就難以建立連接，為攻擊提供了目標，入侵者可利用這一漏洞來發起攻擊。為了避免這一攻擊的產生，可在虛擬終端端口上設置access-class命令，對管理工作站做出限定，在采用該種方式后，至少有一個端口可訪問，在路由器受到攻擊后，即可發起操作。并配備exec-timeout命令，避免空閑用戶占用端口。目前，Smurf這一新型拒絕服務攻擊類型越來越常見，是應用偽造源地址來發起攻擊，導致設備癱瘓，為此，需要將廣播包轉發設置關閉，按照要求設置no ip directed-broadcast命令。在部分情況下，隨著數據的增加，會中斷處理接口，對此，可借助scheduler interval命令讓路由器可以在指定間隔中中斷，優化路由器的性能。

2.4 強化安全管理

在路由器配置完成后，還需要對路由器進行嚴格監管，避免攻擊者利用各類手段來篡改路由器配置。管理員要定期備份數據，將其上傳至指定地點，這樣，即便路由器在后期遭到攻擊，或者配置發生問題，也可及時恢復出廠設施。另外，為了提高管理質量，需要應用安全加密口令來建立遠程連接，為路由器提供安全大門，將入侵者拒之門外，解決各類因素對路由器安全性能造成的影響，從而提升路由器的工作效率。

2.5 配置黑洞路由

黑洞路由就是將路由器功能調整為被保護狀態，在路由器遭到外部攻擊后，可進行主動防御。目前，路由器的攻擊多是來自于外部，通過攻擊流入內部，鑒于此，只要轉移攻擊者目標地址，就能夠避免核心層受到攻擊者的影響，從而保護設備、用戶的信息安全。配置路由黑洞有著較強的被動性，如果攻擊地址發生變化，就需要按照實際情況來重新調整目標地址。

3 結語

在網絡技術的發展下，路由器的應用領域也更加廣泛，路由器處在可信任網絡、不可信任網絡之間，是數據交換的必經之路，在整個互聯網中，路由器具有重要地位，是網絡的核心內容。目前，路由器的安全形勢非常嚴峻，技術人員要針對路由器安全問題進行深入研究，明確不同攻擊類型的特點，根據攻擊類型來提前設置安全防范措施，提升其安全性能，構建其和諧、安全的網絡環境。

參考文獻：

[1]邱楊，黃麗萍.針對運營商路由器網絡攻擊分析與防范措施研究[J].通訊世界，2015，（23）.67-67.

[2]姜海波.針對路由器的攻擊與防范[J].軟件，2013，（11）.122-124.

[3劉宇帆.路由器技術及其發展探尋[J].科學技術創新.2018，（17）.79-80.

[4]李麗.路由器在網絡中的應用研究[J].科學技術創新.2018，（17）.71-72.