路由器基礎精析

路由器（Router）是因特網(wǎng)上最為重要的設備之一，正是遍布世界各地的數以萬(wàn)計的路由器構成了因特網(wǎng)這個(gè)在我們的身邊日夜不停地運轉的巨型信息網(wǎng)絡(luò )的“橋梁”。因特網(wǎng)的核心通訊機制是一種被稱(chēng)為“存儲轉發(fā)”的數據傳輸模型。在這種通訊機制下，所有在網(wǎng)絡(luò )上流動(dòng)的數據都是以數據包（Packet）的形式被發(fā)送、傳輸和接收處理的。接入因特網(wǎng)的任何一臺電腦要與別的機器相互通訊并交換信息就必須擁有一個(gè)唯一的網(wǎng)絡(luò )“地址”。數據并不是從它的“出發(fā)點(diǎn)”直接就被傳送到“目的地”的，相反，數據在傳送之前按照特定的標準劃分成長(cháng)度一定的片斷——數據包。每一個(gè)數據包中都加入了目的計算機的網(wǎng)絡(luò )地址，這就好比套上了一個(gè)寫(xiě)好收件人地址的信封，這樣的數據包在網(wǎng)上傳輸的時(shí)候才不會(huì ) “迷路”。這些數據包在到達目的地之前必須經(jīng)過(guò)因特網(wǎng)上為數眾多的通信設備或者計算機的層層轉發(fā)、接力傳遞。古代驛站的運作情形就是這個(gè)過(guò)程的一個(gè)形象比喻，在因特網(wǎng)上，路由器正是扮演著(zhù)的轉發(fā)數據包“驛站”角色。

流行的路由器大多是以硬件設備的形式存在的，但是在某些情況下也用程序來(lái)實(shí)現“軟件路由器”，兩者的唯一差別只是執行的效率不同而已。路由器一般至少和兩個(gè)網(wǎng)絡(luò )相聯(lián)，并根據它對所連接網(wǎng)絡(luò )的狀態(tài)決定每個(gè)數據包的傳輸路徑。路由器生成并維護一張稱(chēng)為“路由信息表”的表格，其中跟蹤記錄相鄰其他路由器的地址和狀態(tài)信息。路由器使用路由信息表并根據傳輸距離和通訊費用等優(yōu)化算法來(lái)決定一個(gè)特定的數據包的最佳傳輸路徑。正是這種特點(diǎn)決定了路由器的“智能性”，它能夠根據相鄰網(wǎng)絡(luò )的實(shí)際運行狀況自動(dòng)選擇和調整數據包的傳輸情況，盡最大的努力以最優(yōu)的路線(xiàn)和最小的代價(jià)將數據包傳遞出去。路由器能否安全穩定地運行，直接影響著(zhù)因特網(wǎng)的活動(dòng)。不管因為什么原因出現路由器死機、拒絕服務(wù)或是運行效率急劇下降，其結果都將是災難性的。

黑客攻擊路由器的手段與襲擊網(wǎng)上其它計算機的手法大同小異，因為從嚴格的意義上講路由器本身就是一臺具備特殊使命的電腦，雖然它可能沒(méi)有人們通常熟識的PC那樣的外觀(guān)。一般來(lái)講，黑客針對路由器的攻擊主要分為以下兩種類(lèi)型：一是通過(guò)某種手段或途徑獲取管理權限，直接侵入到系統的內部；一是采用遠程攻擊的辦法造成路由器崩潰死機或是運行效率顯著(zhù)下降。相較而言，前者的難度要大一些。

上面提及的第一種入侵方法中，黑客一般是利用系統用戶(hù)的粗心或已知的系統缺陷（例如系統軟件中的“臭蟲(chóng)”）獲得進(jìn)入系統的訪(fǎng)問(wèn)權限，并通過(guò)一系列進(jìn)一步的行動(dòng)最終獲得超級管理員權限。黑客一般很難一開(kāi)始就獲得整個(gè)系統的控制權，在通常的情況下，這是一個(gè)逐漸升級的入侵過(guò)程。由于路由器不像一般的系統那樣設有眾多的用戶(hù)賬號，而且經(jīng)常使用安全性相對較高的專(zhuān)用軟件系統，所以黑客要想獲取路由器系統的管理權相對于入侵一般的主機就要困難得多。因此，現有的針對路由器的黑客攻擊大多數都可以歸入第二類(lèi)攻擊手段的范疇。這種攻擊的最終目的并非直接侵入系統內部，而是通過(guò)向系統發(fā)送攻擊性數據包或在一定的時(shí)間間隔里，向系統發(fā)送數量巨大的“垃圾”數據包，以此大量耗費路由器的系統資源，使其不能正常工作，甚至徹底崩潰。

路由技術(shù)介紹

STUN技術(shù):

即串行隧道(serial tunnel)技術(shù)。該技術(shù)是將SNA的軟件包從FEP（3745/6）的串口出來(lái)送到路由器，經(jīng)路由器打包成IP數據包，然后在由路由器構成的網(wǎng)絡(luò )中傳輸，至目標路由器后，再經(jīng)該路由器拆包還原成SNA的SDLC數據包送到SDLC接口設備。

CIP技術(shù):

CIP即通道接口處理器(Channel Interface Processor)。它被成一個(gè)插卡設備，可以方便地安裝在CISCO7000系列的路由器中。CIP通過(guò)直接與IBM大機的通道聯(lián)接，為IBM大機提供多協(xié)議網(wǎng)間網(wǎng)的訪(fǎng)問(wèn)能力。為大機提供TCP/IP、SNA、APPN流量，從而取消了對中間設備(諸如3172互聯(lián)控制器和IBM3745/6 FEP的需求。

DLSw技術(shù)：

是一種國際標準技術(shù)，可將SNA的軟件包經(jīng)IP方式打包后由IP網(wǎng)傳輸至IP網(wǎng)上的任何一個(gè)路由器節點(diǎn)，再經(jīng)路由器的串口以SDLC方式傳送給SDLC接口設備或經(jīng)以太網(wǎng)接口(或TOKEN RING)接口設備傳送給LLC2鏈路層協(xié)議傳輸SNA數據包的SNA節點(diǎn)(如RS6000)。

MIP的一個(gè)E1接口：

可提供30條64Kbps的子通道，通道還可組合成N×64K的更大的子通道，足以滿(mǎn)足相當長(cháng)時(shí)間內與地市行連接的帶寬需求。

CiscoWorks：

網(wǎng)管應用是一系列基于SNMP的管理應用軟件，可集成在SunNet Manager、HP OpenView、IBM NetView/AIX、Windows95/NT平臺上，提供的主要功能有：

允許利用鄰近的路由器遠程地安裝新的路由器對Cisco的網(wǎng)際產(chǎn)品提供廣泛的動(dòng)態(tài)狀態(tài)、統計和配置信息，直觀(guān)地以圖形方式顯示Cisco的設備，以及基本的故障排除信息。

審計和記錄配置文件的改變，探測出網(wǎng)絡(luò )上非授權配置改變方便網(wǎng)絡(luò )中相似路由器的配置記錄某一特定設備的聯(lián)系人的詳細信息查看一個(gè)設備的狀態(tài)信息，包括緩沖內存，CPU的負載，可用內存，正使用的接口和協(xié)議收集網(wǎng)絡(luò )的歷史數據，分析網(wǎng)絡(luò )的流量和性能趨勢，并以圖形方式顯示出來(lái)建立授權檢查程序以保護CiscoWorks應用和網(wǎng)絡(luò )設備不受非授權用戶(hù)的訪(fǎng)問(wèn)尤其需要說(shuō)明是，Cisco為很好地管理SNA互聯(lián)網(wǎng)絡(luò )，專(zhuān)門(mén)開(kāi)發(fā)了用于IBM網(wǎng)絡(luò )管理的CiscoWorks Blue網(wǎng)管應用，除支持上述功能外，還增加了路由器中SNA型的MIBs，支持NMVT和LU6.2管理方式，提供SNA管理相關(guān)功能，如：

知道網(wǎng)絡(luò )中每個(gè)SNA資源的狀態(tài)，并用來(lái)改變SNA資源狀態(tài)幫助檢測與網(wǎng)絡(luò )數據流的延遲有關(guān)的問(wèn)題，可用來(lái)測量從主機到LU的響應時(shí)間.