一、引言

当今的时代是网络的时代，20世纪末出现的IP网络，以前所未有的发展速度创造了人类科技史上的奇迹，并大有取代已经存在了100多年的电路交换网的趋势。但从电信网的角度来说，IP网络还存在着诸如安全、服务质量、运营模式等问题。其中，IP网络的安全问题是其中非常重要的一个方面，由于IP网络的开放性，又使得它的安全问题变得十分复杂。本文着重分析IP网络中所面临的安全威胁，并讨论路由器设备安全功能的测试。
 
    二、IP网络所面临的安全威胁

    IP网络的最大优势是它的开放性，并最大限度地支持终端的智能，这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时，IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁。

    IP网络的安全威胁有两个方面，一是主机(包括用户主机和应用服务器等)的安全，二是网络自身(主要是网络设备，包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击，即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身，即网络设备(主要是路由器)自身的安全问题。

    路由器设备从功能上可以划分为数据平面、控制/信令平面和管理平面，也可以从协议系统的角度按TCP/IP协议的层次进行划分。图l所示为路由器的系统框架。路由器设备在系统框架中的每个层次上都有可能受到攻击。

图1　路由器的系统框架

(1)对数据平面来说，其功能是负责处理进入设备的数据流，它有可能受到基于流量的攻击，如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间，造成正常的数据流量无法得到处理，使设备的可用性降低。由于数据平面负责用户数据的转发，因此也会受到针对用户数据的攻击，主要是对用户数据的恶意窃取、修改、删除等，使用户数据的机密性和完整性受到破坏。

(2)对路由器来说，控制/信令平面的主要功能是进行路由信息的交换。这一平面受到的主要威胁来自对路由信息的窃取，对IP地址的伪造等，这会造成网络路由信息的泄漏或滥用。

(3)对系统管理平面来说，威胁来自于两个方面，一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞，另一个是不严密的管理，如设备管理账号的泄露等。

    三、威胁网络安全的主要攻击手段

1.数据平面

数据平面受到的主要攻击是拒绝服务(DoS，Deny of Service)攻击，拒绝服务攻击针对不同的协议会有很多种形式。

(1)LAND攻击。LAND攻击是利用某些系统TCP协议实现中的漏洞，制造TCPSYN报文，这些报文的源IP地址和TCP端口号与目的IP地址和TCP端口号相同，这样系统就会向自身发起一个TCP连接，造成了系统资源的无谓消耗。

(2)SYNF1ood攻击。SYNF1ood攻击是利用TCP协议三次握手的机制，由攻击主机向被攻击设备发送大量的SYN请求报文，这些报文的源地址是一个不可达的主机地址，被攻击设备发送SYNACK报文后，就开始等待大量根本不可能到达的ACK报文，造成了系统资源的大量占用。

(3)Smurf攻击。Smurf攻击是利用ICMP协议的一种DoS攻击手段。该攻击是将ICMP Echo Request(Ping)报文的源地址伪造成被攻击设备的地址，目的地址为网络中的广播地址，这样大量的ICMP响应报文将造成被攻击设备以及所在网络的负载大大增加。如果攻击中使用的是UDP的应答请求消息则演变为Fraggle攻击。

(4)PingF1ood攻击。PingF1ood攻击是从一条高带宽的连接向一条低带宽的连接连续发送大量的Ping报文，被攻击设备将对每一个Ping报文进行回应，造成了网络可用带宽的降低。

(5)Teardrop攻击。Teardrop攻击是利用IP报文的分片/重组机制，发送伪造的分片IP报文，而将IP报文头部中指示分片标记的Offset字段设为重复的值，使得被攻击设备在处理这些分片报文时造成系统的挂起甚至宕机。

(6)Ping of Death攻击。Ping of Death攻击通过发送一个包长超过65535的Ping报文，使被攻击设备的内存分配产生错误，从而导致设备的瘫痪。

除了DoS攻击，网络设备还会面对网络中大量的各种各样的畸形报文和错误报文，这些报文将耗费网络设备大量的处理能力，Ping of Death攻击也可以看作是畸形报文的一种形式。

同时，网络上的用户数据也有可能受到恶意监听或截取，目前比较有效的防范方式是使用IPSec协议进行用户数据的加密。

    2.控制/信令平面

对控制/信令平面的攻击主要是通过使用非法的或未授权的路由设备与网络中的合法设备建立路由邻接关系，获取网络中的路由信息。通过路由协议的加密认证可以有效阻止这种攻击。目前，主要使用的RIPv2，OSPF，IS-IS都支持对协议报文的明文认证和MD5加密认证，BGP，LDP等协议则依靠TCP的MD5加密认证来保证协议报文的安全性。

    3.管理平面

目前，对设备的远程管理主要采用Telnet，Web等方式，而Telnet，HTTP协议本身都没有提供安全功能，用户数据、用户账号和口令等都是明文传送，很容易被监听窃取，也很容易受到中间人(Man In the middle)攻击。

解决网络设备远程管理问题主要依靠SSH和SSL协议。SSH(Secure Shell)是目前比较可靠的为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSL(Secure Socket Layer)协议可以在使用Web方式进行远程管理时对浏览器和Web服务器之间的通信进行加密。

    四、网络安全与设备测试

目前的路由器测试主要针对的是设备的功能、协议、性能等基本能力，随着对IP网络中安全要求的不断提高，路由器本身也需要支持各种各样的安全能力，因此在测试中需要加强对路由器安全能力的测试。对路由器能力的测试同样也可以从数据平面、控制/信令平面和管理平面三个层次来考虑。

    1.数据平面的安全测试

(1)抗DoS攻击能力的测试。主要是利用仪表模拟攻击流量，验证被测设备对攻击流量的处理。被测设备应该对异常流量采取丢弃策略，并生成告警日志。

(2)ACL功能测试。验证设备可以提供丰富的ACL功能来对非法流量进行过滤。

(3)防止IP地址欺骗测试。主要是URPF(单播逆向路径转发，Unicast Reverse Path Forwarding)功能的测试。被测设备应具备URPF功能，即设备可以检查数据包的源地址，在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包。

(4)IPSec协议测试。验证设备是否支持IPSec协议来保证用户数据的机密性。

(5)对协议的控制测试。被测设备应该能够关闭一些可能造成攻击的协议端口或过滤某些可能对网络造成安全隐患的协议报文，如关闭UDP的回应请求端口、过滤源路由数据包等。

    2.控制/信令平面的安全测试

(1)OSPF协议安全测试。包括邻居路由器之间的明文/MD5认证、OSPF区域内使用明文/MD5认证。

(2)IS-IS协议安全测试。包括接口间Level-1明文/MD5认证、接口Level-2明文/MD5认证、IS-IS区域内明文/MD5认证和IS-IS路由域上的明文/MD5认证。

(3)BGP协议的MD5认证。

(4)RIPv2协议的认证。 

    3.管理平面的安全测试

(1)SSH协议支持能力的测试。

(2)SSL协议支持能力的测试。

(3)安全审计功能的测试。包括提供安全告警日志以及用户操作日志等的能力。

除安全功能及协议的测试外，路由器的安全测试还应包括性能测试，开启安全功能后对路由器的正常转发能力不应产生严重影响。

    五、结束语

    目前的IP网络仍然面临着许多安全问题，新的攻击手段和技术层出不穷，在这种形势下，迫切需要网络设备，尤其是路由器设备支持完善的安全功能。除了对安全技术的不断研究，对路由器等网络设备进行严格的安全测试。强制网络设备支持应有的安全功能也是提高IP网络安全性的一个重要方面。目前，《高端路由器的安全技术要求》、《中低端路由器的安全技术要求》、《高端路由器的安全测试规范》、《中低端路由器的安全测试规范》等标准文稿都已经在制订之中，这些标准的制订必将使路由器设备的测试更加完善，同时也会有助于网络安全水平的提高。