拒绝服务
路由器转发处理能力强,但是控制面和管理面处理能力有限。攻击者通过向路由器发起海量的消息请求,导致路由器CPU无法实时处理消息,引发正常的业务交互流程、内部处理流程阻塞,达到拒绝服务的目的。
拒绝服务是路由器面临的最大的威胁,在安全加固配置时,要求重点考虑拒绝服务类攻击的防御。
信息泄漏
路由器面临的信息泄漏威胁,最重要的风险就是非授权的访问,可以分成如下几种情况:
破坏信息完整性
IP网络的开放性,导致报文在传输过程中,可能会被中间转发节点进行恶意篡改,导致信息传输失真或者被中间人有意识的修改消息内容,达到攻击的目的。
非授权访问
通过非授权访问,获得路由器控制权限,或者获取更高权限的信息。
身份欺骗
由于IP网络开放性,对MAC和IP地址缺乏有力的认证鉴权机制,极易产生基于ARP/IP的地址欺骗攻击,导致路由器需要不断刷新转发流程必须的地址表项,处理来自欺骗地址的请求,由于地址表项错误导致转发中断,由于表项学习能力不足引发拒绝服务。
重放攻击
IP网络的开放性导致通信终端在L3及以下层面无法对端进行认证。黑客利用这一特性,通过重复发送特定报文,引发拒绝服务攻击。
计算机病毒
路由器在网络系统中除了作为转发节点同时也是一个可以被管理的网络单元。当同一个网络区域的计算机感染病毒,发送大量垃圾流量,耗尽网络带宽。此时,路由器作为一个网元节点,将无法获得网络资源,导致业务不可用。
人员不慎
在网络建设阶段为了便利业务开通部署而设置的策略,在业务开通之后并没有及时清除,导致遗留的配置成为后门,被攻击者利用。
在网络整改过程中,由于操作人员的不慎或者技能不足,导致配置出错,引发事故。例如:网线插错导致环路,协议配错引发业务中断,访问控制策略配置错误引发异常阻断或者开启了不该开启的访问通道等等。
管理员不慎将账户口令共享给他人。
物理入侵
路由器无法防止机房管理员物理接入设备,直接物理连接容易获取高优先级权限。恶意攻击者通过避开门禁、监控等防护措施,接入路由器。
联系客服