IP网络路由器设备安全与设备测试(3)

　　除了DoS攻击，网络设备还会面对网络中大量的各种各样的畸形报文和错误报文，这些报文将耗费网络设备大量的处理能力，Ping of Death攻击也可以看作是畸形报文的一种形式。

　　同时，网络上的用户数据也有可能受到恶意监听或截取，目前比较有效的防范方式是使用IPSec协议进行用户数据的加密。

　　2.控制/信令平面

　　对控制/信令平面的攻击主要是通过使用非法的或未授权的路由设备与网络中的合法设备建立路由邻接关系，获取网络中的路由信息。通过路由协议的加密认证可以有效阻止这种攻击。目前，主要使用的RIPv2，OSPF，IS-IS都支持对协议报文的明文认证和MD5加密认证，BGP，LDP等协议则依靠TCP的MD5加密认证来保证协议报文的安全性。

　　3.管理平面

　　目前，对设备的远程管理主要采用Telnet，Web等方式，而Telnet，HTTP协议本身都没有提供安全功能，用户数据、用户账号和口令等都是明文传送，很容易被监听窃取，也很容易受到中间人(Man In the Middle)攻击。

　　解决网络设备远程管理问题主要依靠SSH和SSL协议。SSH(Secure Shell)是目前比较可靠的为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSL(Secure Socket Layer)协议可以在使用Web方式进行远程管理时对浏览器和Web服务器之间的通信进行加密。

　　四、网络安全与设备测试

　　目前的路由器测试主要针对的是设备的功能、协议、性能等基本能力，随着对IP网络中安全要求的不断提高，路由器本身也需要支持各种各样的安全能力，因此在测试中需要加强对路由器安全能力的测试。对路由器能力的测试同样也可以从数据平面、控制/信令平面和管理平面三个层次来考虑。

　　1.数据平面的安全测试

　　(1)抗DoS攻击能力的测试。主要是利用仪表模拟攻击流量，验证被测设备对攻击流量的处理。被测设备应该对异常流量采取丢弃策略，并生成告警日志。

　　(2)ACL功能测试。验证设备可以提供丰富的ACL功能来对非法流量进行过滤。