網絡路由器-釣魚郵件曝路由器漏洞小心網絡被劫持

  • A+
所屬分類:路由器密碼

劉建明:網絡路由器與能源路由器對照表

近二年來很多人問我什么是能源路由器?應該具有什么功能?如何測試?

說實話,我真沒有想明白此事,網上找找文章很多,通俗易懂的不多。

由于自己沒有研究,很難準確回答大家的問題,也不敢回答。

近日,我制作了一張網絡路由器與能源路由器對照表(版本V1.0),給朋友看了看,大家認為有一定道理。為了啟發大家的思考,共同推動此項工作,我就拋磚引玉吧。

先從網絡路由器和能源路由器的屬性、功能、設置、標準、應用五個方面提出自己的想法。

(1)屬性

網絡路由器

能源路由器

1

連接互聯網的網絡設備。

完成數據從一個地方傳送到另一個地方的行為和動作,從而構成一個更大的網絡。

連接電網的網絡設備。

完成電力從一個地方傳送到另一個地方的行為和動作,從而構成一個更大的網絡。

2

是互聯網絡的樞紐

是電網中的樞紐(目前:配用電網)

3

連接多個邏輯上分開的網絡(子網)。

當數據從一個子網傳輸到另一個子網時,可通過路由器的路由功能來完成。

最小的子網可以是用戶終端(如:電腦、手機等)。

連接多個邏輯上分開的網絡(子網)。

當電力從一個子網傳輸到另一個子網時,可通過路由器的路由功能來完成。

最小的子網可以是用電/發電終端(如:電腦、手機、冰箱、光伏等)。

4

由電子器件和軟件、CPU、網絡接口等組成

由電力電子器件和軟件、CPU、網絡接口等組成

5

是一種多端口設備

是一種多端口設備

6

分為:無線路由器、有線路由器

正在研制有線路由器,今后研制無線路由器

(2)功能

網絡路由器

能源路由器

7

根據信道的情況自動選擇和設定路由,以最佳路徑,按前后順序發送信號。

根據電網、發電和用戶負荷情況,以最佳路徑,選擇和分配電力傳輸路由,傳輸電力

8

具有判斷網絡地址和選擇IP路徑的功能,它能在多網絡互聯環境中,建立靈活的連接。

接受源站或其他路由器的信息。

具有判斷網絡地址和選擇路徑的功能,一般不需要在各種電網互聯環境中建立連接。

接受源站或其他路由器的信息。

9

對于每一個接收到的數據包,路由器都會重新計算其校驗值,并寫入新的物理地址,對其傳輸發送。

對于結構復雜的網絡,使用路由器可以提高網絡的整體效率。

對于接收到的電能,能源路由器都會重新計算網絡承載和用戶負荷變化情況,分配新的物理地址,對其傳輸發送。

對于結構復雜的網絡,使用能源路由器可以提高網絡的整體效率,保障電網的安全穩定。

10

可以自動過濾網絡廣播。

可以自動分配電網傳輸容量,接收清潔能源。

11

可以自動完成:網絡互連、數據處理(包括防火墻)、網絡管理等功能。

可以自動完成:網絡互連、傳輸處理(包括電能傳輸隔離)、網絡管理等功能。

12

可以自動學習和記憶網絡運行情況,在需要時自動計算數據傳輸的最佳路徑。

可以自動學習和記憶電網運行情況,在需要時自動計算電網傳輸的最佳路徑。

(3)設置

網絡路由器

能源路由器

13

在網絡中添加關鍵節點的路由器,安裝過程比較復雜,需要設計。

在網絡中添加關鍵節點的能源路由器,安裝過程很復雜,需要詳細設計。

14

大部分路由器可以支持多種協議的傳輸,即多協議路由器。

路由協議算法的增多,會降低路由器的性能。

大部分能源路由器可以支持多種能源接入和傳輸,名稱待定。

接入方式的增多,會增加能源路由器的復雜性。

15

選擇最佳路徑的策略即路由算法是路由器的關鍵技術。

選擇最佳路徑的策略、分配電力傳輸方式、路由算法是能源路由器的關鍵技術。

16

路徑表中保存著子網的標志信息、網上路由器的情況、所連接的路由器名稱等內容。

靜態(static)路由表由系統管理員設置。

動態(Dynamic)路由表根據網絡系統的運行情況而自動調整的路徑表。

路徑表中保存著子網的標志信息、網上路由器的情況、所連接的路由器名稱、性能等內容。

靜態路徑表由誰來設置?需要研究。

責任很大,需要培養這方面的人才!

動態路由表各大學、研究單位正在研究中。(我正在了解中,好像進展緩慢)

(4)標準

網絡路由器

能源路由器

17

ISO/OSI的參考模型中:

路由器為網絡層服務。

網絡交換機為數據鏈路層(第二層)服務。

功能的方式是不同。

沒有類似ISO/OSI的參考模型。

標準工作急需開展。

18

常用的網絡標準:

TCP/IP、IPX/SPX、AppleTalk等協議

(IPv6有可能在將來廣泛應用,目前不作為規范)

網絡標準:可以使用電網部分標準

19

路由器接口標準:

E1接口、以太網接口、FDDI接口等

地址解析協議ARP等

接口標準:可以使用目前電網接口標準

20

常用的無線網絡標準:

IEEE 802.11標準(包括802.11a 、802.11b 及802.11g等標準),

藍牙標準、HomeRF標準等。

無線傳輸標準:沒有

(5)應用

網絡路由器

能源路由器

21

已經廣泛應用。各種不同檔次的產品已成為實現各種骨干網內部連接、骨干網間互聯和骨干網與互聯網互聯互通業務的主要設備。

近期不可能廣泛應用。各種不同檔次的產品待研究。

需要研究如何實現各種配電網、骨干網、互聯互通業務的主要設備。

22

市場價格已經得到認可。

分為:

家用簡易路由器

商業低端路由器

企業網高端路由器

價格不明朗。

已有家用用電簡易網關

商業低端能源路由器在研制中

企業高端能源路由器在探討中

23

骨干網絡交換機實現網絡第2層的功能

技術成熟。

大型能源交換設備目前正在研制中,部分已經投入使用。

另:關于如何搭建能源路由器測試環境,我有一些不成熟的想法,這次就不說了,不能誤導大家。

作者:劉建明 中國信息化推進聯盟信息化協同創新專業委員會 特聘專家



智能路由更像是家庭網絡的“小門”,而不是入口,更像是智能家居的“遙控器”集成,也不是入口。巨頭們紛紛追捧智能路由,而智能路由既不能發揮入口價值,低價沖量策略又沒有明確的變現模式,同時也不能構建封閉的智能家居產業鏈,這么看的話市場價值是被高估了,現在是時候該重視未來路在何方了。

智能路由算不上入口 最多只能算“小門”

智能路由愿意以“家庭網絡入口”自居,因為大家都明白入口的價值,BAT是三大網絡入口,行業價值擺由市值體現出來了,若智能路由真能成為網絡入口,其前途不可估量。但是,目前的智能路由真的能算是家庭網絡入口么?

若BAT被公認為最大的三家網絡入口的話,那運營商則是提供網絡連接的大門,運營商負責管控是否有網絡接入,大門一關,網絡入口就關閉了,而網絡大門暢通時,流量的走向就不由運營商來決定,而是由BAT等網絡公司來經營了。更通俗點說,運營商是網絡門衛,只負責控制進出,而BAT是網絡服務員,負責提供服務。

這么看的話,將路由器視為夾在運營商與BAT等網絡公司之間的“小門”更為合適,目前的路由器能決定家庭網絡接通情況,但不能決定流量的導向,所以其只是提供了一個“小門”的作用,而在移動互聯網時代下,智能路由只是豪華升級版的家庭網絡“小門”,只能管理網絡是否暢通,不能提供網絡服務,所以,暫時還稱不上是入口。

智能路由 智能家居的遙控集成?

其實,相比作為網絡入口,智能家居入口更具想象空間。因為,智能路由仍處于探索期,而智能家居處在概念期,“探索期 概念期”的組合簡直完美到無法做出做準確的市場判斷境界,這也就為智能路由提供了充足的市場想象空間。

從目前的智能家居解決方案構思來看,大多數都是采用wifi環境下聯網的形式,通過智能路由的網絡交互,最終達成通過手機控制各類智能家居的目的。對于,那些無法聯網的舊設備,采用過度式的解決方案,增加可以聯網的傳感器、智能插座或者給智能手機增加紅外功能,以此達到控制家電開關的作用。不難看出,智能路由根本就是一個幫助手機成為遙控器功能的集成中控,入口的價值在哪里?

難道是各家的智能路由設定門檻,只有滿足智能路由廠商要求的智能家居才能接入網絡?這樣就可以通過智能路由強行綁定智能家居銷售了。這么做顯然不現實,也是不可能的,現在是開放性的時代,封閉體系的玩法不僅行不通,反而會抑制廠商路由產品的銷量,更現實的講,目前的國內市場沒有誰有這個絕對統治力。

另外,智能家居市場的爆發期還遙遙無期,大家電的更換頻率普遍偏低,小家電更換頻率雖然能比大家電高點,但小家電的智能需求不是特別強。智能家居市場全面爆發還需時日,而且目前的所謂的智能純屬“偽智能”,通過智能路由把手機變成了萬能遙控器,這叫智能么?鋼鐵俠的裝備才叫智能吧?智能家居市場都不成熟,智能路由成為智能家居入口就更遙遙無期了。

別拿“小門”不當“門” 方向對了門衛大叔也有春天

與其糾結現在就做遙不可及的智能家居入口,還不如實際點就把家庭網絡入口的“小門”地位坐實了,控制住了這個小門,入口通行權完全可以由門口的“門衛大叔”說的算。

手機操控、遠程下載、穿墻、加速等功能提升了智能路由APP的可用性,至少可以保證智能路由的手機APP不會被輕易卸載,這就給了智能路由控制小門的機會。那么問題來了,智能路由的機會在哪?

我先問各位個問題,你會在什么時候更新手機中的各個APP?大部分都是在家處在wifi環境下吧?很少有人用手機流量更新,這個是不爭的事實。既然處在wifi環境下更新APP,而wifi是由路由提供的,智能路由APP完全可以斷了移動分發應用的路,自己搶做移動分發的角色。如此一來,移動分發應用都得抖三抖,智能路由的價值自然水漲船高。值得注意的是,智能路由是通過APP搭載移動分發功能,而不是通過硬件本身,從智能路由的系統穩定性角度看,硬件本身不適合提供分發功能。

除了移動分發,手機瀏覽器也是不錯的方向,同樣的道理,在智能路由APP基礎上,提供瀏覽器功能,也是提升智能路由市場價值是一種可嘗試手段。在用戶使用路由APP時,設置幾個新聞位置,搞幾個吸引人的標題,這樣能帶來不少流量,一步步的成為一個輕瀏覽器,或者引導下載獨立的瀏覽器,最關鍵的還盤活流量之后再去流量變現。

要賺錢,做游戲。做游戲分發或者自己研發游戲也是大有可為的,實在不行,代理游戲或者聯營的方式都可以,手游市場價值不言而喻,一些耗費流量大的重度手游都是在wifi環境下的“床上游戲”,對網速的依賴性比較強,借助這個賣點,智能路由可以想法在手游市場賺幾個錢。

另外,提供一些周邊黃頁服務也是能提升智能路由APP實用價值的方式。智能路由還有非常多的可擴展空間,硬件本身是保持APP不被卸載的根本,在不會被輕易卸載的機會下,應該盡可能的提升自身的可用性。無論是移動分發、瀏覽器、游戲還是黃頁,都是在智能路由APP的基礎上探索求生的方式。

巧婦難為無米之炊 缺乏運營能力以及用戶量不足是最大困擾

另外,用戶量不足也是重點問題,對于一家一機的智能路由市場,在出貨量上肯定不能與一人一機的智能手機市場相比,而且智能路由發展時間還短,用戶量的積累還非常薄弱,缺乏用戶基礎的話,其他的事情也就暫時不用多想了。

若以以上的互聯網的玩法來看,智能路由市場拼的是用戶量,誰占據最大市場份額就占據最多用戶,用戶多了其他可衍生的發展方向也就隨之而來了。小米通過大量出貨奠定了MIUI的市場基礎,智能路由也是類似的發展套路,接下來就是比拼誰的出貨量多,誰能更得用戶青睞。

先占穩了網絡入口這個“小門”,坐等智能家居時代爆發,沒準到時候智能路由真能派上用處也說不定。企業發展,除了方向和體位要正確,踩準時間點也非常重要。


你修改過無線路由器的默認管理(登錄)密碼了么?如果沒有的話,現在你要小心這扇“網絡之門”隨時會有被攻擊者打開的可能喲。近日,有網絡安全公司發出警告,稱發現有黑客通過發送包含危險鏈接的釣魚郵件,來劫持那些未設防的路由器,并最終達到控制受害者網絡的目的。

攻擊路由器的釣魚郵件

據其網絡安全人員表示,在去年9月就曾發生過類似利用釣魚郵件來破解那些仍采用默認密碼路由器的攻擊事件。而在2014年12月到2015年1月中旬期間,他們更發現了一些針對企業、組織和普通網民的持續性釣魚郵件攻擊。

這些釣魚郵件偽裝成是由當地最大的網絡服務提供商(ISP)所發出,并且“警告”收件人其有未支付的賬單。但事實上,郵件中所包含的鏈接卻是用來破解這些收件人的路由器設備的。

網絡安全人員發現的攻擊路由器的釣魚郵件

一旦收件人上當點擊了其中的鏈接,便會被引導至一個模仿成ISP官網界面的網頁,該網頁上則包含有可執行跨站請求的惡意代碼。據研究人員介紹,該惡意代碼可對兩款已知有漏洞的路由器展開攻擊(UTStarcom和TP-Link)。

由于該惡意代碼中含有隱藏的內聯框架iframe,便會通過嘗試已知的初始賬戶列表來登錄到受害者的路由器管理頁面上。而如果得逞的話,攻擊者還會篡改受害人路由器上的域名解析系統(DNS)。當然為了掩人耳目,他們便將主DNS服務器地址改寫成自己的,而將輔助DNS服務器地址改為Google的(8.8.8.8)。

惡意代碼重定向受害人路由器上的DNS

即使由于一些原因,攻擊者的DNS服務器沒能響應的話,那么受害人的路由器仍可以正常使用,并在很長一段時間內不被察覺。此外,這類攻擊最危險的地方在于,它可以完全繞過殺毒軟件和其它安全工具的監管。雖然當下主流的路由器都已經內置了可防止此類攻擊的策略(如CSRF令牌),但是隨著新漏洞的不斷涌現,對于此類釣魚郵件的攻擊還會令人防不勝防。

那么用戶該如何進行有效的防范呢?下面一起來了解下吧。

伴隨SOHO路由器的日益普及,針對它們的攻擊也變得越來越普遍了。其中,利用釣魚郵件來攻擊路由器的手段則更加令人防不勝防。這些釣魚郵件常常會假借企業系統升級之名,或聲稱用戶郵箱容量已滿。有的則聲稱郵箱賬戶出現登錄異常,要求用戶點擊其中的鏈接地址,輸入郵箱名稱和密碼重新驗證賬戶等等。 而實際上這些郵件都不是系統管理員發送的。

版權與免責聲明:凡本網注明"原創"的文字內容,轉載必須注明出處,違者本網將依法追究責任。本網站中的所有未標注的文/圖等稿件均為轉載稿,轉載出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其內容的真實性。如其他媒體、網站或個人從本網下載使用,必須保留本網注明的"來源",并自負版權等法律責任。如有任何行為侵犯您的版權,請及時聯系我們,我們將立即改正。

Disclaimer: All copyrights of the articles and the original images are reserved by the authors, if we violated your copyright, Please contact us, we will correct it immediately

當前對于一個數據中心網絡好壞的評價主要有兩類參數:網絡故障恢復時間和網絡平均故障時間。一個龐大的數據中心網絡不可避免會出現這樣或那樣的故障,那么一旦出了故障,故障恢復時間的長短尤為重要,這將在一定程度上決定了故障帶來損失的大小。當然數據中心承載著很多重要業務,也不能頻繁地發生故障,因此就有了網絡平均故障時間,即在運行一年的時間當中,網絡中斷的時長和頻率。目前的數據中心普遍采用的是二三層混合的網絡架構,雖然現在很多人提出建設大二層的數據中心,但實際上依然是在二三層的物理網絡上再虛擬出一個二層網絡來,實質上還是沒有改變當前的二三層組網結構。這種組網要求網絡接入層和匯聚層采用二層轉發,核心層采用三層路由轉發。二層的網絡通過STP、RRPP、TRILL等協議保證網絡故障時業務的及時切換,三層的網絡則是通過VRRP、OSPF、BGP、ISIS等路由的切換來保證業務的連續性。然而由于路由是軟件學習,當在一個網絡規模比較大的數據中心里,路由切換和學習的效率都是比較低的,所以很多專家與學者提出了不少提高路由切換性能的技術,而這些技術就是路由容錯技術。路由容錯是指數據中心網絡在一個網絡設備發生故障不能工作時,另一個網絡設備自動接管失效的網絡設備,從而保證網絡正常進行。

一個數據中心網絡在發生故障時,路由恢復的快慢和服務器度、直徑、服務器數量、網線數量、交換機數量等都有一定關系,拓撲規模越大,三層網絡的路由規模相應就會大些,路由規模較小時,故障切換的速度就快,反之,故障切換的速度就慢。當然在一些拓撲規模不大的網絡中可能路由規模也會變得比較大,這時就要檢查網絡是否引入了很多無用的路由。有時網絡拓撲規模也不大,但是網絡節點的不相交路徑數,邊不相交路徑數和冗余層都比較多,也會造成路由數量的劇增,因此要盡可能簡化網絡。網絡拓撲結構越清晰,產生的無用路由就越少,適當地采用路由策略、路由過濾等機制來精簡路由。減少路由的確可以提升容錯能力,不過有些數據中心網絡規模就是比較大,數據中心需要處理的業務越來越多,未來的數據中心網絡規模也必然越來越大。在百度內蒙古數據中心里,要建2000多的OSPF鄰居,互相引入路由都達到100K級別以上,這樣規模的網絡,任何地方動一動都可能會引起連鎖反應,再強網絡設備的CPU也要一條一條地計算路由,在震蕩過程中可能路由長時間無法收斂,給業務帶來的影響可想而知,所以在高可靠性的數據中心網絡里,路由容錯技術必不可少,下面就介紹幾種為數據中心網絡保駕護航的路由容錯新技術。

快速重新路由容錯技術

快速重新路由容錯技術(Fast Rerouting)解決的基本問題是在網絡設備或設備鏈路失效下如何建立一個新的路徑替換被破壞的路徑,簡稱FRR。這種技術的基本思想是讓每個網絡設備都擁有兩個端口:基本端口和備份端口,當發生節點或鏈路失效時,基本端口無法使用時,采用備份端口來路由轉發報文。FRR要求每個節點設備都能感知到整個網絡拓撲的狀態,以便每個節點都可以實時獲取到整個網絡的路由信息。網絡設備的兩個端口各學習一份整網路由,當基本端口故障時,備份端口不需要重新學習路由,設備自動保存的備份路由直接可以轉發報文。FRR技術被廣泛應用于OSPF、BGP、MPLS、ISIS等路由協議中,可以有效減少網絡故障時故障恢復的時間。當然FRR也有缺點,就是要增加備用的物理鏈路,并且備用鏈路路由要可達,在網絡正常情況下,備用鏈路帶寬是空閑的,造成了網絡資源的極大浪費。還有在規模比較大的數據中心部署FRR將變得幾乎無法完成,因為FFR需要任何鏈路和端口都要有備份,這樣才能保證有備份路由,原本就很復雜的網絡將因為部署FRR技術而變得更加復雜,非常不利于后期的維護。

基于失效非敏感路由容錯技術

基于失效非敏感路由容錯技術(Failure Insensitive Routing),簡稱FIR,相比FRR,FIR不需要感知整個網絡拓撲的狀態信息和具體的設備、鏈路,而是通過報文的入口接口來推測潛在的失效設備和鏈路,通過一個預計算的特殊接口轉發表繞過失效組件。FIR和FRR一樣,在設備上也要同時維護兩張轉發路由表:一張轉發表,一張備用轉發表。

基于Not-Via路由容錯技術

Not-Via通過對報文封裝一個Not-Via地址,并配合最短路徑算法繞過失效設備或鏈路,對單節點和單鏈路的失效可以達到100%的路由恢復。這種技術是對原始報文進行了重新封裝,封裝后的報文包含了Not-Via地址,增加了報文的載荷,還要維護一個特殊的Not-Via地址,下游設備還要對原有報文進行封包和拆包,計算和管理的代價都比較高,不過Not-Via路由容錯技術的好處是不需要設備提前備份路由。

基于隧道的路由容錯技術

基于隧道的路由容錯技術(Fast Reroute Using Tunnels),簡稱FRUT,其通過一個預配置的隧道端點繞過被保護的鏈路,而達到最終的目標設備,這樣整個路由轉發路徑被分為兩個部分:一個是從上一跳設備到隧道終端端點的最短路徑,另一個是從隧道端點到最終的目標設備。既然是隧道就涉及進出隧道的處理,不過相比Not-Via,計算和管理的代價都要小得多,是目前比較主流的路由容錯技術。

在如今對數據中心網絡可靠性要求非常的環境背景下,路由容錯技術是一種必不可少的冗余技術,對數據中心網絡的穩定運行提供保障。無論是FRR、FIR還是FRUT等都是希望讓設備付出最小的代價,完成網絡路由的重計算,雖然這些技術都各有優缺點,但是卻可以為數據中心提供多種選擇,數據中心可以根據自己網絡的實際情況來部署路由容錯技術,從而大幅縮短數據中心網絡的故障恢復時間。


RHCE系列(一):如何設置和測試靜態網絡路由

RHCE(Red Hat Certified Engineer,紅帽認證工程師)是紅帽公司的一個認證,紅帽向企業社區貢獻開源操作系統和軟件,同時它還給公司提供訓練、支持和咨詢服務。

RHCE 考試準備指南

這個 RHCE 是一個績效考試(代號 EX300),面向那些擁有更多的技能、知識和能力的紅帽企業版 Linux(RHEL)系統高級系統管理員。

重要: 紅帽認證系統管理員 (Red Hat Certified System Administrator,RHCSA)認證要求先有 RHCE 認證。

以下是基于紅帽企業版 Linux 7 考試的考試目標,我們會在該 RHCE 系列中分別介紹:

第一部分:如何在 RHEL 7 中設置和測試靜態路由

第二部分:如何進行包過濾、網絡地址轉換和設置內核運行時參數

第三部分:如何使用 Linux 工具集產生和發送系統活動報告

第四部分:使用 Shell 腳本進行自動化系統維護

第五部分:如何在 RHEL 7 中管理系統日志(配置、輪換和導入到數據庫)

第六部分:設置 Samba 服務器并配置 FirewallD 和 SELinux 支持客戶端文件共享

第七部分:設置 NFS 服務器及基于 Kerberos 認證的客戶端

第八部分:在 Apache 上使用網絡安全服務(NSS)通過 TLS 提供 HTTPS 服務

第九部分:如何使用無客戶端配置來設置 Postfix 郵件服務器(SMTP)

第十部分:在 RHEL/CentOS 7 中設置網絡時間協議(NTP)服務器

第十一部分:如何配置一個只緩存的 DNS 服務器

在你的國家查看考試費用和注冊考試,可以到 RHCE 認證 網頁。

在 RHCE 的第一和第二部分,我們會介紹一些基本的但典型的情形,也就是靜態路由原理、包過濾和網絡地址轉換。

RHCE 系列第一部分:設置和測試網絡靜態路由

請注意我們不會作深入的介紹,但以這種方式組織內容能幫助你開始第一步并繼續后面的內容。
紅帽企業版 Linux 7 中的靜態路由

現代網絡的一個奇跡就是有很多可用設備能將一組計算機連接起來,不管是在一個房間里少量的機器還是在一棟建筑物、城市、國家或者大洲之間的多臺機器。

然而,為了能在任意情形下有效的實現這些,需要對網絡包進行路由,或者換句話說,它們從源到目的地的路徑需要按照某種規則。

靜態路由是為網絡包指定一個路由的過程,而不是使用網絡設備提供的默認網關。除非另有指定靜態路由,網絡包會被導向默認網關;而靜態路由則基于預定義標準所定義的其它路徑,例如數據包目的地。

我們在該篇指南中會考慮以下場景。我們有一臺 RHEL 7,連接到 1號路由器 [192.168.0.1] 以訪問因特網以及 192.168.0.0/24 中的其它機器。

第二個路由器(2號路由器)有兩個網卡:enp0s3 同樣連接到路由器1號以訪問互聯網,及與 RHEL 7 和同一網絡中的其它機器通訊,另外一個網卡(enp0s8)用于授權訪問內部服務所在的 10.0.0.0/24 網絡,例如 web 或數據庫服務器。

該場景可以用下面的示意圖表示:

靜態路由網絡示意圖

在這篇文章中我們會集中介紹在 RHEL 7 中設置路由表,確保它能通過1號路由器訪問因特網以及通過2號路由器訪問內部網絡。

在 RHEL 7 中,你可以通過命令行用 ip 命令 配置和顯示設備和路由。這些更改能在運行的系統中及時生效,但由于重啟后不會保存,我們會使用 /etc/sysconfig/network-scripts 目錄下的 ifcfg-enp0sX 和 route-enp0sX 文件永久保存我們的配置。

首先,讓我們打印出當前的路由表:

# ip route show

檢查當前路由表

從上面的輸出中,我們可以得出以下結論:

默認網關的 IP 是 192.168.0.1,可以通過網卡 enp0s3 訪問。

系統啟動的時候,它啟用了到 169.254.0.0/16 的 zeroconf 路由(只是在本例中)。也就是說,如果機器設置通過 DHCP 獲取 IP 地址,但是由于某些原因失敗了,它就會在上述網段中自動分配到一個地址。這一行的意思是,該路由會允許我們通過 enp0s3 和其它沒有從 DHCP 服務器中成功獲得 IP 地址的機器機器相連接。

最后,但同樣重要的是,我們也可以通過 IP 地址是 192.168.0.18 的 enp0s3 與 192.168.0.0/24 網絡中的其它機器連接。

下面是這樣的配置中你需要做的一些典型任務。除非另有說明,下面的任務都在2號路由器上進行。

確保正確安裝了所有網卡:

# ip link show

如果有某塊網卡停用了,啟動它:

# ip link set dev enp0s8 up

分配 10.0.0.0/24 網絡中的一個 IP 地址給它:

# ip addr add 10.0.0.17 dev enp0s8

噢!我們分配了一個錯誤的 IP 地址。我們需要刪除之前分配的那個并添加正確的地址(10.0.0.18):

# ip addr del 10.0.0.17 dev enp0s8

# ip addr add 10.0.0.18 dev enp0s8

現在,請注意你只能添加一個通過網關到目標網絡的路由,網關需要可以訪問到。因為這個原因,我們需要在 192.168.0.0/24 范圍中給 enp0s3 分配一個 IP 地址,這樣我們的 RHEL 7 才能連接到它:

# ip addr add 192.168.0.19 dev enp0s3

最后,我們需要啟用包轉發:

# echo "1" > /proc/sys/net/ipv4/ip_forward

并停用/取消防火墻(從現在開始,直到下一篇文章中我們介紹了包過濾):

# systemctl stop firewalld

# systemctl disable firewalld

回到我們的 RHEL 7(192.168.0.18),讓我們配置一個通過 192.168.0.19(2號路由器的 enp0s3)到 10.0.0.0/24 的路由:

# ip route add 10.0.0.0/24 via 192.168.0.19

之后,路由表看起來像下面這樣:

# ip route show

確認網絡路由表

同樣,在你嘗試連接的 10.0.0.0/24 網絡的機器中添加對應的路由:

# ip route add 192.168.0.0/24 via 10.0.0.18

你可以使用 ping 測試基本連接:

在 RHEL 7 中運行:

# ping -c 4 10.0.0.20

10.0.0.20 是 10.0.0.0/24 網絡中一個 web 服務器的 IP 地址。

在 web 服務器(10.0.0.20)中運行

# ping -c 192.168.0.18

192.168.0.18 也就是我們的 RHEL 7 機器的 IP 地址。

另外,我們還可以使用 tcpdump(需要通過 yum install tcpdump 安裝)來檢查我們 RHEL 7 和 10.0.0.20 中 web 服務器之間的 TCP 雙向通信。

首先在第一臺機器中啟用日志:

# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

在同一個系統上的另一個終端,讓我們通過 telnet 連接到 web 服務器的 80 號端口(假設 Apache 正在監聽該端口;否則應在下面命令中使用正確的監聽端口):

# telnet 10.0.0.20 80

tcpdump 日志看起來像下面這樣:

檢查服務器之間的網絡連接

通過查看我們 RHEL 7(192.168.0.18)和 web 服務器(10.0.0.20)之間的雙向通信,可以看出已經正確地初始化了連接。

請注意你重啟系統后會丟失這些更改。如果你想把它們永久保存下來,你需要在我們運行上面的命令的相同系統中編輯(如果不存在的話就創建)以下的文件。

盡管對于我們的測試例子不是嚴格要求,你需要知道 /etc/sysconfig/network 包含了一些系統范圍的網絡參數。一個典型的 /etc/sysconfig/network 看起來類似下面這樣:

# Enable networking on this system?

NETWORKING=yes

# Hostname. Should match the value in /etc/hostname

HOSTNAME=yourhostnamehere

# Default gateway

GATEWAY=XXX.XXX.XXX.XXX

# Device used to connect to default gateway. Replace X with the appropriate number.

GATEWAYDEV=enp0sX

當需要為每個網卡設置特定的變量和值時(正如我們在2號路由器上面做的),你需要編輯 /etc/sysconfig/network-scripts/ifcfg-enp0s3 和 /etc/sysconfig/network-scripts/ifcfg-enp0s8 文件。

下面是我們的例子,

TYPE=Ethernet

BOOTPROTO=static

IPADDR=192.168.0.19

NETMASK=255.255.255.0

GATEWAY=192.168.0.1

NAME=enp0s3

ONBOOT=yes

以及

TYPE=Ethernet

BOOTPROTO=static

IPADDR=10.0.0.18

NETMASK=255.255.255.0

GATEWAY=10.0.0.1

NAME=enp0s8

ONBOOT=yes

其分別對應 enp0s3 和 enp0s8。

由于要為我們的客戶端機器(192.168.0.18)進行路由,我們需要編輯 /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

現在reboot你的系統,就可以在路由表中看到該路由規則。
總結

在這篇文章中我們介紹了紅帽企業版 Linux 7 的靜態路由。盡管場景可能不同,這里介紹的例子說明了所需的原理以及進行該任務的步驟。結束之前,我還建議你看一下 Linux 文檔項目(The Linux Documentation Project)網站上的《安全加固和優化 Linux(Securing and Optimizing Linux)》的第四章,以了解這里介紹主題的更詳細內容。

在下篇文章中我們會介紹數據包過濾和網絡地址轉換,結束 RHCE 驗證需要的網絡基本技巧。
【指南】家庭網絡路由器設置 ???點擊索杰幫幫關注我喲

? 本文可對話微信公眾號daren858,回復標題中的任意詞查詢到。我們每天推送至少一篇實用的電腦應用知識。

家庭網絡路由器設置

【安裝第一步:正確連接線路】

正確的連接線路,這是網絡正常的基礎。寬帶線路連接:ADSL寬帶+路由器

1、入戶電話線直接插入分離器只有一個孔的那一頭;

2、分離器的ADSL/Line口與寬帶貓的Line口連接(電話線/RJ11);

3、寬帶貓的LAN口與路由器的WAN口連接(網線/RJ45);

4、分離器的Phone/TEL口與電話機或者傳真機連接(網線/RJ45);

5、路由器的任意LAN口與電腦連接(網線/RJ45);

6、無線路由器與手機或者筆記本之間,可以直接無線連接(wifi)。

注:如果不接電話,或者沒有分離器,入戶寬帶線直接插入寬帶貓Line口。
寬帶線路連接:光纖入戶寬帶+路由器

根據光貓的型號不同以及所需要接入設備不同,常規有以下幾種連接方法

1、不帶IP電視,不帶電話,只有寬帶的連接

入戶光纖接入光貓的PON口;

光貓LEN口與路由器WAN口連接(網線);

路由器LAN口接電腦即可。

2、帶IP電視、電話寬帶的連接方法

光纖入線接入貓的網絡G口;

電話接入貓的語音口(任意);

網絡1、3、4口接電腦,或接路由器WAN口;

iTV/網絡2接機頂盒。

【安裝第二步:登錄路由器】

線路連接正確后,我們需要一臺電腦登陸路由器進行設置。

使用網線接入路由器設置的方法比較簡單,推薦使用。
路由器登陸:有線方式登陸路由器

1、使用網線連接電腦和路由器的LAN口(任意一個);

2、等待本地連接顯示已連接(鼠標停留在電腦右下角小電腦圖標上);

3、打開瀏覽器,在地址欄中輸入路由器的IP地址,回車進入;

路由器的默認IP地址,在路由器背面的銘牌上。

4、管理登錄認證;

老的路由器會彈出登錄提示框,讓輸入管理員賬號和密碼,默認情況的管理賬戶和密碼標注在路由器的背面銘牌上;

如果是新的路由器,第一次使用會要求設置管理員密碼,以后則只要求輸入管理密碼即可,隱藏了管理員賬戶的輸入。

5、確認登錄后,就可以進入路由器的管理界面了。

【安裝第三步:設置路由器參數】?路由器設置:WAN口參數(TP-Link)

1、在左邊導航樹圖中,選擇WAN口設置。

2、右邊的參數設置

WAN口連接類型,選擇PPPoE(無論是電話線寬帶、網線寬帶還是光纖寬帶,用的都是PPPoE協議),選擇之后界面會發生變化;

上網賬號,這是寬帶商提供的寬帶賬號;

上網口令,寬帶密碼,輸入時需要把已經有的內容刪除;

確認口令,寬帶密碼再次重復輸入;

3、其他參數保持默認,【保存】即可。如不保存,路由器一旦重啟或者斷電后,設置參數丟失。

4、保存過后,點擊【連接】路由器可立即進行撥號,撥號成功后即可上網了。

5、撥號成功驗證

選擇左邊導航樹,選擇“運行狀態”,在右邊找到“WAN口狀態”,如果IP地址不再是0.0.0.0,就表示撥號成功。

WAN口參數設置完成后就可以上網了。無線路由器設置:設置無線密碼(TP-Link TL-WR842N)

1、打開無線安全設置界面

在左邊導航樹中,點開“無線設置”,再點擊“無線安全設置”。就會出現右邊的設置界面。

2、設置密碼

把"WPA-PSK/WPA2-PSK這個單選選中

認證類型和加密算法保持默認;

PSK密碼輸入8個以上的字符即可。

最后點擊【保持】

保持后有的路由器會提示重啟路由器按照提示點擊重啟即可。無線路由器設置:修改SSID(TP-Link)

SSID就是我們使用手機或者筆記本無線搜索時看到的名稱。

路由器默認的SSID一般太長不容易記憶,可以修改為自己想要的名稱。

1、在左邊導航樹中,選擇“無線設置”,“基本設置“。

2、右邊參數

SSID號,最好不要使用中文,對某些型號的手機可能會導致無法連接。

信道,通常保持默認的自動即可,如果發現你的筆記本能搜索到其他路由器的信號,唯獨搜索不到本路由器,可嘗試將該值設置為11以下的數字。

開啟WDS,勾選取消。

3、【保存】即可
無線路由器設置:無線MAC地址過濾(TP-Link TL-WR842N)1、打開無線MAC地址過濾

點開左邊導航樹“無線設置”,在點擊“無線MAC地址過濾”即可打開設置界面。

2、設置參數

點擊【啟用過濾】,打開過濾開關。

過濾規則選擇“允許”,意思是允許列表中MAC地址匹配的電腦/手機通過本路由器上網。

然后添加條目,把家里所有電腦、手機的MAC地址都添加進來。

這樣設置后,就算你的無線密碼被泄露,別人還是無法連接到你的無線路由器。

文/達人858社區

點擊下方“閱讀原文”查看更多
友訊和趨勢網絡路由器發現遠程代碼執行漏洞

微信號:freebuf

由于使用了Realtek瑞昱公司存在漏洞的軟件開發工具包(SDK),友訊科技、趨勢網絡以及其他品牌路由器很容易被攻擊者遠程執行任意代碼。

涉及企業

瑞昱公司(Realtek)、友訊科技(D-Link)、趨勢網絡(TRENDnet)及其他(更多受影響的廠商沒有完整披露)。

漏洞詳情

瑞昱miniigd SOAP服務器上存在一個嚴重缺陷。由于未能在執行系統調用前清理用戶數據,導致在處理NewInternalClient請求時出現問題。

該漏洞(CVE-2014-8361)允許未經身份驗證的攻擊者使用root特權在受害者系統上執行任意代碼?;萜掌煜耇ippingPiont的項目組ZDI(Zero Day Initiative)將該漏洞在通用安全漏洞評分系統(CVSS)中被評為10分(最高級別)。

瑞昱公司所有用于開發RTL81xx系列網卡驅動的軟件開發工具包均受影響。友訊科技和趨勢網絡路由器“成功地”復制了這一漏洞,另外還有眾多使用RTL81xx芯片組的供應商設備也存在這一問題。

影響范圍

目前尚不清楚有多少辦公室和家庭路由器受此影響,但研究者認為所有使用Realtek SDK miniigb二進制的設備都存在安全隱患。

安全研究員Lawshar在2014年8月把漏洞報告給ZDI,ZDI當月報告給了路由器供應商,但它們至今沒有發布補丁。

安全建議

鑒于瑞昱公司軟件開發工具包的功能及其弱點,唯一能夠明顯緩解攻擊的策略是限制服務器與可信機器間的交互作用。意思就是只有客戶端、服務器端和產品之間在有著合法的程序關系情況下,才能允許二者間進行通信;但是怎樣才能擁有合法的程序關系呢,那就要使用Realtek SDK了。至于怎樣限制服務器和設備之間的交互作用,有很多種方式,例如防火墻、白名單。

無線路由器:漏洞的樂園?

友訊科技和趨勢網絡的無線路由器漏洞并不鮮見。今年初,研究人員發現一些與ncc/ncc2有關的漏洞存在于設備中。二者都發布了固件更新以解決這個問題。

然而,并非所有固件更新都能有效解決安全漏洞問題。國內安全專家發現友訊新產品“云路由”使用的固件系統中存在漏洞,黑客可輕易攻破路由器后臺,獲取用戶網銀密碼等隱私。漏洞涉及17個型號,預計全球受影響用戶高達300萬。由此可以看出網絡安全問題的覆蓋范圍越來越廣泛。

發表評論

您必須才能發表評論!