超级黑客访谈 如何攻击思科路由器IOS
2006-11-07 20:09:26 来源:WEB开发网与完好的IOS镜像对比SHA-1哈希值。
15)这么多种类的IOS镜像能否防御蠕虫和其他黑客攻击?
不能。不同的处理器架构和平台才是最重要的防御措施。
16)林恩说“思科未来打算抽象路由器操作系统的架构,这样做会产生负面影响。无需知道不同设备的地址偏移量,就可以对所有路由器发起攻击。”思科这样做是不是很危险?
这样做的弊端是便于开发攻击技术,但好处是用户给IOS打补丁时就不用替换整个镜像,而且还可以为已推出的路由器增加新的安全功能。所以说思科这样做是一把双刃剑。除非思科在路由器上安装Java虚拟机,不同的处理器架构仍将继续存在下去。但这样会引起一些新的攻击,象IOS的内核模块后门。
17)但打补丁仍是大问题。林恩说“当网络崩溃时如何给路由器打补丁,用邮件还是CD光盘?但路由器没有CD光驱。”
这问题更严重。现在IOS不打补丁,直接用新的版本替换旧的。这就象刷电脑的BIOS一样。更多情况下,更新版本会带来很多兼容问题。远程升级IOS并不是明智的主意。
18)很多管理员并不升级IOS,您是否认为从小型ISP到大型运营商都存在这一问题?
大型运营商一般用的是专门为他们定制的IOS镜像。我怀疑它们得到升级补丁会会其他人早些。我觉得潜规则是大型运营商先升级补丁,然后是小型ISP,而大型企业从不升级补丁。我曾见过有的企业用的IOS还是9.0版本。大型运营商一般对安全很重视,但他们不告诉其他人,网络安全是他们的命脉。
19)其他公司的路由器产品是否更安全?它们的市场份额更小,攻击者不会对它们有太大兴趣。
小公司的产品更为不安全,尤其是SOHO市场上充斥着质量很差的路由器产品。思科产品使用最广,受到黑客的关注最多。现在很多人之所以用Firefox浏览器,因为微软的IE浏览器不安全。要是人人都用Firefox,它也会有很多漏洞。路由器也是如此,要是人们都去用Juniper的路由器产品,它也会出现很多漏洞。
20)把开源操作系统Linux或BSD移植到路由器上是否可行?目前有类似项目吗?
现在有把Linux移植到思科2500/3000/4000系列路由器的项目,但我认为这样做不好升级。思科路由器强大之处就在于硬件与IOS的协同效应。你建议用开源软件,我认为还不如开发速度更快的电脑硬件。
更多精彩
赞助商链接