超级黑客访谈 如何攻击思科路由器IOS

核心提示： 与完好的IOS镜像对比SHA-1哈希值，15)这么多种类的IOS镜像能否防御蠕虫和其他黑客攻击?不能，超级黑客访谈 如何攻击思科路由器IOS(3)，不同的处理器架构和平台才是最重要的防御措施，16)林恩说“思科未来打算抽象路由器操作系统的架构，思科路由器强大之处就在于硬件与IO

与完好的IOS镜像对比SHA-1哈希值。

15)这么多种类的IOS镜像能否防御蠕虫和其他黑客攻击?

不能。不同的处理器架构和平台才是最重要的防御措施。

16)林恩说“思科未来打算抽象路由器操作系统的架构，这样做会产生负面影响。无需知道不同设备的地址偏移量，就可以对所有路由器发起攻击。”思科这样做是不是很危险?

这样做的弊端是便于开发攻击技术，但好处是用户给IOS打补丁时就不用替换整个镜像，而且还可以为已推出的路由器增加新的安全功能。所以说思科这样做是一把双刃剑。除非思科在路由器上安装Java虚拟机，不同的处理器架构仍将继续存在下去。但这样会引起一些新的攻击，象IOS的内核模块后门。

17)但打补丁仍是大问题。林恩说“当网络崩溃时如何给路由器打补丁，用邮件还是CD光盘?但路由器没有CD光驱。”

这问题更严重。现在IOS不打补丁，直接用新的版本替换旧的。这就象刷电脑的BIOS一样。更多情况下，更新版本会带来很多兼容问题。远程升级IOS并不是明智的主意。

18)很多管理员并不升级IOS，您是否认为从小型ISP到大型运营商都存在这一问题?

大型运营商一般用的是专门为他们定制的IOS镜像。我怀疑它们得到升级补丁会会其他人早些。我觉得潜规则是大型运营商先升级补丁，然后是小型ISP，而大型企业从不升级补丁。我曾见过有的企业用的IOS还是9.0版本。大型运营商一般对安全很重视，但他们不告诉其他人，网络安全是他们的命脉。

19)其他公司的路由器产品是否更安全?它们的市场份额更小，攻击者不会对它们有太大兴趣。

小公司的产品更为不安全，尤其是SOHO市场上充斥着质量很差的路由器产品。思科产品使用最广，受到黑客的关注最多。现在很多人之所以用Firefox浏览器，因为微软的IE浏览器不安全。要是人人都用Firefox，它也会有很多漏洞。路由器也是如此，要是人们都去用Juniper的路由器产品，它也会出现很多漏洞。

20)把开源操作系统Linux或BSD移植到路由器上是否可行?目前有类似项目吗?

现在有把Linux移植到思科2500/3000/4000系列路由器的项目，但我认为这样做不好升级。思科路由器强大之处就在于硬件与IOS的协同效应。你建议用开源软件，我认为还不如开发速度更快的电脑硬件。