APP下载

校园网出口三层环路引发的安全威胁

2010-08-21姜开达

中国教育网络 2010年11期
关键词:路由表子网IP地址

文/姜开达

随着校园网规模的扩大,很多学校申请拿到的IP地址段也在不断增加。这些在不同阶段申请的IP往往分布在若干个不连续的地址块里。如果由于各种原因,某些IP地址段不使用并且校内路由策略配置不当,就可能会被利用引发严重的安全威胁。

在教科网路由器上,一般都会用静态路由把这些地址段指向各个接入学校的路由器链路地址,不会启用动态路由协议(例如ip route 202.120.0.0/18 10.0.0.2,这里202.120.0.0/18是64个C的地址段,10.0.0.2是接入学校端的链路地址)。对于很多学校来说,在边界路由器上默认的路由可能也就是指向教科网路由器的链路地址(例如ip route 0.0.0.0/0 10.0.0.1,这里10.0.0.1是接入教科网端的链路地址)。

规范的做法是在校园网内的某台路由器上对所拥有的全部地址块都指向null0丢弃(例如ip route 202.120.0.0/18 null0),并把这个指向null0的静态路由重分布进校园网路由(常见的是使用ospf协议,也许也有用bgp的)。根据最长掩码匹配原则,路由器会选择路由表中到达同一目的地的子网掩码最长的路由。如果在校园内某处里有202.120.0.0/24的子网,那么可以不受影响地进行正常校内外路由。实际情况中,学校不可能把拥有的全部地址都分配使用完毕,终归会有一些地址段预留备用。假设学校有一段202.120.1.0/24的子网没有分配,并且之前的指向null0丢弃也没进行,那么校园网路由表内就没有202.120.1.0/24相关的路由信息,这时安全威胁就浮现出来了。

假设校外向202.120.1.0/24这个子网内的任意IP地址发大量报文,那么这些报文会顺理成章地进入到校园网边界路由器,但是校园网路由表里又没有这段地址信息,就会按默认路由重新送回校外教科网路由器。这些报文在校园网出口链路上反复震荡,直到TTL=0被丢弃。如果是一定强度的持续恶意攻击,攻击流量就会被放大了若干倍,甚至引起校园网出口链路带宽耗尽,影响正常网络使用。从校内向202.120.1.0/24这个子网内的任意IP地址发报文也会引起同样的后果。这实际上就是形成了一个三层的环路。

很多网络安全问题往往出在平时被忽视的细节问题上。网管人员要严格遵守安全规范,提高业务技能,以降低各类安全事件发生的可能性。

猜你喜欢

路由表子网IP地址
考虑荷电状态的交直流微电网多模式协调控制策略
基于OSPF特殊区域和LSA的教学设计与实践
铁路远动系统几种组网方式IP地址的申请和设置
研究路由表的查找过程
子网划分问题研究及应用
航天器多子网时间同步系统设计与验证
公安网络中IP地址智能管理的研究与思考
《IP地址及其管理》教学设计
IP 路由技术与RIP 协议探析
VLSM技术应用——以贺州学院行政办公楼网络为例