文/姜开达

随着校园网规模的扩大，很多学校申请拿到的IP地址段也在不断增加。这些在不同阶段申请的IP往往分布在若干个不连续的地址块里。如果由于各种原因，某些IP地址段不使用并且校内路由策略配置不当，就可能会被利用引发严重的安全威胁。

在教科网路由器上，一般都会用静态路由把这些地址段指向各个接入学校的路由器链路地址，不会启用动态路由协议（例如ip route 202.120.0.0/18 10.0.0.2，这里202.120.0.0/18是64个C的地址段，10.0.0.2是接入学校端的链路地址）。对于很多学校来说，在边界路由器上默认的路由可能也就是指向教科网路由器的链路地址（例如ip route 0.0.0.0/0 10.0.0.1，这里10.0.0.1是接入教科网端的链路地址）。

规范的做法是在校园网内的某台路由器上对所拥有的全部地址块都指向null0丢弃（例如ip route 202.120.0.0/18 null0），并把这个指向null0的静态路由重分布进校园网路由(常见的是使用ospf协议，也许也有用bgp的)。根据最长掩码匹配原则，路由器会选择路由表中到达同一目的地的子网掩码最长的路由。如果在校园内某处里有202.120.0.0/24的子网，那么可以不受影响地进行正常校内外路由。实际情况中，学校不可能把拥有的全部地址都分配使用完毕，终归会有一些地址段预留备用。假设学校有一段202.120.1.0/24的子网没有分配，并且之前的指向null0丢弃也没进行，那么校园网路由表内就没有202.120.1.0/24相关的路由信息，这时安全威胁就浮现出来了。

假设校外向202.120.1.0/24这个子网内的任意IP地址发大量报文，那么这些报文会顺理成章地进入到校园网边界路由器，但是校园网路由表里又没有这段地址信息，就会按默认路由重新送回校外教科网路由器。这些报文在校园网出口链路上反复震荡，直到TTL=0被丢弃。如果是一定强度的持续恶意攻击，攻击流量就会被放大了若干倍，甚至引起校园网出口链路带宽耗尽，影响正常网络使用。从校内向202.120.1.0/24这个子网内的任意IP地址发报文也会引起同样的后果。这实际上就是形成了一个三层的环路。

很多网络安全问题往往出在平时被忽视的细节问题上。网管人员要严格遵守安全规范，提高业务技能，以降低各类安全事件发生的可能性。