冗余網關安全性研究

摘 要 網絡冗余設備的安全性問題是一直網絡中心和網絡維護部門的心病，網關被其他黑客替代將會造成無法估計的損失。本文以比較常用的HSRP協議來做例，對于網關的安全性技術作了分析。

關鍵詞 網絡安全 HSRP 網絡攻擊

中圖分類號:TP393.08文獻標識碼:A

隨著網絡應用的普及化，為了保證網絡的穩定運行，各個學校和企事業單位使用了雙核心并采用HSRP來保證其網關的穩定。但是在實際網絡環境中卻發現了許多基于此類網關冗余協議的攻擊手段和方法。

1 HSRP工作的原理和其他細節

(1)每個路由器有它自己的mac和ip地址，但是它卻共享一個MAC和IP地址作為虛擬路由器的IP和MAC對于局域網內用戶來說就是網關地址和MAC。如果一臺路由器或者三層交換機down了，其他可以切換代替。

(2)在版本1的HSRP中，它的組播地址是224.0.0.2，在版本2中，組播地址為224.0.0.102.

(3)HSRP的TTL為1，所以黑客不能跨網攻擊。

(4)在1版本中虛擬的mac一般為0000.0c07.acxx，在版本2中為0000.0c9f.fxxx，在IPV6的環境中為0005.73a0.0xxx。其中xx為組號。

切換替代條件為:如果它從一個活動的路由器上收到任何HSRP的hello報文或者活動路由器自己需要變為備用狀態(如他失去了自己的廣域網連接)，那么就會進行熱切換。

工作的協議為:在IPV4中采用udp的1985，在IPV6中采用udp的2029。

競爭活動狀態的原則:先看優先級誰的值大就勝出，如果一樣就看誰的MAC地址小，那么誰將勝出。

具體配置命令為:standyby 1 ip 10.1.1.100; standyby 1 priority 105(默認100);standby 1 preempt(搶占加快切換時間)。默認的認證為明文的cisco。

2黑客攻擊的方法

(1)黑客會用dos進行攻擊:他一般先通過sniffer查找有沒有相應的HSRP的報文，再通過dos攻擊軟件進行攻擊(如:yersaina 或Hping3)