网络路由器-钓鱼邮件曝路由器漏洞小心网络被劫持

  • A+
所属分类:路由器密码

刘建明:网络路由器与能源路由器对照表

近二年来很多人问我什么是能源路由器?应该具有什么功能?如何测试?

说实话,我真没有想明白此事,网上找找文章很多,通俗易懂的不多。

由于自己没有研究,很难准确回答大家的问题,也不敢回答。

近日,我制作了一张网络路由器与能源路由器对照表(版本V1.0),给朋友看了看,大家认为有一定道理。为了启发大家的思考,共同推动此项工作,我就抛砖引玉吧。

先从网络路由器和能源路由器的属性、功能、设置、标准、应用五个方面提出自己的想法。

(1)属性

网络路由器

能源路由器

1

连接互联网的网络设备。

完成数据从一个地方传送到另一个地方的行为和动作,从而构成一个更大的网络。

连接电网的网络设备。

完成电力从一个地方传送到另一个地方的行为和动作,从而构成一个更大的网络。

2

是互联网络的枢纽

是电网中的枢纽(目前:配用电网)

3

连接多个逻辑上分开的网络(子网)。

当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。

最小的子网可以是用户终端(如:电脑、手机等)。

连接多个逻辑上分开的网络(子网)。

当电力从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。

最小的子网可以是用电/发电终端(如:电脑、手机、冰箱、光伏等)。

4

由电子器件和软件、CPU、网络接口等组成

由电力电子器件和软件、CPU、网络接口等组成

5

是一种多端口设备

是一种多端口设备

6

分为:无线路由器、有线路由器

正在研制有线路由器,今后研制无线路由器

(2)功能

网络路由器

能源路由器

7

根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。

根据电网、发电和用户负荷情况,以最佳路径,选择和分配电力传输路由,传输电力

8

具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的连接。

接受源站或其他路由器的信息。

具有判断网络地址和选择路径的功能,一般不需要在各种电网互联环境中建立连接。

接受源站或其他路由器的信息。

9

对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址,对其传输发送。

对于结构复杂的网络,使用路由器可以提高网络的整体效率。

对于接收到的电能,能源路由器都会重新计算网络承载和用户负荷变化情况,分配新的物理地址,对其传输发送。

对于结构复杂的网络,使用能源路由器可以提高网络的整体效率,保障电网的安全稳定。

10

可以自动过滤网络广播。

可以自动分配电网传输容量,接收清洁能源。

11

可以自动完成:网络互连、数据处理(包括防火墙)、网络管理等功能。

可以自动完成:网络互连、传输处理(包括电能传输隔离)、网络管理等功能。

12

可以自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。

可以自动学习和记忆电网运行情况,在需要时自动计算电网传输的最佳路径。

(3)设置

网络路由器

能源路由器

13

在网络中添加关键节点的路由器,安装过程比较复杂,需要设计。

在网络中添加关键节点的能源路由器,安装过程很复杂,需要详细设计。

14

大部分路由器可以支持多种协议的传输,即多协议路由器。

路由协议算法的增多,会降低路由器的性能。

大部分能源路由器可以支持多种能源接入和传输,名称待定。

接入方式的增多,会增加能源路由器的复杂性。

15

选择最佳路径的策略即路由算法是路由器的关键技术。

选择最佳路径的策略、分配电力传输方式、路由算法是能源路由器的关键技术。

16

路径表中保存着子网的标志信息、网上路由器的情况、所连接的路由器名称等内容。

静态(static)路由表由系统管理员设置。

动态(Dynamic)路由表根据网络系统的运行情况而自动调整的路径表。

路径表中保存着子网的标志信息、网上路由器的情况、所连接的路由器名称、性能等内容。

静态路径表由谁来设置?需要研究。

责任很大,需要培养这方面的人才!

动态路由表各大学、研究单位正在研究中。(我正在了解中,好像进展缓慢)

(4)标准

网络路由器

能源路由器

17

ISO/OSI的参考模型中:

路由器为网络层服务。

网络交换机为数据链路层(第二层)服务。

功能的方式是不同。

没有类似ISO/OSI的参考模型。

标准工作急需开展。

18

常用的网络标准:

TCP/IP、IPX/SPX、AppleTalk等协议

(IPv6有可能在将来广泛应用,目前不作为规范)

网络标准:可以使用电网部分标准

19

路由器接口标准:

E1接口、以太网接口、FDDI接口等

地址解析协议ARP等

接口标准:可以使用目前电网接口标准

20

常用的无线网络标准:

IEEE 802.11标准(包括802.11a 、802.11b 及802.11g等标准),

蓝牙标准、HomeRF标准等。

无线传输标准:没有

(5)应用

网络路由器

能源路由器

21

已经广泛应用。各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主要设备。

近期不可能广泛应用。各种不同档次的产品待研究。

需要研究如何实现各种配电网、骨干网、互联互通业务的主要设备。

22

市场价格已经得到认可。

分为:

家用简易路由器

商业低端路由器

企业网高端路由器

价格不明朗。

已有家用用电简易网关

商业低端能源路由器在研制中

企业高端能源路由器在探讨中

23

骨干网络交换机实现网络第2层的功能

技术成熟。

大型能源交换设备目前正在研制中,部分已经投入使用。

另:关于如何搭建能源路由器测试环境,我有一些不成熟的想法,这次就不说了,不能误导大家。

作者:刘建明 中国信息化推进联盟信息化协同创新专业委员会 特聘专家



智能路由更像是家庭网络的“小门”,而不是入口,更像是智能家居的“遥控器”集成,也不是入口。巨头们纷纷追捧智能路由,而智能路由既不能发挥入口价值,低价冲量策略又没有明确的变现模式,同时也不能构建封闭的智能家居产业链,这么看的话市场价值是被高估了,现在是时候该重视未来路在何方了。

智能路由算不上入口 最多只能算“小门”

智能路由愿意以“家庭网络入口”自居,因为大家都明白入口的价值,BAT是三大网络入口,行业价值摆由市值体现出来了,若智能路由真能成为网络入口,其前途不可估量。但是,目前的智能路由真的能算是家庭网络入口么?

若BAT被公认为最大的三家网络入口的话,那运营商则是提供网络连接的大门,运营商负责管控是否有网络接入,大门一关,网络入口就关闭了,而网络大门畅通时,流量的走向就不由运营商来决定,而是由BAT等网络公司来经营了。更通俗点说,运营商是网络门卫,只负责控制进出,而BAT是网络服务员,负责提供服务。

这么看的话,将路由器视为夹在运营商与BAT等网络公司之间的“小门”更为合适,目前的路由器能决定家庭网络接通情况,但不能决定流量的导向,所以其只是提供了一个“小门”的作用,而在移动互联网时代下,智能路由只是豪华升级版的家庭网络“小门”,只能管理网络是否畅通,不能提供网络服务,所以,暂时还称不上是入口。

智能路由 智能家居的遥控集成?

其实,相比作为网络入口,智能家居入口更具想象空间。因为,智能路由仍处于探索期,而智能家居处在概念期,“探索期 概念期”的组合简直完美到无法做出做准确的市场判断境界,这也就为智能路由提供了充足的市场想象空间。

从目前的智能家居解决方案构思来看,大多数都是采用wifi环境下联网的形式,通过智能路由的网络交互,最终达成通过手机控制各类智能家居的目的。对于,那些无法联网的旧设备,采用过度式的解决方案,增加可以联网的传感器、智能插座或者给智能手机增加红外功能,以此达到控制家电开关的作用。不难看出,智能路由根本就是一个帮助手机成为遥控器功能的集成中控,入口的价值在哪里?

难道是各家的智能路由设定门槛,只有满足智能路由厂商要求的智能家居才能接入网络?这样就可以通过智能路由强行绑定智能家居销售了。这么做显然不现实,也是不可能的,现在是开放性的时代,封闭体系的玩法不仅行不通,反而会抑制厂商路由产品的销量,更现实的讲,目前的国内市场没有谁有这个绝对统治力。

另外,智能家居市场的爆发期还遥遥无期,大家电的更换频率普遍偏低,小家电更换频率虽然能比大家电高点,但小家电的智能需求不是特别强。智能家居市场全面爆发还需时日,而且目前的所谓的智能纯属“伪智能”,通过智能路由把手机变成了万能遥控器,这叫智能么?钢铁侠的装备才叫智能吧?智能家居市场都不成熟,智能路由成为智能家居入口就更遥遥无期了。

别拿“小门”不当“门” 方向对了门卫大叔也有春天

与其纠结现在就做遥不可及的智能家居入口,还不如实际点就把家庭网络入口的“小门”地位坐实了,控制住了这个小门,入口通行权完全可以由门口的“门卫大叔”说的算。

手机操控、远程下载、穿墙、加速等功能提升了智能路由APP的可用性,至少可以保证智能路由的手机APP不会被轻易卸载,这就给了智能路由控制小门的机会。那么问题来了,智能路由的机会在哪?

我先问各位个问题,你会在什么时候更新手机中的各个APP?大部分都是在家处在wifi环境下吧?很少有人用手机流量更新,这个是不争的事实。既然处在wifi环境下更新APP,而wifi是由路由提供的,智能路由APP完全可以断了移动分发应用的路,自己抢做移动分发的角色。如此一来,移动分发应用都得抖三抖,智能路由的价值自然水涨船高。值得注意的是,智能路由是通过APP搭载移动分发功能,而不是通过硬件本身,从智能路由的系统稳定性角度看,硬件本身不适合提供分发功能。

除了移动分发,手机浏览器也是不错的方向,同样的道理,在智能路由APP基础上,提供浏览器功能,也是提升智能路由市场价值是一种可尝试手段。在用户使用路由APP时,设置几个新闻位置,搞几个吸引人的标题,这样能带来不少流量,一步步的成为一个轻浏览器,或者引导下载独立的浏览器,最关键的还盘活流量之后再去流量变现。

要赚钱,做游戏。做游戏分发或者自己研发游戏也是大有可为的,实在不行,代理游戏或者联营的方式都可以,手游市场价值不言而喻,一些耗费流量大的重度手游都是在wifi环境下的“床上游戏”,对网速的依赖性比较强,借助这个卖点,智能路由可以想法在手游市场赚几个钱。

另外,提供一些周边黄页服务也是能提升智能路由APP实用价值的方式。智能路由还有非常多的可扩展空间,硬件本身是保持APP不被卸载的根本,在不会被轻易卸载的机会下,应该尽可能的提升自身的可用性。无论是移动分发、浏览器、游戏还是黄页,都是在智能路由APP的基础上探索求生的方式。

巧妇难为无米之炊 缺乏运营能力以及用户量不足是最大困扰

另外,用户量不足也是重点问题,对于一家一机的智能路由市场,在出货量上肯定不能与一人一机的智能手机市场相比,而且智能路由发展时间还短,用户量的积累还非常薄弱,缺乏用户基础的话,其他的事情也就暂时不用多想了。

若以以上的互联网的玩法来看,智能路由市场拼的是用户量,谁占据最大市场份额就占据最多用户,用户多了其他可衍生的发展方向也就随之而来了。小米通过大量出货奠定了MIUI的市场基础,智能路由也是类似的发展套路,接下来就是比拼谁的出货量多,谁能更得用户青睐。

先占稳了网络入口这个“小门”,坐等智能家居时代爆发,没准到时候智能路由真能派上用处也说不定。企业发展,除了方向和体位要正确,踩准时间点也非常重要。


你修改过无线路由器的默认管理(登录)密码了么?如果没有的话,现在你要小心这扇“网络之门”随时会有被攻击者打开的可能哟。近日,有网络安全公司发出警告,称发现有黑客通过发送包含危险链接的钓鱼邮件,来劫持那些未设防的路由器,并最终达到控制受害者网络的目的。

攻击路由器的钓鱼邮件

据其网络安全人员表示,在去年9月就曾发生过类似利用钓鱼邮件来破解那些仍采用默认密码路由器的攻击事件。而在2014年12月到2015年1月中旬期间,他们更发现了一些针对企业、组织和普通网民的持续性钓鱼邮件攻击。

这些钓鱼邮件伪装成是由当地最大的网络服务提供商(ISP)所发出,并且“警告”收件人其有未支付的账单。但事实上,邮件中所包含的链接却是用来破解这些收件人的路由器设备的。

网络安全人员发现的攻击路由器的钓鱼邮件

一旦收件人上当点击了其中的链接,便会被引导至一个模仿成ISP官网界面的网页,该网页上则包含有可执行跨站请求的恶意代码。据研究人员介绍,该恶意代码可对两款已知有漏洞的路由器展开攻击(UTStarcom和TP-Link)。

由于该恶意代码中含有隐藏的内联框架iframe,便会通过尝试已知的初始账户列表来登录到受害者的路由器管理页面上。而如果得逞的话,攻击者还会篡改受害人路由器上的域名解析系统(DNS)。当然为了掩人耳目,他们便将主DNS服务器地址改写成自己的,而将辅助DNS服务器地址改为Google的(8.8.8.8)。

恶意代码重定向受害人路由器上的DNS

即使由于一些原因,攻击者的DNS服务器没能响应的话,那么受害人的路由器仍可以正常使用,并在很长一段时间内不被察觉。此外,这类攻击最危险的地方在于,它可以完全绕过杀毒软件和其它安全工具的监管。虽然当下主流的路由器都已经内置了可防止此类攻击的策略(如CSRF令牌),但是随着新漏洞的不断涌现,对于此类钓鱼邮件的攻击还会令人防不胜防。

那么用户该如何进行有效的防范呢?下面一起来了解下吧。

伴随SOHO路由器的日益普及,针对它们的攻击也变得越来越普遍了。其中,利用钓鱼邮件来攻击路由器的手段则更加令人防不胜防。这些钓鱼邮件常常会假借企业系统升级之名,或声称用户邮箱容量已满。有的则声称邮箱账户出现登录异常,要求用户点击其中的链接地址,输入邮箱名称和密码重新验证账户等等。 而实际上这些邮件都不是系统管理员发送的。

版权与免责声明:凡本网注明"原创"的文字内容,转载必须注明出处,违者本网将依法追究责任。本网站中的所有未标注的文/图等稿件均为转载稿,转载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用,必须保留本网注明的"来源",并自负版权等法律责任。如有任何行为侵犯您的版权,请及时联系我们,我们将立即改正。

Disclaimer: All copyrights of the articles and the original images are reserved by the authors, if we violated your copyright, Please contact us, we will correct it immediately

当前对于一个数据中心网络好坏的评价主要有两类参数:网络故障恢复时间和网络平均故障时间。一个庞大的数据中心网络不可避免会出现这样或那样的故障,那么一旦出了故障,故障恢复时间的长短尤为重要,这将在一定程度上决定了故障带来损失的大小。当然数据中心承载着很多重要业务,也不能频繁地发生故障,因此就有了网络平均故障时间,即在运行一年的时间当中,网络中断的时长和频率。目前的数据中心普遍采用的是二三层混合的网络架构,虽然现在很多人提出建设大二层的数据中心,但实际上依然是在二三层的物理网络上再虚拟出一个二层网络来,实质上还是没有改变当前的二三层组网结构。这种组网要求网络接入层和汇聚层采用二层转发,核心层采用三层路由转发。二层的网络通过STP、RRPP、TRILL等协议保证网络故障时业务的及时切换,三层的网络则是通过VRRP、OSPF、BGP、ISIS等路由的切换来保证业务的连续性。然而由于路由是软件学习,当在一个网络规模比较大的数据中心里,路由切换和学习的效率都是比较低的,所以很多专家与学者提出了不少提高路由切换性能的技术,而这些技术就是路由容错技术。路由容错是指数据中心网络在一个网络设备发生故障不能工作时,另一个网络设备自动接管失效的网络设备,从而保证网络正常进行。

一个数据中心网络在发生故障时,路由恢复的快慢和服务器度、直径、服务器数量、网线数量、交换机数量等都有一定关系,拓扑规模越大,三层网络的路由规模相应就会大些,路由规模较小时,故障切换的速度就快,反之,故障切换的速度就慢。当然在一些拓扑规模不大的网络中可能路由规模也会变得比较大,这时就要检查网络是否引入了很多无用的路由。有时网络拓扑规模也不大,但是网络节点的不相交路径数,边不相交路径数和冗余层都比较多,也会造成路由数量的剧增,因此要尽可能简化网络。网络拓扑结构越清晰,产生的无用路由就越少,适当地采用路由策略、路由过滤等机制来精简路由。减少路由的确可以提升容错能力,不过有些数据中心网络规模就是比较大,数据中心需要处理的业务越来越多,未来的数据中心网络规模也必然越来越大。在百度内蒙古数据中心里,要建2000多的OSPF邻居,互相引入路由都达到100K级别以上,这样规模的网络,任何地方动一动都可能会引起连锁反应,再强网络设备的CPU也要一条一条地计算路由,在震荡过程中可能路由长时间无法收敛,给业务带来的影响可想而知,所以在高可靠性的数据中心网络里,路由容错技术必不可少,下面就介绍几种为数据中心网络保驾护航的路由容错新技术。

快速重新路由容错技术

快速重新路由容错技术(Fast Rerouting)解决的基本问题是在网络设备或设备链路失效下如何建立一个新的路径替换被破坏的路径,简称FRR。这种技术的基本思想是让每个网络设备都拥有两个端口:基本端口和备份端口,当发生节点或链路失效时,基本端口无法使用时,采用备份端口来路由转发报文。FRR要求每个节点设备都能感知到整个网络拓扑的状态,以便每个节点都可以实时获取到整个网络的路由信息。网络设备的两个端口各学习一份整网路由,当基本端口故障时,备份端口不需要重新学习路由,设备自动保存的备份路由直接可以转发报文。FRR技术被广泛应用于OSPF、BGP、MPLS、ISIS等路由协议中,可以有效减少网络故障时故障恢复的时间。当然FRR也有缺点,就是要增加备用的物理链路,并且备用链路路由要可达,在网络正常情况下,备用链路带宽是空闲的,造成了网络资源的极大浪费。还有在规模比较大的数据中心部署FRR将变得几乎无法完成,因为FFR需要任何链路和端口都要有备份,这样才能保证有备份路由,原本就很复杂的网络将因为部署FRR技术而变得更加复杂,非常不利于后期的维护。

基于失效非敏感路由容错技术

基于失效非敏感路由容错技术(Failure Insensitive Routing),简称FIR,相比FRR,FIR不需要感知整个网络拓扑的状态信息和具体的设备、链路,而是通过报文的入口接口来推测潜在的失效设备和链路,通过一个预计算的特殊接口转发表绕过失效组件。FIR和FRR一样,在设备上也要同时维护两张转发路由表:一张转发表,一张备用转发表。

基于Not-Via路由容错技术

Not-Via通过对报文封装一个Not-Via地址,并配合最短路径算法绕过失效设备或链路,对单节点和单链路的失效可以达到100%的路由恢复。这种技术是对原始报文进行了重新封装,封装后的报文包含了Not-Via地址,增加了报文的载荷,还要维护一个特殊的Not-Via地址,下游设备还要对原有报文进行封包和拆包,计算和管理的代价都比较高,不过Not-Via路由容错技术的好处是不需要设备提前备份路由。

基于隧道的路由容错技术

基于隧道的路由容错技术(Fast Reroute Using Tunnels),简称FRUT,其通过一个预配置的隧道端点绕过被保护的链路,而达到最终的目标设备,这样整个路由转发路径被分为两个部分:一个是从上一跳设备到隧道终端端点的最短路径,另一个是从隧道端点到最终的目标设备。既然是隧道就涉及进出隧道的处理,不过相比Not-Via,计算和管理的代价都要小得多,是目前比较主流的路由容错技术。

在如今对数据中心网络可靠性要求非常的环境背景下,路由容错技术是一种必不可少的冗余技术,对数据中心网络的稳定运行提供保障。无论是FRR、FIR还是FRUT等都是希望让设备付出最小的代价,完成网络路由的重计算,虽然这些技术都各有优缺点,但是却可以为数据中心提供多种选择,数据中心可以根据自己网络的实际情况来部署路由容错技术,从而大幅缩短数据中心网络的故障恢复时间。


RHCE系列(一):如何设置和测试静态网络路由

RHCE(Red Hat Certified Engineer,红帽认证工程师)是红帽公司的一个认证,红帽向企业社区贡献开源操作系统和软件,同时它还给公司提供训练、支持和咨询服务。

RHCE 考试准备指南

这个 RHCE 是一个绩效考试(代号 EX300),面向那些拥有更多的技能、知识和能力的红帽企业版 Linux(RHEL)系统高级系统管理员。

重要: 红帽认证系统管理员 (Red Hat Certified System Administrator,RHCSA)认证要求先有 RHCE 认证。

以下是基于红帽企业版 Linux 7 考试的考试目标,我们会在该 RHCE 系列中分别介绍:

第一部分:如何在 RHEL 7 中设置和测试静态路由

第二部分:如何进行包过滤、网络地址转换和设置内核运行时参数

第三部分:如何使用 Linux 工具集产生和发送系统活动报告

第四部分:使用 Shell 脚本进行自动化系统维护

第五部分:如何在 RHEL 7 中管理系统日志(配置、轮换和导入到数据库)

第六部分:设置 Samba 服务器并配置 FirewallD 和 SELinux 支持客户端文件共享

第七部分:设置 NFS 服务器及基于 Kerberos 认证的客户端

第八部分:在 Apache 上使用网络安全服务(NSS)通过 TLS 提供 HTTPS 服务

第九部分:如何使用无客户端配置来设置 Postfix 邮件服务器(SMTP)

第十部分:在 RHEL/CentOS 7 中设置网络时间协议(NTP)服务器

第十一部分:如何配置一个只缓存的 DNS 服务器

在你的国家查看考试费用和注册考试,可以到 RHCE 认证 网页。

在 RHCE 的第一和第二部分,我们会介绍一些基本的但典型的情形,也就是静态路由原理、包过滤和网络地址转换。

RHCE 系列第一部分:设置和测试网络静态路由

请注意我们不会作深入的介绍,但以这种方式组织内容能帮助你开始第一步并继续后面的内容。
红帽企业版 Linux 7 中的静态路由

现代网络的一个奇迹就是有很多可用设备能将一组计算机连接起来,不管是在一个房间里少量的机器还是在一栋建筑物、城市、国家或者大洲之间的多台机器。

然而,为了能在任意情形下有效的实现这些,需要对网络包进行路由,或者换句话说,它们从源到目的地的路径需要按照某种规则。

静态路由是为网络包指定一个路由的过程,而不是使用网络设备提供的默认网关。除非另有指定静态路由,网络包会被导向默认网关;而静态路由则基于预定义标准所定义的其它路径,例如数据包目的地。

我们在该篇指南中会考虑以下场景。我们有一台 RHEL 7,连接到 1号路由器 [192.168.0.1] 以访问因特网以及 192.168.0.0/24 中的其它机器。

第二个路由器(2号路由器)有两个网卡:enp0s3 同样连接到路由器1号以访问互联网,及与 RHEL 7 和同一网络中的其它机器通讯,另外一个网卡(enp0s8)用于授权访问内部服务所在的 10.0.0.0/24 网络,例如 web 或数据库服务器。

该场景可以用下面的示意图表示:

静态路由网络示意图

在这篇文章中我们会集中介绍在 RHEL 7 中设置路由表,确保它能通过1号路由器访问因特网以及通过2号路由器访问内部网络。

在 RHEL 7 中,你可以通过命令行用 ip 命令 配置和显示设备和路由。这些更改能在运行的系统中及时生效,但由于重启后不会保存,我们会使用 /etc/sysconfig/network-scripts 目录下的 ifcfg-enp0sX 和 route-enp0sX 文件永久保存我们的配置。

首先,让我们打印出当前的路由表:

# ip route show

检查当前路由表

从上面的输出中,我们可以得出以下结论:

默认网关的 IP 是 192.168.0.1,可以通过网卡 enp0s3 访问。

系统启动的时候,它启用了到 169.254.0.0/16 的 zeroconf 路由(只是在本例中)。也就是说,如果机器设置通过 DHCP 获取 IP 地址,但是由于某些原因失败了,它就会在上述网段中自动分配到一个地址。这一行的意思是,该路由会允许我们通过 enp0s3 和其它没有从 DHCP 服务器中成功获得 IP 地址的机器机器相连接。

最后,但同样重要的是,我们也可以通过 IP 地址是 192.168.0.18 的 enp0s3 与 192.168.0.0/24 网络中的其它机器连接。

下面是这样的配置中你需要做的一些典型任务。除非另有说明,下面的任务都在2号路由器上进行。

确保正确安装了所有网卡:

# ip link show

如果有某块网卡停用了,启动它:

# ip link set dev enp0s8 up

分配 10.0.0.0/24 网络中的一个 IP 地址给它:

# ip addr add 10.0.0.17 dev enp0s8

噢!我们分配了一个错误的 IP 地址。我们需要删除之前分配的那个并添加正确的地址(10.0.0.18):

# ip addr del 10.0.0.17 dev enp0s8

# ip addr add 10.0.0.18 dev enp0s8

现在,请注意你只能添加一个通过网关到目标网络的路由,网关需要可以访问到。因为这个原因,我们需要在 192.168.0.0/24 范围中给 enp0s3 分配一个 IP 地址,这样我们的 RHEL 7 才能连接到它:

# ip addr add 192.168.0.19 dev enp0s3

最后,我们需要启用包转发:

# echo "1" > /proc/sys/net/ipv4/ip_forward

并停用/取消防火墙(从现在开始,直到下一篇文章中我们介绍了包过滤):

# systemctl stop firewalld

# systemctl disable firewalld

回到我们的 RHEL 7(192.168.0.18),让我们配置一个通过 192.168.0.19(2号路由器的 enp0s3)到 10.0.0.0/24 的路由:

# ip route add 10.0.0.0/24 via 192.168.0.19

之后,路由表看起来像下面这样:

# ip route show

确认网络路由表

同样,在你尝试连接的 10.0.0.0/24 网络的机器中添加对应的路由:

# ip route add 192.168.0.0/24 via 10.0.0.18

你可以使用 ping 测试基本连接:

在 RHEL 7 中运行:

# ping -c 4 10.0.0.20

10.0.0.20 是 10.0.0.0/24 网络中一个 web 服务器的 IP 地址。

在 web 服务器(10.0.0.20)中运行

# ping -c 192.168.0.18

192.168.0.18 也就是我们的 RHEL 7 机器的 IP 地址。

另外,我们还可以使用 tcpdump(需要通过 yum install tcpdump 安装)来检查我们 RHEL 7 和 10.0.0.20 中 web 服务器之间的 TCP 双向通信。

首先在第一台机器中启用日志:

# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

在同一个系统上的另一个终端,让我们通过 telnet 连接到 web 服务器的 80 号端口(假设 Apache 正在监听该端口;否则应在下面命令中使用正确的监听端口):

# telnet 10.0.0.20 80

tcpdump 日志看起来像下面这样:

检查服务器之间的网络连接

通过查看我们 RHEL 7(192.168.0.18)和 web 服务器(10.0.0.20)之间的双向通信,可以看出已经正确地初始化了连接。

请注意你重启系统后会丢失这些更改。如果你想把它们永久保存下来,你需要在我们运行上面的命令的相同系统中编辑(如果不存在的话就创建)以下的文件。

尽管对于我们的测试例子不是严格要求,你需要知道 /etc/sysconfig/network 包含了一些系统范围的网络参数。一个典型的 /etc/sysconfig/network 看起来类似下面这样:

# Enable networking on this system?

NETWORKING=yes

# Hostname. Should match the value in /etc/hostname

HOSTNAME=yourhostnamehere

# Default gateway

GATEWAY=XXX.XXX.XXX.XXX

# Device used to connect to default gateway. Replace X with the appropriate number.

GATEWAYDEV=enp0sX

当需要为每个网卡设置特定的变量和值时(正如我们在2号路由器上面做的),你需要编辑 /etc/sysconfig/network-scripts/ifcfg-enp0s3 和 /etc/sysconfig/network-scripts/ifcfg-enp0s8 文件。

下面是我们的例子,

TYPE=Ethernet

BOOTPROTO=static

IPADDR=192.168.0.19

NETMASK=255.255.255.0

GATEWAY=192.168.0.1

NAME=enp0s3

ONBOOT=yes

以及

TYPE=Ethernet

BOOTPROTO=static

IPADDR=10.0.0.18

NETMASK=255.255.255.0

GATEWAY=10.0.0.1

NAME=enp0s8

ONBOOT=yes

其分别对应 enp0s3 和 enp0s8。

由于要为我们的客户端机器(192.168.0.18)进行路由,我们需要编辑 /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

现在reboot你的系统,就可以在路由表中看到该路由规则。
总结

在这篇文章中我们介绍了红帽企业版 Linux 7 的静态路由。尽管场景可能不同,这里介绍的例子说明了所需的原理以及进行该任务的步骤。结束之前,我还建议你看一下 Linux 文档项目(The Linux Documentation Project)网站上的《安全加固和优化 Linux(Securing and Optimizing Linux)》的第四章,以了解这里介绍主题的更详细内容。

在下篇文章中我们会介绍数据包过滤和网络地址转换,结束 RHCE 验证需要的网络基本技巧。
【指南】家庭网络路由器设置 点击索杰帮帮关注我哟

☀ 本文可对话微信公众号daren858,回复标题中的任意词查询到。我们每天推送至少一篇实用的电脑应用知识。

家庭网络路由器设置

【安装第一步:正确连接线路】

正确的连接线路,这是网络正常的基础。宽带线路连接:ADSL宽带+路由器

1、入户电话线直接插入分离器只有一个孔的那一头;

2、分离器的ADSL/Line口与宽带猫的Line口连接(电话线/RJ11);

3、宽带猫的LAN口与路由器的WAN口连接(网线/RJ45);

4、分离器的Phone/TEL口与电话机或者传真机连接(网线/RJ45);

5、路由器的任意LAN口与电脑连接(网线/RJ45);

6、无线路由器与手机或者笔记本之间,可以直接无线连接(wifi)。

注:如果不接电话,或者没有分离器,入户宽带线直接插入宽带猫Line口。
宽带线路连接:光纤入户宽带+路由器

根据光猫的型号不同以及所需要接入设备不同,常规有以下几种连接方法

1、不带IP电视,不带电话,只有宽带的连接

入户光纤接入光猫的PON口;

光猫LEN口与路由器WAN口连接(网线);

路由器LAN口接电脑即可。

2、带IP电视、电话宽带的连接方法

光纤入线接入猫的网络G口;

电话接入猫的语音口(任意);

网络1、3、4口接电脑,或接路由器WAN口;

iTV/网络2接机顶盒。

【安装第二步:登录路由器】

线路连接正确后,我们需要一台电脑登陆路由器进行设置。

使用网线接入路由器设置的方法比较简单,推荐使用。
路由器登陆:有线方式登陆路由器

1、使用网线连接电脑和路由器的LAN口(任意一个);

2、等待本地连接显示已连接(鼠标停留在电脑右下角小电脑图标上);

3、打开浏览器,在地址栏中输入路由器的IP地址,回车进入;

路由器的默认IP地址,在路由器背面的铭牌上。

4、管理登录认证;

老的路由器会弹出登录提示框,让输入管理员账号和密码,默认情况的管理账户和密码标注在路由器的背面铭牌上;

如果是新的路由器,第一次使用会要求设置管理员密码,以后则只要求输入管理密码即可,隐藏了管理员账户的输入。

5、确认登录后,就可以进入路由器的管理界面了。

【安装第三步:设置路由器参数】‍路由器设置:WAN口参数(TP-Link)

1、在左边导航树图中,选择WAN口设置。

2、右边的参数设置

WAN口连接类型,选择PPPoE(无论是电话线宽带、网线宽带还是光纤宽带,用的都是PPPoE协议),选择之后界面会发生变化;

上网账号,这是宽带商提供的宽带账号;

上网口令,宽带密码,输入时需要把已经有的内容删除;

确认口令,宽带密码再次重复输入;

3、其他参数保持默认,【保存】即可。如不保存,路由器一旦重启或者断电后,设置参数丢失。

4、保存过后,点击【连接】路由器可立即进行拨号,拨号成功后即可上网了。

5、拨号成功验证

选择左边导航树,选择“运行状态”,在右边找到“WAN口状态”,如果IP地址不再是0.0.0.0,就表示拨号成功。

WAN口参数设置完成后就可以上网了。无线路由器设置:设置无线密码(TP-Link TL-WR842N)

1、打开无线安全设置界面

在左边导航树中,点开“无线设置”,再点击“无线安全设置”。就会出现右边的设置界面。

2、设置密码

把"WPA-PSK/WPA2-PSK这个单选选中

认证类型和加密算法保持默认;

PSK密码输入8个以上的字符即可。

最后点击【保持】

保持后有的路由器会提示重启路由器按照提示点击重启即可。无线路由器设置:修改SSID(TP-Link)

SSID就是我们使用手机或者笔记本无线搜索时看到的名称。

路由器默认的SSID一般太长不容易记忆,可以修改为自己想要的名称。

1、在左边导航树中,选择“无线设置”,“基本设置“。

2、右边参数

SSID号,最好不要使用中文,对某些型号的手机可能会导致无法连接。

信道,通常保持默认的自动即可,如果发现你的笔记本能搜索到其他路由器的信号,唯独搜索不到本路由器,可尝试将该值设置为11以下的数字。

开启WDS,勾选取消。

3、【保存】即可
无线路由器设置:无线MAC地址过滤(TP-Link TL-WR842N)1、打开无线MAC地址过滤

点开左边导航树“无线设置”,在点击“无线MAC地址过滤”即可打开设置界面。

2、设置参数

点击【启用过滤】,打开过滤开关。

过滤规则选择“允许”,意思是允许列表中MAC地址匹配的电脑/手机通过本路由器上网。

然后添加条目,把家里所有电脑、手机的MAC地址都添加进来。

这样设置后,就算你的无线密码被泄露,别人还是无法连接到你的无线路由器。

文/达人858社区

点击下方“阅读原文”查看更多
友讯和趋势网络路由器发现远程代码执行漏洞

微信号:freebuf

由于使用了Realtek瑞昱公司存在漏洞的软件开发工具包(SDK),友讯科技、趋势网络以及其他品牌路由器很容易被攻击者远程执行任意代码。

涉及企业

瑞昱公司(Realtek)、友讯科技(D-Link)、趋势网络(TRENDnet)及其他(更多受影响的厂商没有完整披露)。

漏洞详情

瑞昱miniigd SOAP服务器上存在一个严重缺陷。由于未能在执行系统调用前清理用户数据,导致在处理NewInternalClient请求时出现问题。

该漏洞(CVE-2014-8361)允许未经身份验证的攻击者使用root特权在受害者系统上执行任意代码。惠普旗下TippingPiont的项目组ZDI(Zero Day Initiative)将该漏洞在通用安全漏洞评分系统(CVSS)中被评为10分(最高级别)。

瑞昱公司所有用于开发RTL81xx系列网卡驱动的软件开发工具包均受影响。友讯科技和趋势网络路由器“成功地”复制了这一漏洞,另外还有众多使用RTL81xx芯片组的供应商设备也存在这一问题。

影响范围

目前尚不清楚有多少办公室和家庭路由器受此影响,但研究者认为所有使用Realtek SDK miniigb二进制的设备都存在安全隐患。

安全研究员Lawshar在2014年8月把漏洞报告给ZDI,ZDI当月报告给了路由器供应商,但它们至今没有发布补丁。

安全建议

鉴于瑞昱公司软件开发工具包的功能及其弱点,唯一能够明显缓解攻击的策略是限制服务器与可信机器间的交互作用。意思就是只有客户端、服务器端和产品之间在有着合法的程序关系情况下,才能允许二者间进行通信;但是怎样才能拥有合法的程序关系呢,那就要使用Realtek SDK了。至于怎样限制服务器和设备之间的交互作用,有很多种方式,例如防火墙、白名单。

无线路由器:漏洞的乐园?

友讯科技和趋势网络的无线路由器漏洞并不鲜见。今年初,研究人员发现一些与ncc/ncc2有关的漏洞存在于设备中。二者都发布了固件更新以解决这个问题。

然而,并非所有固件更新都能有效解决安全漏洞问题。国内安全专家发现友讯新产品“云路由”使用的固件系统中存在漏洞,黑客可轻易攻破路由器后台,获取用户网银密码等隐私。漏洞涉及17个型号,预计全球受影响用户高达300万。由此可以看出网络安全问题的覆盖范围越来越广泛。

发表评论

您必须才能发表评论!