为什么路由表容易被篡改?
在企业或家庭网络中,网关是数据进出的“大门”。一旦攻击者通过漏洞或弱密码登录路由器,修改了路由表,就可能导致内网瘫痪、流量被劫持,甚至敏感信息外泄。比如某公司员工误装恶意软件后,内网访问总跳转到钓鱼页面,排查发现正是路由表被偷偷加了一条错误规则。
防止路由表被篡改,不能只靠重启或重置这类“事后补救”,得从权限控制和系统防护入手。
启用路由访问控制列表(ACL)
大多数企业级网关支持配置ACL规则,限制哪些IP可以管理设备。比如只允许运维电脑的固定IP进行SSH或Web登录,其他一律拒绝。
access-list 100 permit tcp host 192.168.10.5 any eq 22
access-list 100 deny tcp any any eq 22
access-list 100 permit ip any any上面这条规则只放行IP为192.168.10.5的主机通过SSH管理网关,其他人即使知道密码也无法连接。
关闭不必要的远程管理功能
很多家用路由器默认开启“远程管理”或“云配置”功能,虽然方便,但也给了外网可乘之机。建议在不使用时直接关闭。进入路由器后台,找到“远程管理”选项,设为禁用。
同时,把默认的80或8080管理端口改成非常见端口,能有效减少自动化扫描攻击。
定期备份并校验路由表配置
可以写个简单脚本定时抓取当前路由表,保存到安全服务器上。比如Linux下用以下命令导出路由:
ip route show > /backup/route_$(date +\%Y\%m\%d).txt再配合md5sum做比对:
md5sum /backup/route_*.txt一旦发现指纹不一致,立刻告警并人工核查,可能是异常变动前兆。
使用带签名验证的固件与配置同步
高端网关设备支持配置文件数字签名。修改后的配置必须由管理员私钥签名,设备收到后用公钥验证才能生效。这种机制类似软件更新签名,能防止伪造配置下发。
例如华为或H3C设备可通过PKI体系实现配置签名校验,确保只有授权操作才会被接受。
部署日志监控与变更告警
把网关的日志输出到独立的SIEM系统(如ELK或Splunk),设置关键词触发告警,比如“route add”、“ip route changed”等操作记录。
某次实际排查中,正是通过日志发现凌晨三点有陌生IP执行了路由添加命令,及时阻断了横向渗透尝试。
物理安全也不容忽视
别以为只有远程才会出问题。有人拔掉主路由器网线,接上自己带的设备做中间人攻击,也能篡改路由。机房上锁、端口绑定MAC地址、启用802.1X认证,都是有效的防线。
特别是核心交换机端口,应配置静态MAC绑定,防止非法接入。