控制著如此多的網(wǎng)絡(luò)流量的路由器已經(jīng)證明遠(yuǎn)程入侵者想進(jìn)行破壞不是件容易的事情，這聽(tīng)起來(lái)似乎有些違反常理。德國(guó)一家安全實(shí)驗(yàn)室的研究所在Black Hat安全會(huì)議上聲稱(chēng)雖然路由的開(kāi)發(fā)利用是較高的目標(biāo)，但是已經(jīng)涌現(xiàn)出大規(guī)模的先進(jìn)開(kāi)發(fā)。

之所以是較高目標(biāo)，部分原因是受到路由器本身屬性以及廣泛部署的路由操作系統(tǒng)(思科 IOS)兩方面的限制。

路由器不會(huì)向攻擊者暴露許多功能。路由協(xié)議在內(nèi)部運(yùn)行。此外網(wǎng)絡(luò)設(shè)備中的弊端通常是作為功能問(wèn)題被修復(fù)的，因?yàn)樗鼈円�求高度的可用性�?/p>

當(dāng)前將側(cè)重點(diǎn)放在客戶(hù)端的缺陷上的策略也保護(hù)了路由器，因?yàn)樗鼈兒苌贂?huì)以客戶(hù)端方式運(yùn)行。

思科IOS身上某些明顯的缺陷也為攻擊增加了難度。

思科不能從軟件中出現(xiàn)的任何錯(cuò)誤恢復(fù)過(guò)來(lái)。對(duì)于錯(cuò)誤的唯一選擇是死機(jī)，而這樣它就不能再為攻擊者所用。

而對(duì)于任意版本的IOS也不存在一個(gè)標(biāo)準(zhǔn)圖像。每個(gè)圖像都是建立在草圖基礎(chǔ)上，因此具體布局不僅受到版本的影響，還取決于編譯的人員。就互操作性而言，這可能會(huì)導(dǎo)致一些問(wèn)題，因?yàn)榛ゲ僮餍蕴岢�設(shè)備的整體升級(jí)，盡管如此，它卻為攻擊帶來(lái)了諸多不便。攻擊者要想找到一個(gè)合適的地址來(lái)攻擊都不是一件容易的事情。

所以，大多數(shù)路由開(kāi)發(fā)都涉及配置事宜以及內(nèi)部攻擊。但是，這種情況可能會(huì)隨著研究的深入而改變。其他IOS圖像的分析師能夠識(shí)別式樣，從而可以很容易地找到目標(biāo)地址。但是想保持路由運(yùn)行并執(zhí)行開(kāi)發(fā)可不是一件簡(jiǎn)單的事情。

好與壞，取決于你看事物的觀點(diǎn)，對(duì)于一些新的服務(wù)，如VoIP，都是如此。VoIP可以在路由上生成更多客戶(hù)型攻擊面。

對(duì)路由器最好的保護(hù)是將網(wǎng)絡(luò)設(shè)備中，或者是單獨(dú)架構(gòu)中的類(lèi)似服務(wù)保持關(guān)閉狀態(tài)，而且要確保只有管理者才有權(quán)操作路由器。