常用動(dòng)態(tài)路由協(xié)議安全性分析

1、 常用動(dòng)態(tài)路由協(xié)議安全性分析1題 目 常用動(dòng)態(tài)路由協(xié)議安全性分析 聲聲 明明本人鄭重聲明：所呈交的畢業(yè)論文，是本人在指導(dǎo)教師的指導(dǎo)本人鄭重聲明：所呈交的畢業(yè)論文，是本人在指導(dǎo)教師的指導(dǎo)下，獨(dú)立進(jìn)行研究所取得的成果下，獨(dú)立進(jìn)行研究所取得的成果. .除文中已經(jīng)注明引用的內(nèi)容外，除文中已經(jīng)注明引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)過(guò)的科研成果，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)過(guò)的科研成果，也不包含為獲得其他教育機(jī)構(gòu)的學(xué)位或證書(shū)而使用過(guò)的材料。我承也不包含為獲得其他教育機(jī)構(gòu)的學(xué)位或證書(shū)而使用過(guò)的材料。我承諾，論文中的所有內(nèi)容均真實(shí)、可信。本論文的成果屬于云南警官諾，論文

2、中的所有內(nèi)容均真實(shí)、可信。本論文的成果屬于云南警官學(xué)院所有學(xué)院所有. .論文（設(shè)計(jì)）作者簽名論文（設(shè)計(jì)）作者簽名： 李世悅李世悅20162016 年年 6 6 月月 1515 日日 常用動(dòng)態(tài)路由協(xié)議安全性分析2目錄第一章前言3第二章路由器52.1 路由器的概念52。2 路由器的作用和功能5第三章動(dòng)態(tài)路由概述6第四章 RIP OSPF BGP4 三個(gè)協(xié)議的使用情況94。1 路由信息協(xié)議 RIP94。2OSPF 協(xié)議104。3BGP4 協(xié)議11第五章安全性分析145。1RIP 協(xié)議的安全性分析145。2OSPF 協(xié)議的安全性分析145 5。3BGP3BGP4 4 協(xié)議的安全性分析協(xié)議的安全性分析1

3、9第六章總結(jié)19小結(jié)21致謝22常用動(dòng)態(tài)路由協(xié)議安全性分析 計(jì)算機(jī)科學(xué)專(zhuān)業(yè)與技術(shù) 常用動(dòng)態(tài)路由協(xié)議安全性分析3學(xué)生：李世悅 指導(dǎo)老師:王鐵【摘摘 要要】：動(dòng)態(tài)路由協(xié)議的應(yīng)用越來(lái)越廣泛.針對(duì)路由協(xié)議的攻擊在實(shí)際應(yīng)用中經(jīng)常發(fā)生,所以路由協(xié)議的安全性備受關(guān)注,而在生活中，為了保護(hù)網(wǎng)絡(luò)安全而選擇適合的路由協(xié)議是非常有必要的。本文分析了路由協(xié)議安全性原理并解析了路由協(xié)議的實(shí)際應(yīng)用，以指導(dǎo)人們選擇適合的路由協(xié)議，達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的. 【關(guān)鍵字關(guān)鍵字】：動(dòng)態(tài)路由協(xié)議，安全性,路由器【 abstract 】 ： Router;Dynamic Routing Protocol；Router【 key wor

4、ds 】 ： The application of dynamic routing protocol is increasingly wider and wider。 As a result， the attack on dynamic routing protocols occurs constantly, so there is much focus on the safety of this protocol。 In life, it is necessary for people to chose proper protocols to protect network security

5、. This paper is going to analyze the principles that secure the safety of dynamic routing protocols and the practical use of these protocols, to help people chose the proper protocols in their life and protect network security. 第一章選題原因在二十一世紀(jì)信息已經(jīng)成為重要的開(kāi)發(fā)性資源，隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,路由技術(shù)在網(wǎng)絡(luò)中變?yōu)橹陵P(guān)重要,路由器也成為重要的網(wǎng)絡(luò)設(shè)備，用戶(hù)

6、的需求推動(dòng)著路由技術(shù)的發(fā)展。所以,研究網(wǎng)絡(luò)，解決網(wǎng)絡(luò)發(fā)展中的重要問(wèn)題是計(jì)算機(jī)科學(xué)與技術(shù)科學(xué)的重要任務(wù)。本論文研究常用動(dòng)態(tài)路由協(xié)議安全性。以直觀(guān)，簡(jiǎn)潔，方便的形式展現(xiàn),讓人們更好的了解網(wǎng)絡(luò)。近幾年來(lái),人們都在廣泛運(yùn)用計(jì)算機(jī)技術(shù).計(jì)算機(jī)網(wǎng)絡(luò)對(duì)人們的生活，工作和學(xué)習(xí)產(chǎn)生著重要影響，在網(wǎng)絡(luò)發(fā)達(dá)的時(shí)代,掌握網(wǎng)絡(luò)，安全的使用計(jì)算機(jī)能帶給人們無(wú)限的好處。 網(wǎng)絡(luò)時(shí)代的到來(lái)給教育帶來(lái)了前景.通過(guò)研究網(wǎng)絡(luò)技術(shù)使我們不斷進(jìn)步。跟上時(shí)代發(fā)展的腳步。 常用動(dòng)態(tài)路由協(xié)議安全性分析4第二章路由器 2。1 路由器的概念路由器又稱(chēng)路徑器,它是計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的一種，它將各種各樣的數(shù)據(jù)傳送至目的地這個(gè)過(guò)程就稱(chēng)為路由。路由器就是連接

7、兩個(gè)以上各別網(wǎng)絡(luò)的設(shè)備,路由工作是在網(wǎng)絡(luò)層.1路由器是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它是根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由,以最佳的路徑按照前后順序發(fā)送信號(hào). 路由器是互聯(lián)網(wǎng)絡(luò)的樞紐。目前各個(gè)行業(yè)已經(jīng)廣泛應(yīng)用路由器，各種不同檔次的產(chǎn)品已成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的關(guān)鍵。路由器依靠轉(zhuǎn)發(fā)網(wǎng)絡(luò)層數(shù)據(jù)包來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián).路由器首先在接口上按照物理層協(xié)議得到比特流，然后按照數(shù)據(jù)鏈路層協(xié)議成幀，在數(shù)據(jù)幀中得到網(wǎng)絡(luò)層包后根據(jù)網(wǎng)絡(luò)層地址以及路由信息來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包。發(fā)送數(shù)據(jù)包則需要根據(jù)發(fā)送端口鏈路層協(xié)議成幀，然后根據(jù)發(fā)送端口物理層協(xié)議將比特流流出,路由器的路由信息可以通

8、過(guò)手工輸入或者通過(guò)運(yùn)行路由協(xié)議從相鄰路由器獲取。 圖 2.1 路由器2。2 路由器的作用和功能2 2。2 2。1 1 連通不同的網(wǎng)絡(luò)連通不同的網(wǎng)絡(luò)換個(gè)角度來(lái)分析，拿過(guò)濾網(wǎng)絡(luò)流量來(lái)說(shuō)，路由器的功能和交換機(jī)與網(wǎng)橋較相似。路由器主要用于互聯(lián)局域網(wǎng)和廣域網(wǎng)、實(shí)現(xiàn)不同網(wǎng)絡(luò)間的通信。而路由器與工作在網(wǎng)絡(luò)物理層從物理上劃分網(wǎng)段的交換機(jī)不一樣，路由器對(duì)網(wǎng)絡(luò)進(jìn)行劃分主要是使用專(zhuān)門(mén)的軟件協(xié)議從邏輯上進(jìn)行操作。例如，可以把網(wǎng)絡(luò)劃分成多個(gè)子網(wǎng)段的支持 IP 協(xié)議的路由器，1 常用動(dòng)態(tài)路由協(xié)議安全性分析5可以通過(guò)路由器的只有指向特殊 IP 地址的網(wǎng)絡(luò)流量.對(duì)于每一個(gè)接收到的數(shù)據(jù)包,他們的校驗(yàn)值都會(huì)被路由器重新計(jì)算,并且

9、寫(xiě)入新的物理地址。所以,使用路由器轉(zhuǎn)發(fā)和過(guò)濾數(shù)據(jù)的速度通常要慢于僅僅查看數(shù)據(jù)包物理地址的交換機(jī).然而,就部分結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)來(lái)說(shuō)，使用路由器可以擴(kuò)大網(wǎng)絡(luò)的整體效率.自動(dòng)過(guò)濾網(wǎng)絡(luò)廣播是路由器的另外一個(gè)顯著優(yōu)勢(shì)。總的來(lái)說(shuō)，即插即用的交換機(jī)要比在網(wǎng)絡(luò)中添加路由器的整個(gè)安裝過(guò)程要容易很多。2.2。2 選擇信息傳送的線(xiàn)路選擇信息傳送的線(xiàn)路部分路由器只支持單一協(xié)議，但是大部分路由器能夠支持多種協(xié)議的傳輸，也就是多協(xié)議路由器。因?yàn)槊恳环N協(xié)議都有自己?jiǎn)为?dú)的規(guī)則，所以降低路由器的性能的原因之一就有在一個(gè)路由器中完成多種協(xié)議的算法.為經(jīng)過(guò)路由器的每個(gè)數(shù)據(jù)幀找尋一條最佳傳輸路徑是路由器的主要工作，并將該數(shù)據(jù)有效地傳送

10、到目的站點(diǎn).所以，路由器算法的關(guān)鍵在于選擇最佳路徑的策略。為了完成這項(xiàng)工作,在路由器中存在者很多數(shù)據(jù)是關(guān)于傳輸路徑的即路徑表，它是用來(lái)供路由選擇使用。子網(wǎng)的標(biāo)志信息、網(wǎng)上路由器的個(gè)數(shù)和下一個(gè)路由器的名字等內(nèi)容保存在路徑表中.路徑表可以從以下幾方面操作：1、是由系統(tǒng)管理員固定設(shè)置；2、由系統(tǒng)動(dòng)態(tài)修改;3、由路由器自動(dòng)調(diào)整;4、由主機(jī)控制。靜態(tài)路徑表是由系統(tǒng)管理員事先設(shè)置好固定的路徑表,通常是在系統(tǒng)安裝時(shí)就根據(jù)網(wǎng)絡(luò)的配置情況預(yù)先設(shè)定的,靜態(tài)路徑表不會(huì)因?yàn)槲磥?lái)網(wǎng)絡(luò)結(jié)構(gòu)的變化而改變。動(dòng)態(tài)路徑表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況而自動(dòng)調(diào)整的路徑表.依據(jù)路由選擇協(xié)議提供的功能，路由器能自動(dòng)學(xué)習(xí)和記憶網(wǎng)絡(luò)運(yùn)行的

11、情況。第三章動(dòng)態(tài)路由概述 把數(shù)據(jù)從一個(gè)地方傳送到另外一個(gè)地方的這個(gè)過(guò)程稱(chēng)為路由.動(dòng)態(tài)路由是指網(wǎng)絡(luò)中的路由器相互之間的通信，傳遞路由信息和利用收到的路由信息然后再更新路由表的過(guò)程。這個(gè)過(guò)程它能夠快速，準(zhǔn)確地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。動(dòng)態(tài)路由要基于某種路由協(xié)議實(shí)現(xiàn).假如路由更新信息一旦表明發(fā)生了相關(guān)的網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并且隨之發(fā)出新的路由更新信息。這些信息就會(huì)通過(guò)各個(gè)網(wǎng)絡(luò)使得各路由器重新啟動(dòng)其路由算法，然后更新各自的路由表。動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)比較合適使用動(dòng)態(tài)路由。各種各樣的動(dòng)態(tài)路由協(xié)議會(huì)對(duì)網(wǎng)絡(luò)帶寬和 CPU 資源產(chǎn)生不同程度的占用.可以自動(dòng)建立自

12、己路由表并且能夠依據(jù)實(shí)際情況的變化適當(dāng)?shù)剡M(jìn)行整改的即動(dòng)態(tài)路由。動(dòng)態(tài)路由器上的路由表項(xiàng)交換彼此的信息是通過(guò)路由器之間的相互連接進(jìn)行的,接下來(lái)按照一定的算法優(yōu)化出來(lái)；為了應(yīng)對(duì)反復(fù)變化的網(wǎng)絡(luò),路由信息必須在時(shí)間間隙里不斷更新、變化，以此來(lái)隨時(shí)獲得最佳的尋路效果. 常用動(dòng)態(tài)路由協(xié)議安全性分析6 常用的動(dòng)態(tài)路由協(xié)議有 RIP,OSPF,BGP。RIP,OSPF 運(yùn)行在自治系統(tǒng)內(nèi)稱(chēng)為域內(nèi)路由協(xié)議.而 BGP 路由協(xié)議運(yùn)行在自治系統(tǒng)間第四章 RIP OSPF BGP-4 三個(gè)協(xié)議使用情況 4。1 路由信息協(xié)議 RIP4.1。1 路由信息協(xié)議概述 路由信息協(xié)議（RIP)是一種內(nèi)部網(wǎng)關(guān)協(xié)議。它是一種最著名，歷史

13、最悠久的內(nèi)部網(wǎng)關(guān)協(xié)議動(dòng)態(tài)路由協(xié)議。并且還屬于距離向量協(xié)議。路由信息協(xié)議是由施樂(lè)公司在 PUB 和XNS 路由協(xié)議基礎(chǔ)上發(fā)展而來(lái)的。路由信息協(xié)議最早就是由施樂(lè)研究出來(lái)的.后來(lái)因?yàn)榧又荽髮W(xué)在許多局域網(wǎng)上采用了 RIP 協(xié)議，路由信息協(xié)議在 UNIX 上也得到了普遍實(shí)現(xiàn)。這樣一來(lái)就推動(dòng)了路由信息的廣泛應(yīng)用.對(duì)路由信息的推廣起到了非常大的促進(jìn)作用.雖然路由信息協(xié)議最早為局域網(wǎng)設(shè)計(jì),但是現(xiàn)在路由信息協(xié)議已經(jīng)被應(yīng)用到城域網(wǎng)甚至廣域網(wǎng)中。所以說(shuō)現(xiàn)在路由信息協(xié)議的應(yīng)用范圍已經(jīng)不僅僅局限在局域網(wǎng)，路由信息協(xié)議是因特網(wǎng)協(xié)議的重要組成部分，它是一種簡(jiǎn)單的路由協(xié)議.并且在英特網(wǎng)中最早得到了廣泛的應(yīng)用。路由信息協(xié)議是鏈

14、路狀態(tài)的路由議,它被設(shè)計(jì)為用于單一自治系統(tǒng)的內(nèi)部。而每一個(gè)路由器都維護(hù)一個(gè)描述自治系統(tǒng)拓?fù)涞南嗤瑪?shù)據(jù)庫(kù).而最短路徑樹(shù)計(jì)算路由的方法就是路由器根據(jù)上述描述拓?fù)涞臄?shù)據(jù)庫(kù)構(gòu)造. 路由信息協(xié)議在 1986 年被 IETE 標(biāo)準(zhǔn)化為 RFC1058。該協(xié)議是開(kāi)放標(biāo)準(zhǔn)，適用于小網(wǎng)絡(luò)內(nèi)部網(wǎng)關(guān)協(xié)議.4.1。2 路由信息協(xié)議 RIP 工作原理 運(yùn)行路由信息協(xié)議的路由器定期的將路由表發(fā)送給相鄰的路由器，路由器在收到相鄰路由器發(fā)送的路由表之后就將每個(gè)路由的距離加 1 然后和自身路由表中的信息進(jìn)行對(duì)比，如果得到的距離大于和等于自身路由表中路由的距離則忽略收到的路由最后再刷新該路由條目，如果得到的距離小于自身路由表中路

15、由的距離或者自身路由表中沒(méi)有所比較的路由的話(huà)就將收到的路由信息寫(xiě)入路由表，距離為原距離增加 1 且下一跳為發(fā)送該路由信息的路由器,當(dāng)距離為 16 時(shí)認(rèn)為路由不可達(dá)，運(yùn)行 RIP 的網(wǎng)絡(luò)規(guī)模有限，路徑最長(zhǎng)距離為 15.路由器定期清除長(zhǎng)時(shí)間未刷新過(guò)的路由條目以防止某路由器死機(jī)后產(chǎn)生的路由黑洞。網(wǎng)絡(luò)中所有運(yùn)行 RIP 的路由器不了解整個(gè)網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)，簡(jiǎn)單的相信能從某一個(gè)相鄰路由器然后經(jīng)過(guò)某一個(gè)特定距離能夠到達(dá)目標(biāo)網(wǎng)絡(luò). 常用動(dòng)態(tài)路由協(xié)議安全性分析74。2OSPF 協(xié)議4。2。1OSPF 協(xié)議概述OSPF 是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議,它是對(duì)鏈路狀態(tài)路由協(xié)議的一種實(shí)現(xiàn)運(yùn)作于自治系統(tǒng)的內(nèi)部。隨著當(dāng)今科學(xué)技術(shù)的

16、快速進(jìn)步和網(wǎng)絡(luò)規(guī)模的不斷壯大,距離向量協(xié)議的各種缺陷隨之凸顯。所以進(jìn)行了鏈路狀態(tài)協(xié)議的嘗試，鏈路就是指路由器之間的鏈接，而狀態(tài)就是指路由器之間連接的時(shí)延,可用性和帶寬等屬性。和其它大多數(shù)路由協(xié)議不同的是 OSPF 協(xié)議不依賴(lài)于傳輸層協(xié)議提供數(shù)據(jù)傳輸,錯(cuò)誤檢查和恢復(fù)服務(wù)，數(shù)據(jù)包直接封裝在網(wǎng)關(guān)協(xié)議內(nèi)傳輸。OSPF 最初是在 RFC1131 中被規(guī)范,之后很快的就被 RFC1247 替代了，RFC2178 和RFC2328 制定出來(lái)了之后，OSPF 也得到了進(jìn)一步的完善,目前 RFC2328 是被廣泛實(shí)現(xiàn)的最新版本。OSPF 協(xié)議被設(shè)計(jì)使用在單一的自治系統(tǒng)內(nèi)部,它是鏈路狀態(tài)的路由協(xié)議。描述自治系統(tǒng)拓

17、撲的相同數(shù)據(jù)庫(kù)都被每一個(gè)路由器來(lái)維護(hù);OSPF 不能被用作為其它協(xié)議的路由.OSPF 協(xié)議專(zhuān)門(mén)為 IP 所設(shè)計(jì).OSPF 協(xié)議使用 IP 數(shù)據(jù)包頭中的 IP 地址來(lái)計(jì)算路徑。另外OSPF 消息不需要 UDP 或 TCP 等傳輸層協(xié)議承載，都直接在 IP 包中直接發(fā)送。相同開(kāi)銷(xiāo)的多條路徑可以得到 OSPF 的支持,同時(shí) OSPF 也支持將自治系統(tǒng)劃分區(qū)域通過(guò)分層管理來(lái)減少路由協(xié)議帶寬開(kāi)銷(xiāo)，此外 OSPF 協(xié)議還支持認(rèn)證.4.2。2OSPF 協(xié)議主要優(yōu)點(diǎn)協(xié)議主要優(yōu)點(diǎn)1、OSPF 是真正的 LOOP FREE 路由協(xié)議。源自其算法鏈路狀態(tài)及最短路徑樹(shù)算法的優(yōu)點(diǎn).2、OSPF 的收斂速度快，它將路由變

18、化傳遞到整個(gè)自治系統(tǒng)的所用時(shí)間非常短。3、由于區(qū)域劃分概念的提出.自治系統(tǒng)被劃分為不同區(qū)域后，通過(guò)區(qū)域之間對(duì)路由信息的摘要，從而減少了需傳遞的路由信息數(shù)量。同時(shí)也保證了路由信息不會(huì)因?yàn)榫W(wǎng)絡(luò)規(guī)模的擴(kuò)大而產(chǎn)生急劇膨脹.4、由于 NSSA 區(qū)域的概念被提出，從而使得 NSSA 區(qū)域內(nèi)不再傳播引入的 ASE 路由。5、在區(qū)域邊界路由器(ABR）上支持路由聚合,能夠大大減少了區(qū)域間的路由信息傳遞。6、OSPF 通過(guò)嚴(yán)格的劃分得出了路由的四個(gè)級(jí)別，為路由選擇提供了可信的保障。 常用動(dòng)態(tài)路由協(xié)議安全性分析87、OSPF 支持基于接口的明文及 MD5 的驗(yàn)證，它具有良好的安全性。8、OSPF 能夠適應(yīng)于各種各

19、樣規(guī)模的網(wǎng)絡(luò)，最多甚至可以達(dá)到數(shù)千臺(tái). 4.3BGP4 協(xié)議4。3。1BGP-4 協(xié)議概述 BGP 是運(yùn)行在自治系統(tǒng)之間的路由協(xié)議,自治系統(tǒng)內(nèi)部的路由選擇由域內(nèi)路由協(xié)議決定,自治系統(tǒng)之間以自治系統(tǒng)為單位路徑的路徑則由 BGP 決定，BGP 運(yùn)行在 TCP 之上，這一點(diǎn)與 OSPF，ISIS，RIP 都不同。BGP 由外部網(wǎng)關(guān)協(xié)議發(fā)展而來(lái) BGP 在 1989 年標(biāo)準(zhǔn)化成 BGP-1,到 1993 年定型稱(chēng)為 BGP4。BGP4 是目前最廣泛使用的 BGP 版本。能夠設(shè)計(jì)處理因特網(wǎng)的大小的協(xié)議只有 BGP 一種協(xié)議。同時(shí) BGP協(xié)議也是唯一一種能夠妥善處理好非路由主機(jī)多路連接的協(xié)議.這個(gè)過(guò)程是通

20、過(guò) EGP 來(lái)實(shí)現(xiàn)的。和其他的 BGP 系統(tǒng)交換網(wǎng)絡(luò)可達(dá)信息是 BGP 交互系統(tǒng)最主要的功能。可達(dá)信息經(jīng)過(guò)的自治系統(tǒng)（AS）清單上的信息能夠有效地構(gòu)造 AS 互聯(lián)的圖像并由此清除路由環(huán)路，同時(shí)在 AS 級(jí)別上實(shí)施了策略決策.BGP-4 為支持無(wú)類(lèi)域間路由提供了一套新的機(jī)制.支持網(wǎng)絡(luò)前綴的廣播、取消 BGP網(wǎng)絡(luò)中“類(lèi)”的概念都屬于這些機(jī)制.同時(shí) BGP4 還引入機(jī)制支持路由聚合，包括 AS 路徑的聚合。這些改變?yōu)榻ㄗh的超網(wǎng)方案提供了支持。第五章安全性分析5。1RIP 協(xié)議安全性分析網(wǎng)絡(luò)中路由器之間的相互通信、傳遞路由信息和利用收到的路由信息更新路由表的過(guò)程就稱(chēng)之為動(dòng)態(tài)路由協(xié)議。動(dòng)態(tài)路由協(xié)議它是一

21、個(gè)過(guò)程。它能夠及時(shí)的適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化.常用的動(dòng)態(tài)路由協(xié)議主要有:RIP V2 協(xié)議、OSPF 協(xié)議、BGP 協(xié)議.5。1。1RIP 協(xié)議的優(yōu)缺點(diǎn):RIP 協(xié)議最合適用于小規(guī)模網(wǎng)絡(luò)，它配置簡(jiǎn)單。RIP 協(xié)議的缺點(diǎn)包括: 常用動(dòng)態(tài)路由協(xié)議安全性分析91 大量廣播：RIP 每隔 30 秒就會(huì)向所有鄰居廣播一次完整的路由表，這樣一來(lái)就會(huì)占用寶貴的帶寬資源,如果廣域網(wǎng)鏈路較慢就會(huì)出現(xiàn)很多問(wèn)題2RIP 缺乏成本概念:網(wǎng)絡(luò)延遲和鏈路成本的概念在 RIP 中沒(méi)有體現(xiàn)當(dāng)采用 RIP 時(shí)，路由/轉(zhuǎn)發(fā)只是由跳線(xiàn)決定,所以往往很容易導(dǎo)致無(wú)法選擇出最佳路由例如，一條鏈路擁有較高的帶寬,但是由于跳數(shù)較多，從而導(dǎo)致難以選

22、擇3RIP 支持的網(wǎng)絡(luò)規(guī)模有限：RIP 只能適用于規(guī)模較少的網(wǎng)絡(luò)因?yàn)?RIP 協(xié)議最多只能支持 16 個(gè)步跳，一旦超過(guò) 16 個(gè)步跳時(shí),網(wǎng)絡(luò)將認(rèn)為無(wú)法到達(dá).5.1.2RIP V2 的應(yīng)用 RIP 協(xié)議有著簡(jiǎn)單、可靠，便于配置的優(yōu)點(diǎn)。它是一種使用廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議。不足的是 RIP 只適用于小型的同構(gòu)網(wǎng)絡(luò)，其它的網(wǎng)絡(luò)就不能適用。由于 RIP 協(xié)議允許的最大站點(diǎn)數(shù)是 15，所以只要超過(guò) 15 個(gè)站點(diǎn)的目的地都不會(huì)被標(biāo)記。造成網(wǎng)絡(luò)的廣播風(fēng)暴的主要原因之一也就是每隔 30 秒一次的路由信息廣播.5。1。3RIP V2 的安全性分析RIP V2 協(xié)議模擬攻擊過(guò)程：由于 RIP 協(xié)議是通過(guò) UDP 協(xié)議固

23、定端口 520vrouter.ip。address.2 來(lái)掃描 520 端口，從而來(lái)確認(rèn)該網(wǎng)絡(luò)是否使用 RIP 協(xié)議，然后通過(guò)sniffer 來(lái)嗅探路由更新包，然后可以篡改路由更新包從而改變路由信息，這樣就可以讓原先的路由協(xié)議失效.RIP V2 和 RIP V1 都是使用 UDP 協(xié)議進(jìn)行傳輸,UDP 協(xié)議不可靠.但RIPV2 提供兩種認(rèn)證機(jī)制。一種是明文認(rèn)證機(jī)制另一種是密文認(rèn)證機(jī)制。明文機(jī)制和密文機(jī)制相比較由于明文機(jī)制更容易被嗅探到,所以通常采用密文加密.RIP 協(xié)議加密是采用通用的 MD5 認(rèn)證,加密的同時(shí)使用的是 RFC1723 標(biāo)準(zhǔn)的報(bào)文格式.RIP 密文認(rèn)證過(guò)程:R1 能接受 R2

24、發(fā)送過(guò)來(lái)的路由,否則就不能接受 R2 發(fā)送過(guò)來(lái)的路由。RIP 的認(rèn)證是單向的，由于 RIP 密文認(rèn)證過(guò)程發(fā)送的報(bào)文都是經(jīng)過(guò) MD5 加密，因此不會(huì)被破解,從而起到了保護(hù)作用,而那些由于沒(méi)有認(rèn)證過(guò)的路由器發(fā)送過(guò)來(lái)的路由信息就會(huì)被丟棄掉，這樣就可以防止路由信息通過(guò)被篡改過(guò)的報(bào)文而被更新.而且所有起用 RIP 協(xié)議的路由器必須配置相同的密碼才能進(jìn)行路由更新,這樣使路由器起用 RIP 協(xié)議時(shí)避免受到攻擊. 常用動(dòng)態(tài)路由協(xié)議安全性分析10 5。2OSPF 協(xié)議的安全性分析5。2。1 OSPF 協(xié)議的應(yīng)用：OSPF 是當(dāng)前應(yīng)用最廣泛的內(nèi)部網(wǎng)關(guān)路由協(xié)議(Interior Gateway Protocol,I

25、GP)，主要提供自治系統(tǒng)（Autonomous System，AS)內(nèi)的動(dòng)態(tài)選擇路由。OSPF 的三個(gè)內(nèi)建安全機(jī)制對(duì)于 OSPF 協(xié)議的安全運(yùn)行是極其重要的。以下是 OSPF 的三個(gè)內(nèi)建安全機(jī)制：1 可靠泛洪和 OSPF 自反擊:OSPF 通過(guò)泛洪來(lái)進(jìn)行鏈路狀態(tài)通告的傳播，通過(guò)一種類(lèi)似 TCP的確認(rèn)重傳機(jī)制 OSPF 保證所進(jìn)行的泛洪是可靠的,可靠泛洪機(jī)制確保同一區(qū)域內(nèi)的路由器有同樣的拓?fù)鋽?shù)據(jù)庫(kù).OSPF 自反擊是一種防止攻擊 OSPF 的有效機(jī)制，它將使攻擊者費(fèi)盡心機(jī)偽造的 LSA 很難真正達(dá)到被其它路由器利用從而影響路由選擇的實(shí)效。 2 層次路由和信息隱藏：層次路由機(jī)制的設(shè)計(jì)是為了解決路由

26、的可擴(kuò)展性問(wèn)題，即減少路由表大小、帶寬、路由計(jì)算的資源，增強(qiáng)穩(wěn)定性等等,使 OSPF 更安全。OSPF 通過(guò)將區(qū)域劃分為骨干區(qū)和非骨干區(qū)的方式使得 OSPF 成為一個(gè)基于兩個(gè)層次的路由協(xié)議在進(jìn)行通告的時(shí)候,可以設(shè)置相應(yīng)的策略不通告或只通告匯聚的路由信息等方式隱藏要被通告的區(qū)域中的某些重要的信息.3 程序性檢驗(yàn)及約束:OSPF 報(bào)文的接收要經(jīng)過(guò)嚴(yán)格的檢驗(yàn)過(guò)程,分三個(gè)階段:IP 頭、OSPF協(xié)議包頭和 OSPF 具體協(xié)議報(bào)文頭的檢驗(yàn).OSPF 報(bào)文的這種常規(guī)性檢驗(yàn)是必要的,它可以減少協(xié)議運(yùn)行的錯(cuò)誤，并增加了攻擊的難度.5.2.2 OSPF 安全性分析： OSPF 整個(gè)運(yùn)行機(jī)制相對(duì)比較復(fù)雜,其運(yùn)行過(guò)

27、程中的很多環(huán)節(jié)都有可能被攻擊者開(kāi)發(fā)為對(duì)OSPF 的攻擊，造成不同程度的危害，主要以下 3 種攻擊方式： 1 利用 Hello 報(bào)文的攻擊:OSPF 路由器定期向外發(fā)送 Hello 報(bào)文，用以發(fā)現(xiàn)鄰居和維護(hù)鄰接節(jié)點(diǎn)關(guān)系。Hello 報(bào)文中的區(qū)域 ID、Hello 間隔等參數(shù)錯(cuò)誤，會(huì)使該 Hello 報(bào)文被鄰居路由器丟棄，造成鄰居 Down，直接在鏈路上阻絕 Hello 報(bào)文當(dāng)然也可以造成這種危害.如果 OSPF 沒(méi)有進(jìn)行加密或者攻擊者攻破了 OSPF 的驗(yàn)證體系，攻擊者就可以修改報(bào)文中的某些參數(shù)來(lái)達(dá)到攻擊的效果。 2 利用 Update 報(bào)文的攻擊：為修改 LSA 參數(shù)，使 OSPF 朝著利于攻

28、擊者的方向運(yùn)轉(zhuǎn),攻擊者必須能成功的注入虛假 LSA。因此攻擊者必須能夠侵入或者假扮成一個(gè) OSPF 路由器來(lái)和其它的路由器達(dá)到 Exchange 或者更高的狀態(tài)，以使兩者間可以傳送 LSA,而且此時(shí)攻 常用動(dòng)態(tài)路由協(xié)議安全性分析11擊者顯然必須至少占有一條鏈路的密鑰或者該鏈路根本就不需要驗(yàn)證.然后，攻擊者就可以通過(guò)注入虛假 LSA 來(lái)達(dá)到攻擊的目的了，例如不間斷的發(fā)送大量 Maxage 的 LSA 進(jìn)行Maxage 攻擊等，這些攻擊方式都很可能造成 OSPF 路由域的混亂。攻擊者還可以通過(guò)修改LSA 的花費(fèi)、鏈路描述等信息來(lái)誘使 OSPF 路由器計(jì)算出錯(cuò)誤的路由,導(dǎo)致信息被傳送至不安全的網(wǎng)絡(luò).

29、 3 資源消耗攻擊：通過(guò)不間斷的大量發(fā)送各種類(lèi)型的 OSPF 報(bào)文,很可能造成被攻擊實(shí)體的資源耗竭,而無(wú)法正常工作。例如向 OSPF 的鄰居發(fā)送包含過(guò)長(zhǎng)鄰居列表的超大 Hello報(bào)文,鄰居路由器將需為鄰居列表上的每個(gè)鄰居創(chuàng)建鄰居結(jié)構(gòu),而消耗大量的資源，使資源枯竭。 OSPF 路由協(xié)議并不足夠安全，因此建議對(duì) OSPF 采用積極的主動(dòng)防護(hù)和檢測(cè)機(jī)制來(lái)保證其安全. 1 驗(yàn)證：驗(yàn)證是 OSPF 保護(hù)的第一環(huán)，因此對(duì) OSPF 路由域內(nèi)的所有 OSPF 路由器都采用有效的加密認(rèn)證機(jī)制是非常必要的,盡管我們?nèi)孕栝_(kāi)發(fā)更安全有效的加密認(rèn)證機(jī)制。2 入侵檢測(cè)系統(tǒng):設(shè)計(jì)適當(dāng)?shù)娜肭謾z測(cè)系統(tǒng)也是很有幫助的，它可以幫

30、助發(fā)現(xiàn)很多針對(duì) OSPF 的攻擊為對(duì)OSPF 的攻擊往往會(huì)因?yàn)?OSPF 的自反擊機(jī)制在路由域中產(chǎn)生很多的沖突信息. 首先是路由器層面，我們需保證操作系統(tǒng)的安全，路由器上其它所有協(xié)議的安全,路由器的物理安全等. 其次是路由域?qū)用?，這需要考慮所有邊緣接入實(shí)體和所有鏈路的安全. 最后我們要強(qiáng)調(diào)的是人的層面,應(yīng)更多地對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控和取證,積極立法，保護(hù)網(wǎng)絡(luò)安全運(yùn)行。5。2.3OSPF 協(xié)議主要缺點(diǎn)如下:OSPF 配置相對(duì)復(fù)雜由于網(wǎng)絡(luò)區(qū)域劃分和網(wǎng)絡(luò)屬性的復(fù)雜性，需要網(wǎng)絡(luò)分析員有較高的網(wǎng)絡(luò)知識(shí)水平才能配置和管理 OSPF 網(wǎng)絡(luò)路由負(fù)載均衡能力較弱OSPF 雖然能根據(jù)接口的速率連接可靠性等信息,自動(dòng)生成接

31、口路由優(yōu)先級(jí),但在通往同一目的的不同優(yōu)先級(jí)路由中，OSPF 只選擇優(yōu)先級(jí)較高的轉(zhuǎn)發(fā)，不同優(yōu)先級(jí)的路由中，不能實(shí)現(xiàn)負(fù)載分擔(dān)只有相同優(yōu)先級(jí)的，才能達(dá)到負(fù)載均衡的目的，不像 EIGRP 那樣可以根據(jù)優(yōu)先級(jí)不同,自動(dòng)匹配流量 常用動(dòng)態(tài)路由協(xié)議安全性分析125.3BGP4 協(xié)議的安全性分析5.3。1BGP 協(xié)議的應(yīng)用：在 BGP 網(wǎng)絡(luò)中，可以將一根網(wǎng)絡(luò)分成多個(gè)自治系統(tǒng)。自治系統(tǒng)間使用 eBGP 廣播路由，自制系統(tǒng)內(nèi)使用 iBGP 在自己的網(wǎng)絡(luò)內(nèi)廣播路由。BGP 的作用主要是在自治系統(tǒng)間自動(dòng)交換無(wú)環(huán)路的路由信息，通過(guò)交換帶有自治系統(tǒng)號(hào)（AS）序列屬性的路徑可達(dá)信息，來(lái)構(gòu)造自治區(qū)域的拓?fù)鋱D，從而消除路由環(huán)路

32、并且實(shí)施用戶(hù)配置的路由策略.5。3.2BGP 協(xié)議的安全性分析: Internet 由多個(gè)互相連接的商業(yè)網(wǎng)絡(luò)組成。每個(gè)企業(yè)網(wǎng)絡(luò)或 ISP 必須定義一個(gè)自治系統(tǒng)號(hào)（ASN）。這些系統(tǒng)號(hào)由 IANA 分配。共有 65535 個(gè)可用的自治系統(tǒng)號(hào),其中 6551265535 為私用保留.當(dāng)共享路由信息時(shí),這個(gè)號(hào)碼也允許以層的方式進(jìn)行維護(hù).BGP 使用可靠的會(huì)話(huà)管理，TCP 中的 179 端口用于觸發(fā) update 和 Keepalive 信息到它的鄰居，以傳播和更新 BGP 路由表。但是，由于 BGP 使用了 TCP 的傳輸方式，它就會(huì)使 BGP 引起不少關(guān)于 TCP 方面的問(wèn)題,如 SYN Floo

33、d 攻擊，序列號(hào)預(yù)測(cè)，一般拒絕服務(wù)攻擊等。BGP 沒(méi)有使用它們自身的序列而依靠 TCP 的序列號(hào)來(lái)代替，因此,如果設(shè)備采用了可預(yù)測(cè)序列號(hào)方案的話(huà),就存在這種類(lèi)型的攻擊.幸好,運(yùn)行在 Internet 上大部分重要的路由器使用了Cisco 設(shè)備，而其是沒(méi)有使用預(yù)測(cè)序列號(hào)方案。部分 BGP 的實(shí)現(xiàn)默認(rèn)情況下沒(méi)有使用任何的認(rèn)證機(jī)制,而有些可能存在和 RIP 同樣問(wèn)題的就是使用了明文密碼,將導(dǎo)致被攻擊的可能性增大。BGP 協(xié)議在實(shí)際應(yīng)用中還會(huì)受到類(lèi)似 OSPF 協(xié)議一樣的偽造報(bào)文攻擊等，但 BGP 協(xié)議一般都是應(yīng)用在核心網(wǎng)的出口并且配置密碼認(rèn)證，BGP 協(xié)議的認(rèn)證只有密文認(rèn)證,安全性相對(duì)較好.由于 B

34、GP 使用了 TCP 的傳輸方式，它就會(huì)使 BGP 引起不少關(guān)于 TCP 方面的問(wèn)題，如很普遍的 SYN Flood 攻擊，序列號(hào)預(yù)測(cè)，一般拒絕服務(wù)攻擊等。BGP 沒(méi)有使用它們自身的序列而依靠 TCP 的序列號(hào)來(lái)代替,因此，如果設(shè)備采用了可預(yù)測(cè)序列號(hào)方案的話(huà)，就存在這種類(lèi)型的攻擊，幸好的是，運(yùn)行在 Internet 上大部分重要的路由器使用了 Cisco 設(shè)備,而其是沒(méi)有使用可預(yù)測(cè)序列號(hào)方案。部分 BGP 的實(shí)現(xiàn)默認(rèn)情況下沒(méi)有使用任何的認(rèn)證機(jī)制，而有些可能存在和 RIP 同樣的問(wèn)題就是使用了明文密碼.這樣假如認(rèn)證方案不夠強(qiáng)壯的話(huà)，攻擊者發(fā)送 UPDATE 信息來(lái)修改路由表的遠(yuǎn)程攻擊的機(jī)會(huì)就會(huì)增加許多，導(dǎo)致進(jìn)一步的破壞擴(kuò)大. 常用動(dòng)態(tài)路由協(xié)議安全性分析13BGP 也可以傳播偽造的路由信息,如果攻擊者能夠從一協(xié)議如 RIP 中修改或者插入路由信息并由 BGP 重新分配。這個(gè)缺陷是存在與信任模塊中而不是其 BGP 路由協(xié)議本身.另外 BGP 的 community 配置也會(huì)有某些類(lèi)型的攻擊，原因是 community name