常用動(dòng)態(tài)路由協(xié)議安全性分析及應(yīng)用

1、常用動(dòng)態(tài)路由協(xié)議平安性分析及應(yīng)用【摘要】 路由器尋找的最正確路徑是路由協(xié)議，它 能保持各個(gè)路由器間的路由表相同，實(shí)現(xiàn)各個(gè)路由器間的相 互連通，且在網(wǎng)絡(luò)間傳遞數(shù)據(jù)包。可見，動(dòng)態(tài)路由協(xié)議是借 助路由器間的信息傳遞，計(jì)算、更新網(wǎng)絡(luò)結(jié)構(gòu)。但在此過程 中，存在一定弊端影響常用動(dòng)態(tài)路由器平安性。現(xiàn)就 BGP、 OSFP和RIP V2三種常用的動(dòng)態(tài)路由協(xié)議平安性進(jìn)行分析， 并 總結(jié)其應(yīng)用?！娟P(guān)鍵詞】 動(dòng)態(tài)路由 平安性 應(yīng)用 連接網(wǎng)絡(luò)的重要硬件設(shè)備，是路由器，它可以實(shí)現(xiàn)數(shù)據(jù) 包的傳遞。而動(dòng)態(tài)路由協(xié)議指的是路由器表的更新過程，它 能夠滿足網(wǎng)絡(luò)結(jié)構(gòu)變化的需求。常用的動(dòng)態(tài)路由分為三種， 分別為BGP協(xié)議、OSPF協(xié)

2、議和RIP V2協(xié)議。如果在數(shù)據(jù)包 傳遞過程中，協(xié)議出現(xiàn)漏洞，那么容易被人利用，給網(wǎng)絡(luò)安 全造成嚴(yán)重影響。所以，分析常用動(dòng)態(tài)路由協(xié)議平安性顯得 尤為重要。一、常用動(dòng)態(tài)路由協(xié)議平安性分析1.1 BGP協(xié)議平安性 多個(gè)相互連接的商業(yè)網(wǎng)絡(luò)共同組成了 Internet 。各個(gè) ISP 或企業(yè)網(wǎng)絡(luò)，需要定義一個(gè)自治系統(tǒng)號(hào)，即ASN,它們的分配由IANA完成1。自治系統(tǒng)號(hào)共有65535個(gè)，其中私用保 留的為65512 65535。路由信息在共享狀態(tài)下，此號(hào)碼的維護(hù)方式可以采取層的方式。BGP采用會(huì)話管理，其中 TCP的 179 端口可起到觸發(fā)作用，使 Keepalive 和 update 信息被觸 發(fā)，且

3、累及其鄰居，從而更新和傳播BGP路由表。然而，因BGP的傳輸方式以TCP為主，那么容易導(dǎo)致BGP出現(xiàn)關(guān)于TCP的諸多問題，例如拒絕效勞攻擊，預(yù)測(cè)序 列號(hào)，SYN Flood攻擊等。BGP主要是利用 TCP的序列號(hào)，未 使用自身的序列號(hào)。所以，一旦設(shè)備應(yīng)用可預(yù)測(cè)序列號(hào)，就 容易受到該類型攻擊。在 Internet 中運(yùn)行的大局部路由器都 采用了 Cisco設(shè)備，沒有采用預(yù)測(cè)序列號(hào)方案，這就降低了 受到攻擊的風(fēng)險(xiǎn)。一些 BGP在默認(rèn)狀態(tài)下，未采用相關(guān)的認(rèn) 證機(jī)制，有些BGP繼續(xù)沿用明文密碼，這樣，大大增加了受 到攻擊的可能性。實(shí)際應(yīng)用BGP協(xié)議時(shí)，還會(huì)受到偽造報(bào)文攻擊等其他攻 擊。但通常情況下，B

4、GP主要在核心網(wǎng)的出口應(yīng)用，且配置 密碼認(rèn)證，因此，BGP協(xié)議的平安性相對(duì)較高。1.2 OSPF協(xié)議平安性復(fù)雜是OSPF運(yùn)行機(jī)制的主要特征，運(yùn)行中的諸多環(huán)節(jié) 都有可能受到攻擊者的攻擊，給OSPF帶來不同程度傷害。攻擊方式分為以下幾種。一是資源消耗攻擊。將不同類型的 OSPF報(bào)文不間斷大量發(fā)送，這樣極易導(dǎo)致攻擊實(shí)體資源枯竭，難以正常工作。例如給 OSPF發(fā)送Hello報(bào)文時(shí)，因報(bào)文 超大且鄰居列表過長(zhǎng)，鄰居路由器需要根據(jù)鄰居列表創(chuàng)立與 之對(duì)應(yīng)的鄰居結(jié)構(gòu)，從而導(dǎo)致資源過量消耗，以致枯竭。二 是Upadate報(bào)文攻擊。有時(shí) OSPF的運(yùn)轉(zhuǎn)方向會(huì)偏向于攻擊 者方向，造成該現(xiàn)象的原因，與修改LSA參數(shù)有

5、關(guān)2。在這種情況下，攻擊者可假扮成OSPF路由器，與其他路由器連接，到達(dá)Exchange狀態(tài)，甚至更高的狀態(tài)。這樣，可以使 LSA在兩者間傳遞，在這種情況下，攻擊者占據(jù)了至少一條 無需驗(yàn)證的鏈路密鑰。之后，攻擊者將虛假的LSA注入，以對(duì)OSPF攻擊。例如通過發(fā)送大量 Maxage的LSA以對(duì)Maxage 進(jìn)行攻擊等。此攻擊方式極易導(dǎo)致OSPF路由域發(fā)生混亂。局部攻擊者將LSA的鏈路描述和花費(fèi)等信息修改，致使OSPF路由器的路由計(jì)算錯(cuò)誤，造成信息被傳遞至不平安網(wǎng)絡(luò)。三 是Hello報(bào)文攻擊。Hello報(bào)文被OSPF路由器定期發(fā)送，以 找到維護(hù)鄰與鄰居接節(jié)點(diǎn)關(guān)系。一旦 Hello 報(bào)文中的參數(shù)出

6、現(xiàn)錯(cuò)誤，鄰居路由器會(huì)丟棄Hello報(bào)文，出現(xiàn)鄰居 Down。除此之外，在鏈路上直接阻絕 Hello 報(bào)文也容易引發(fā)鄰居 Down。 如果攻擊者破解了 OSPF驗(yàn)證體系，或者OSPF根本沒有加密， 攻擊者只需將報(bào)文中的局部參數(shù)修改，即可攻擊OSPF。通過上述分析，可以發(fā)現(xiàn) OSPF路由協(xié)議運(yùn)行平安性較 差，所以，需要采取措施提高其平安性。主要包括兩點(diǎn)，一 是增加驗(yàn)證，驗(yàn)證是保護(hù) OSPF的第一步，所以，OSPF內(nèi)的 全部路由器需要增加有效的加密認(rèn)證機(jī)制。二是設(shè)計(jì)入侵檢 測(cè)系統(tǒng)。通過該方式，能夠發(fā)現(xiàn)路由器中出現(xiàn)的諸多沖突信 息。包括路由器層面、路由域?qū)用婕叭说膶用?。就路由層?而言，需要確保操作系

7、統(tǒng)具備平安性，對(duì)于路由域?qū)用?，?點(diǎn)考慮全部鏈路與邊緣接入實(shí)體的平安性。人的層面，是要 加強(qiáng)網(wǎng)絡(luò)監(jiān)管，確保網(wǎng)絡(luò)平安運(yùn)行。1.3 RIP V2協(xié)議平安性RIP V2與RIP V1的傳輸相同，都是利用不可靠的 UDP協(xié) 議。但RIP V2采用兩種認(rèn)證機(jī)制，包括密文和明文等。因明 文易被嗅探，故在使用密文加密。RIP協(xié)議的認(rèn)證機(jī)制選用通用的MD5，且報(bào)文格式以 RFC1723為標(biāo)準(zhǔn)。RIP認(rèn)證以單 向?yàn)橹鳎?R2 發(fā)送出的路由被 R1 接受，反之無法接受。發(fā)送 的報(bào)文都采用 MD5 實(shí)施加密，故不易被破解。假設(shè)發(fā)送的 路由信息未經(jīng)認(rèn)證，那么就會(huì)被丟棄。這種情況下，被篡改 的報(bào)文就不會(huì)更新。另外，RI

8、P協(xié)議路由更新需要配置一致的密碼，故RIP協(xié)議平安性較高。二、常用動(dòng)態(tài)路由協(xié)議應(yīng)用2.1 BGP協(xié)議的應(yīng)用在BGP網(wǎng)絡(luò)，多個(gè)自治系統(tǒng)可來源于相同的一根網(wǎng)絡(luò)。 自治系統(tǒng)與自治系統(tǒng)間采用 eBGP播送路由，而在自治系統(tǒng) 內(nèi)部，采用iBGP播送路由3。無環(huán)路路由信息在自治系統(tǒng) 間實(shí)現(xiàn)自動(dòng)交換，是 BGP的主要作用。利用交換信息，構(gòu)建自治區(qū)域拓?fù)鋱D，以將路由環(huán)路消除，采用用戶配置路由策 略。2.2 OSPF協(xié)議的應(yīng)用內(nèi)部網(wǎng)管路由協(xié)議的一種是 OSPF目前受到廣泛應(yīng)用。 OSPF作用是提供AS內(nèi)的動(dòng)態(tài)選擇路由。OSPF的平安機(jī)制建 立，包括三個(gè)方面。一是程序性約束與檢驗(yàn)。接收 OSPF報(bào)文的檢驗(yàn)過程十

9、分嚴(yán)格，分為OSPF據(jù)悉協(xié)議報(bào)文頭、OSPF協(xié)議包頭和IP頭 檢驗(yàn)。常規(guī)性檢驗(yàn) OSPF報(bào)文是十分必要的，它既可降低協(xié) 議運(yùn)行錯(cuò)誤出現(xiàn)概率，又能使攻擊難度大大增加。二是信息 隱藏和層次路由。把 OSPF分為兩個(gè)層次路由協(xié)議，且進(jìn)行 通告時(shí)，可以只通知會(huì)聚的路由信息，也可制定相應(yīng)策略不 通知，這樣，即可實(shí)現(xiàn)重要信息隱藏。改善路由可拓展性是 設(shè)計(jì)層次路由機(jī)制的主要目標(biāo)，它可保障OSPF更加平安。三是OSPF自還擊和可靠泛洪。自還擊作為防止 OSPF受到攻 擊的有效機(jī)制，可降低攻擊者偽造 LSA從而提高OSPF平安 性。泛洪機(jī)制能夠保證相同區(qū)域內(nèi)的路由器具備相同的拓?fù)?數(shù)據(jù)庫，具備較強(qiáng)的可靠性。2.

10、3 RIP V2協(xié)議的應(yīng)用RIP是應(yīng)用普遍且最早的內(nèi)部網(wǎng)關(guān)協(xié)議。它的使用十分 廣泛，具備良好的可靠性，因其簡(jiǎn)單有利于配置。但RIP只能在小型同構(gòu)網(wǎng)路中應(yīng)用，主要是因?yàn)樗淖畲笳军c(diǎn)數(shù)。其最大站點(diǎn)數(shù)是 15，只要超過 15 個(gè)站點(diǎn)，其他目的地就會(huì)被 標(biāo)記，且無法到達(dá)。另外，RIP 海域引發(fā)網(wǎng)絡(luò)播送風(fēng)暴，主要原因與其路由信息播送傳播頻率有關(guān)。三、總結(jié) 常用動(dòng)態(tài)路由協(xié)議在平安性方面，均存在一些隱患。因 此，需要采取有效方式進(jìn)行解決。通常采用建立實(shí)用認(rèn)證機(jī) 制方式，可以降低存在風(fēng)險(xiǎn)。但因路由協(xié)議認(rèn)證方式存在差 異，需要應(yīng)用其他措施予以處理。密文認(rèn)證是提高常用動(dòng)態(tài) 路由平安性的最正確方式。經(jīng)過處理，動(dòng)態(tài)路由器的平安性 會(huì)顯著提升，從而確