常用動態(tài)路由協(xié)議安全性分析

1、 常用動態(tài)路由協(xié)議安全性分析1題 目 常用動態(tài)路由協(xié)議安全性分析 聲聲 明明本人鄭重聲明：所呈交的畢業(yè)論文，是本人在指導教師的指導本人鄭重聲明：所呈交的畢業(yè)論文，是本人在指導教師的指導下，獨立進行研究所取得的成果下，獨立進行研究所取得的成果. .除文中已經(jīng)注明引用的內(nèi)容外，除文中已經(jīng)注明引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的科研成果，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的科研成果，也不包含為獲得其他教育機構(gòu)的學位或證書而使用過的材料。我承也不包含為獲得其他教育機構(gòu)的學位或證書而使用過的材料。我承諾，論文中的所有內(nèi)容均真實、可信。本論文的成果屬于云南警官諾，論文

2、中的所有內(nèi)容均真實、可信。本論文的成果屬于云南警官學院所有學院所有. .論文（設(shè)計）作者簽名論文（設(shè)計）作者簽名： 李世悅李世悅20162016 年年 6 6 月月 1515 日日 常用動態(tài)路由協(xié)議安全性分析2目錄第一章前言3第二章路由器52.1 路由器的概念52。2 路由器的作用和功能5第三章動態(tài)路由概述6第四章 RIP OSPF BGP4 三個協(xié)議的使用情況94。1 路由信息協(xié)議 RIP94。2OSPF 協(xié)議104。3BGP4 協(xié)議11第五章安全性分析145。1RIP 協(xié)議的安全性分析145。2OSPF 協(xié)議的安全性分析145 5。3BGP3BGP4 4 協(xié)議的安全性分析協(xié)議的安全性分析1

3、9第六章總結(jié)19小結(jié)21致謝22常用動態(tài)路由協(xié)議安全性分析 計算機科學專業(yè)與技術(shù) 常用動態(tài)路由協(xié)議安全性分析3學生：李世悅 指導老師:王鐵【摘摘 要要】：動態(tài)路由協(xié)議的應(yīng)用越來越廣泛.針對路由協(xié)議的攻擊在實際應(yīng)用中經(jīng)常發(fā)生,所以路由協(xié)議的安全性備受關(guān)注,而在生活中，為了保護網(wǎng)絡(luò)安全而選擇適合的路由協(xié)議是非常有必要的。本文分析了路由協(xié)議安全性原理并解析了路由協(xié)議的實際應(yīng)用，以指導人們選擇適合的路由協(xié)議，達到保護網(wǎng)絡(luò)安全的目的. 【關(guān)鍵字關(guān)鍵字】：動態(tài)路由協(xié)議，安全性,路由器【 abstract 】 ： Router;Dynamic Routing Protocol；Router【 key wor

4、ds 】 ： The application of dynamic routing protocol is increasingly wider and wider。 As a result， the attack on dynamic routing protocols occurs constantly, so there is much focus on the safety of this protocol。 In life, it is necessary for people to chose proper protocols to protect network security

5、. This paper is going to analyze the principles that secure the safety of dynamic routing protocols and the practical use of these protocols, to help people chose the proper protocols in their life and protect network security. 第一章選題原因在二十一世紀信息已經(jīng)成為重要的開發(fā)性資源，隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,路由技術(shù)在網(wǎng)絡(luò)中變?yōu)橹陵P(guān)重要,路由器也成為重要的網(wǎng)絡(luò)設(shè)備，用戶

6、的需求推動著路由技術(shù)的發(fā)展。所以,研究網(wǎng)絡(luò)，解決網(wǎng)絡(luò)發(fā)展中的重要問題是計算機科學與技術(shù)科學的重要任務(wù)。本論文研究常用動態(tài)路由協(xié)議安全性。以直觀，簡潔，方便的形式展現(xiàn),讓人們更好的了解網(wǎng)絡(luò)。近幾年來,人們都在廣泛運用計算機技術(shù).計算機網(wǎng)絡(luò)對人們的生活，工作和學習產(chǎn)生著重要影響，在網(wǎng)絡(luò)發(fā)達的時代,掌握網(wǎng)絡(luò)，安全的使用計算機能帶給人們無限的好處。 網(wǎng)絡(luò)時代的到來給教育帶來了前景.通過研究網(wǎng)絡(luò)技術(shù)使我們不斷進步。跟上時代發(fā)展的腳步。 常用動態(tài)路由協(xié)議安全性分析4第二章路由器 2。1 路由器的概念路由器又稱路徑器,它是計算機網(wǎng)絡(luò)設(shè)備的一種，它將各種各樣的數(shù)據(jù)傳送至目的地這個過程就稱為路由。路由器就是連接

7、兩個以上各別網(wǎng)絡(luò)的設(shè)備,路由工作是在網(wǎng)絡(luò)層.1路由器是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它是根據(jù)信道的情況自動選擇和設(shè)定路由,以最佳的路徑按照前后順序發(fā)送信號. 路由器是互聯(lián)網(wǎng)絡(luò)的樞紐。目前各個行業(yè)已經(jīng)廣泛應(yīng)用路由器，各種不同檔次的產(chǎn)品已成為實現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的關(guān)鍵。路由器依靠轉(zhuǎn)發(fā)網(wǎng)絡(luò)層數(shù)據(jù)包來實現(xiàn)網(wǎng)絡(luò)互聯(lián).路由器首先在接口上按照物理層協(xié)議得到比特流，然后按照數(shù)據(jù)鏈路層協(xié)議成幀，在數(shù)據(jù)幀中得到網(wǎng)絡(luò)層包后根據(jù)網(wǎng)絡(luò)層地址以及路由信息來轉(zhuǎn)發(fā)數(shù)據(jù)包。發(fā)送數(shù)據(jù)包則需要根據(jù)發(fā)送端口鏈路層協(xié)議成幀，然后根據(jù)發(fā)送端口物理層協(xié)議將比特流流出,路由器的路由信息可以通

8、過手工輸入或者通過運行路由協(xié)議從相鄰路由器獲取。 圖 2.1 路由器2。2 路由器的作用和功能2 2。2 2。1 1 連通不同的網(wǎng)絡(luò)連通不同的網(wǎng)絡(luò)換個角度來分析，拿過濾網(wǎng)絡(luò)流量來說，路由器的功能和交換機與網(wǎng)橋較相似。路由器主要用于互聯(lián)局域網(wǎng)和廣域網(wǎng)、實現(xiàn)不同網(wǎng)絡(luò)間的通信。而路由器與工作在網(wǎng)絡(luò)物理層從物理上劃分網(wǎng)段的交換機不一樣，路由器對網(wǎng)絡(luò)進行劃分主要是使用專門的軟件協(xié)議從邏輯上進行操作。例如，可以把網(wǎng)絡(luò)劃分成多個子網(wǎng)段的支持 IP 協(xié)議的路由器，1 常用動態(tài)路由協(xié)議安全性分析5可以通過路由器的只有指向特殊 IP 地址的網(wǎng)絡(luò)流量.對于每一個接收到的數(shù)據(jù)包,他們的校驗值都會被路由器重新計算,并且

9、寫入新的物理地址。所以,使用路由器轉(zhuǎn)發(fā)和過濾數(shù)據(jù)的速度通常要慢于僅僅查看數(shù)據(jù)包物理地址的交換機.然而,就部分結(jié)構(gòu)復雜的網(wǎng)絡(luò)來說，使用路由器可以擴大網(wǎng)絡(luò)的整體效率.自動過濾網(wǎng)絡(luò)廣播是路由器的另外一個顯著優(yōu)勢?？偟膩碚f，即插即用的交換機要比在網(wǎng)絡(luò)中添加路由器的整個安裝過程要容易很多。2.2。2 選擇信息傳送的線路選擇信息傳送的線路部分路由器只支持單一協(xié)議，但是大部分路由器能夠支持多種協(xié)議的傳輸，也就是多協(xié)議路由器。因為每一種協(xié)議都有自己單獨的規(guī)則，所以降低路由器的性能的原因之一就有在一個路由器中完成多種協(xié)議的算法.為經(jīng)過路由器的每個數(shù)據(jù)幀找尋一條最佳傳輸路徑是路由器的主要工作，并將該數(shù)據(jù)有效地傳送

10、到目的站點.所以，路由器算法的關(guān)鍵在于選擇最佳路徑的策略。為了完成這項工作,在路由器中存在者很多數(shù)據(jù)是關(guān)于傳輸路徑的即路徑表，它是用來供路由選擇使用。子網(wǎng)的標志信息、網(wǎng)上路由器的個數(shù)和下一個路由器的名字等內(nèi)容保存在路徑表中.路徑表可以從以下幾方面操作：1、是由系統(tǒng)管理員固定設(shè)置；2、由系統(tǒng)動態(tài)修改;3、由路由器自動調(diào)整;4、由主機控制。靜態(tài)路徑表是由系統(tǒng)管理員事先設(shè)置好固定的路徑表,通常是在系統(tǒng)安裝時就根據(jù)網(wǎng)絡(luò)的配置情況預先設(shè)定的,靜態(tài)路徑表不會因為未來網(wǎng)絡(luò)結(jié)構(gòu)的變化而改變。動態(tài)路徑表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運行情況而自動調(diào)整的路徑表.依據(jù)路由選擇協(xié)議提供的功能，路由器能自動學習和記憶網(wǎng)絡(luò)運行的

11、情況。第三章動態(tài)路由概述 把數(shù)據(jù)從一個地方傳送到另外一個地方的這個過程稱為路由.動態(tài)路由是指網(wǎng)絡(luò)中的路由器相互之間的通信，傳遞路由信息和利用收到的路由信息然后再更新路由表的過程。這個過程它能夠快速，準確地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。動態(tài)路由要基于某種路由協(xié)議實現(xiàn).假如路由更新信息一旦表明發(fā)生了相關(guān)的網(wǎng)絡(luò)變化，路由選擇軟件就會重新計算路由，并且隨之發(fā)出新的路由更新信息。這些信息就會通過各個網(wǎng)絡(luò)使得各路由器重新啟動其路由算法，然后更新各自的路由表。動態(tài)地反映網(wǎng)絡(luò)拓撲變化。網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓撲復雜的網(wǎng)絡(luò)比較合適使用動態(tài)路由。各種各樣的動態(tài)路由協(xié)議會對網(wǎng)絡(luò)帶寬和 CPU 資源產(chǎn)生不同程度的占用.可以自動建立自

12、己路由表并且能夠依據(jù)實際情況的變化適當?shù)剡M行整改的即動態(tài)路由。動態(tài)路由器上的路由表項交換彼此的信息是通過路由器之間的相互連接進行的,接下來按照一定的算法優(yōu)化出來；為了應(yīng)對反復變化的網(wǎng)絡(luò),路由信息必須在時間間隙里不斷更新、變化，以此來隨時獲得最佳的尋路效果. 常用動態(tài)路由協(xié)議安全性分析6 常用的動態(tài)路由協(xié)議有 RIP,OSPF,BGP。RIP,OSPF 運行在自治系統(tǒng)內(nèi)稱為域內(nèi)路由協(xié)議.而 BGP 路由協(xié)議運行在自治系統(tǒng)間第四章 RIP OSPF BGP-4 三個協(xié)議使用情況 4。1 路由信息協(xié)議 RIP4.1。1 路由信息協(xié)議概述 路由信息協(xié)議（RIP)是一種內(nèi)部網(wǎng)關(guān)協(xié)議。它是一種最著名，歷史

13、最悠久的內(nèi)部網(wǎng)關(guān)協(xié)議動態(tài)路由協(xié)議。并且還屬于距離向量協(xié)議。路由信息協(xié)議是由施樂公司在 PUB 和XNS 路由協(xié)議基礎(chǔ)上發(fā)展而來的。路由信息協(xié)議最早就是由施樂研究出來的.后來因為加州大學在許多局域網(wǎng)上采用了 RIP 協(xié)議，路由信息協(xié)議在 UNIX 上也得到了普遍實現(xiàn)。這樣一來就推動了路由信息的廣泛應(yīng)用.對路由信息的推廣起到了非常大的促進作用.雖然路由信息協(xié)議最早為局域網(wǎng)設(shè)計,但是現(xiàn)在路由信息協(xié)議已經(jīng)被應(yīng)用到城域網(wǎng)甚至廣域網(wǎng)中。所以說現(xiàn)在路由信息協(xié)議的應(yīng)用范圍已經(jīng)不僅僅局限在局域網(wǎng)，路由信息協(xié)議是因特網(wǎng)協(xié)議的重要組成部分，它是一種簡單的路由協(xié)議.并且在英特網(wǎng)中最早得到了廣泛的應(yīng)用。路由信息協(xié)議是鏈

14、路狀態(tài)的路由議,它被設(shè)計為用于單一自治系統(tǒng)的內(nèi)部。而每一個路由器都維護一個描述自治系統(tǒng)拓撲的相同數(shù)據(jù)庫.而最短路徑樹計算路由的方法就是路由器根據(jù)上述描述拓撲的數(shù)據(jù)庫構(gòu)造. 路由信息協(xié)議在 1986 年被 IETE 標準化為 RFC1058。該協(xié)議是開放標準，適用于小網(wǎng)絡(luò)內(nèi)部網(wǎng)關(guān)協(xié)議.4.1。2 路由信息協(xié)議 RIP 工作原理 運行路由信息協(xié)議的路由器定期的將路由表發(fā)送給相鄰的路由器，路由器在收到相鄰路由器發(fā)送的路由表之后就將每個路由的距離加 1 然后和自身路由表中的信息進行對比，如果得到的距離大于和等于自身路由表中路由的距離則忽略收到的路由最后再刷新該路由條目，如果得到的距離小于自身路由表中路

15、由的距離或者自身路由表中沒有所比較的路由的話就將收到的路由信息寫入路由表，距離為原距離增加 1 且下一跳為發(fā)送該路由信息的路由器,當距離為 16 時認為路由不可達，運行 RIP 的網(wǎng)絡(luò)規(guī)模有限，路徑最長距離為 15.路由器定期清除長時間未刷新過的路由條目以防止某路由器死機后產(chǎn)生的路由黑洞。網(wǎng)絡(luò)中所有運行 RIP 的路由器不了解整個網(wǎng)絡(luò)中的拓撲結(jié)構(gòu)，簡單的相信能從某一個相鄰路由器然后經(jīng)過某一個特定距離能夠到達目標網(wǎng)絡(luò). 常用動態(tài)路由協(xié)議安全性分析74。2OSPF 協(xié)議4。2。1OSPF 協(xié)議概述OSPF 是一個內(nèi)部網(wǎng)關(guān)協(xié)議,它是對鏈路狀態(tài)路由協(xié)議的一種實現(xiàn)運作于自治系統(tǒng)的內(nèi)部。隨著當今科學技術(shù)的

16、快速進步和網(wǎng)絡(luò)規(guī)模的不斷壯大,距離向量協(xié)議的各種缺陷隨之凸顯。所以進行了鏈路狀態(tài)協(xié)議的嘗試，鏈路就是指路由器之間的鏈接，而狀態(tài)就是指路由器之間連接的時延,可用性和帶寬等屬性。和其它大多數(shù)路由協(xié)議不同的是 OSPF 協(xié)議不依賴于傳輸層協(xié)議提供數(shù)據(jù)傳輸,錯誤檢查和恢復服務(wù)，數(shù)據(jù)包直接封裝在網(wǎng)關(guān)協(xié)議內(nèi)傳輸。OSPF 最初是在 RFC1131 中被規(guī)范,之后很快的就被 RFC1247 替代了，RFC2178 和RFC2328 制定出來了之后，OSPF 也得到了進一步的完善,目前 RFC2328 是被廣泛實現(xiàn)的最新版本。OSPF 協(xié)議被設(shè)計使用在單一的自治系統(tǒng)內(nèi)部,它是鏈路狀態(tài)的路由協(xié)議。描述自治系統(tǒng)拓

17、撲的相同數(shù)據(jù)庫都被每一個路由器來維護;OSPF 不能被用作為其它協(xié)議的路由.OSPF 協(xié)議專門為 IP 所設(shè)計.OSPF 協(xié)議使用 IP 數(shù)據(jù)包頭中的 IP 地址來計算路徑。另外OSPF 消息不需要 UDP 或 TCP 等傳輸層協(xié)議承載，都直接在 IP 包中直接發(fā)送。相同開銷的多條路徑可以得到 OSPF 的支持,同時 OSPF 也支持將自治系統(tǒng)劃分區(qū)域通過分層管理來減少路由協(xié)議帶寬開銷，此外 OSPF 協(xié)議還支持認證.4.2。2OSPF 協(xié)議主要優(yōu)點協(xié)議主要優(yōu)點1、OSPF 是真正的 LOOP FREE 路由協(xié)議。源自其算法鏈路狀態(tài)及最短路徑樹算法的優(yōu)點.2、OSPF 的收斂速度快，它將路由變

18、化傳遞到整個自治系統(tǒng)的所用時間非常短。3、由于區(qū)域劃分概念的提出.自治系統(tǒng)被劃分為不同區(qū)域后，通過區(qū)域之間對路由信息的摘要，從而減少了需傳遞的路由信息數(shù)量。同時也保證了路由信息不會因為網(wǎng)絡(luò)規(guī)模的擴大而產(chǎn)生急劇膨脹.4、由于 NSSA 區(qū)域的概念被提出，從而使得 NSSA 區(qū)域內(nèi)不再傳播引入的 ASE 路由。5、在區(qū)域邊界路由器(ABR）上支持路由聚合,能夠大大減少了區(qū)域間的路由信息傳遞。6、OSPF 通過嚴格的劃分得出了路由的四個級別，為路由選擇提供了可信的保障。 常用動態(tài)路由協(xié)議安全性分析87、OSPF 支持基于接口的明文及 MD5 的驗證，它具有良好的安全性。8、OSPF 能夠適應(yīng)于各種各

19、樣規(guī)模的網(wǎng)絡(luò)，最多甚至可以達到數(shù)千臺. 4.3BGP4 協(xié)議4。3。1BGP-4 協(xié)議概述 BGP 是運行在自治系統(tǒng)之間的路由協(xié)議,自治系統(tǒng)內(nèi)部的路由選擇由域內(nèi)路由協(xié)議決定,自治系統(tǒng)之間以自治系統(tǒng)為單位路徑的路徑則由 BGP 決定，BGP 運行在 TCP 之上，這一點與 OSPF，ISIS，RIP 都不同。BGP 由外部網(wǎng)關(guān)協(xié)議發(fā)展而來 BGP 在 1989 年標準化成 BGP-1,到 1993 年定型稱為 BGP4。BGP4 是目前最廣泛使用的 BGP 版本。能夠設(shè)計處理因特網(wǎng)的大小的協(xié)議只有 BGP 一種協(xié)議。同時 BGP協(xié)議也是唯一一種能夠妥善處理好非路由主機多路連接的協(xié)議.這個過程是通

20、過 EGP 來實現(xiàn)的。和其他的 BGP 系統(tǒng)交換網(wǎng)絡(luò)可達信息是 BGP 交互系統(tǒng)最主要的功能?？蛇_信息經(jīng)過的自治系統(tǒng)（AS）清單上的信息能夠有效地構(gòu)造 AS 互聯(lián)的圖像并由此清除路由環(huán)路，同時在 AS 級別上實施了策略決策.BGP-4 為支持無類域間路由提供了一套新的機制.支持網(wǎng)絡(luò)前綴的廣播、取消 BGP網(wǎng)絡(luò)中“類”的概念都屬于這些機制.同時 BGP4 還引入機制支持路由聚合，包括 AS 路徑的聚合。這些改變?yōu)榻ㄗh的超網(wǎng)方案提供了支持。第五章安全性分析5。1RIP 協(xié)議安全性分析網(wǎng)絡(luò)中路由器之間的相互通信、傳遞路由信息和利用收到的路由信息更新路由表的過程就稱之為動態(tài)路由協(xié)議。動態(tài)路由協(xié)議它是一

21、個過程。它能夠及時的適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化.常用的動態(tài)路由協(xié)議主要有:RIP V2 協(xié)議、OSPF 協(xié)議、BGP 協(xié)議.5。1。1RIP 協(xié)議的優(yōu)缺點:RIP 協(xié)議最合適用于小規(guī)模網(wǎng)絡(luò)，它配置簡單。RIP 協(xié)議的缺點包括: 常用動態(tài)路由協(xié)議安全性分析91 大量廣播：RIP 每隔 30 秒就會向所有鄰居廣播一次完整的路由表，這樣一來就會占用寶貴的帶寬資源,如果廣域網(wǎng)鏈路較慢就會出現(xiàn)很多問題2RIP 缺乏成本概念:網(wǎng)絡(luò)延遲和鏈路成本的概念在 RIP 中沒有體現(xiàn)當采用 RIP 時，路由/轉(zhuǎn)發(fā)只是由跳線決定,所以往往很容易導致無法選擇出最佳路由例如，一條鏈路擁有較高的帶寬,但是由于跳數(shù)較多，從而導致難以選

22、擇3RIP 支持的網(wǎng)絡(luò)規(guī)模有限：RIP 只能適用于規(guī)模較少的網(wǎng)絡(luò)因為 RIP 協(xié)議最多只能支持 16 個步跳，一旦超過 16 個步跳時,網(wǎng)絡(luò)將認為無法到達.5.1.2RIP V2 的應(yīng)用 RIP 協(xié)議有著簡單、可靠，便于配置的優(yōu)點。它是一種使用廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議。不足的是 RIP 只適用于小型的同構(gòu)網(wǎng)絡(luò)，其它的網(wǎng)絡(luò)就不能適用。由于 RIP 協(xié)議允許的最大站點數(shù)是 15，所以只要超過 15 個站點的目的地都不會被標記。造成網(wǎng)絡(luò)的廣播風暴的主要原因之一也就是每隔 30 秒一次的路由信息廣播.5。1。3RIP V2 的安全性分析RIP V2 協(xié)議模擬攻擊過程：由于 RIP 協(xié)議是通過 UDP 協(xié)議固

23、定端口 520vrouter.ip。address.2 來掃描 520 端口，從而來確認該網(wǎng)絡(luò)是否使用 RIP 協(xié)議，然后通過sniffer 來嗅探路由更新包，然后可以篡改路由更新包從而改變路由信息，這樣就可以讓原先的路由協(xié)議失效.RIP V2 和 RIP V1 都是使用 UDP 協(xié)議進行傳輸,UDP 協(xié)議不可靠.但RIPV2 提供兩種認證機制。一種是明文認證機制另一種是密文認證機制。明文機制和密文機制相比較由于明文機制更容易被嗅探到,所以通常采用密文加密.RIP 協(xié)議加密是采用通用的 MD5 認證,加密的同時使用的是 RFC1723 標準的報文格式.RIP 密文認證過程:R1 能接受 R2

24、發(fā)送過來的路由,否則就不能接受 R2 發(fā)送過來的路由。RIP 的認證是單向的，由于 RIP 密文認證過程發(fā)送的報文都是經(jīng)過 MD5 加密，因此不會被破解,從而起到了保護作用,而那些由于沒有認證過的路由器發(fā)送過來的路由信息就會被丟棄掉，這樣就可以防止路由信息通過被篡改過的報文而被更新.而且所有起用 RIP 協(xié)議的路由器必須配置相同的密碼才能進行路由更新,這樣使路由器起用 RIP 協(xié)議時避免受到攻擊. 常用動態(tài)路由協(xié)議安全性分析10 5。2OSPF 協(xié)議的安全性分析5。2。1 OSPF 協(xié)議的應(yīng)用：OSPF 是當前應(yīng)用最廣泛的內(nèi)部網(wǎng)關(guān)路由協(xié)議(Interior Gateway Protocol,I

25、GP)，主要提供自治系統(tǒng)（Autonomous System，AS)內(nèi)的動態(tài)選擇路由。OSPF 的三個內(nèi)建安全機制對于 OSPF 協(xié)議的安全運行是極其重要的。以下是 OSPF 的三個內(nèi)建安全機制：1 可靠泛洪和 OSPF 自反擊:OSPF 通過泛洪來進行鏈路狀態(tài)通告的傳播，通過一種類似 TCP的確認重傳機制 OSPF 保證所進行的泛洪是可靠的,可靠泛洪機制確保同一區(qū)域內(nèi)的路由器有同樣的拓撲數(shù)據(jù)庫.OSPF 自反擊是一種防止攻擊 OSPF 的有效機制，它將使攻擊者費盡心機偽造的 LSA 很難真正達到被其它路由器利用從而影響路由選擇的實效。 2 層次路由和信息隱藏：層次路由機制的設(shè)計是為了解決路由

26、的可擴展性問題，即減少路由表大小、帶寬、路由計算的資源，增強穩(wěn)定性等等,使 OSPF 更安全。OSPF 通過將區(qū)域劃分為骨干區(qū)和非骨干區(qū)的方式使得 OSPF 成為一個基于兩個層次的路由協(xié)議在進行通告的時候,可以設(shè)置相應(yīng)的策略不通告或只通告匯聚的路由信息等方式隱藏要被通告的區(qū)域中的某些重要的信息.3 程序性檢驗及約束:OSPF 報文的接收要經(jīng)過嚴格的檢驗過程,分三個階段:IP 頭、OSPF協(xié)議包頭和 OSPF 具體協(xié)議報文頭的檢驗.OSPF 報文的這種常規(guī)性檢驗是必要的,它可以減少協(xié)議運行的錯誤，并增加了攻擊的難度.5.2.2 OSPF 安全性分析： OSPF 整個運行機制相對比較復雜,其運行過

27、程中的很多環(huán)節(jié)都有可能被攻擊者開發(fā)為對OSPF 的攻擊，造成不同程度的危害，主要以下 3 種攻擊方式： 1 利用 Hello 報文的攻擊:OSPF 路由器定期向外發(fā)送 Hello 報文，用以發(fā)現(xiàn)鄰居和維護鄰接節(jié)點關(guān)系。Hello 報文中的區(qū)域 ID、Hello 間隔等參數(shù)錯誤，會使該 Hello 報文被鄰居路由器丟棄，造成鄰居 Down，直接在鏈路上阻絕 Hello 報文當然也可以造成這種危害.如果 OSPF 沒有進行加密或者攻擊者攻破了 OSPF 的驗證體系，攻擊者就可以修改報文中的某些參數(shù)來達到攻擊的效果。 2 利用 Update 報文的攻擊：為修改 LSA 參數(shù)，使 OSPF 朝著利于攻

28、擊者的方向運轉(zhuǎn),攻擊者必須能成功的注入虛假 LSA。因此攻擊者必須能夠侵入或者假扮成一個 OSPF 路由器來和其它的路由器達到 Exchange 或者更高的狀態(tài)，以使兩者間可以傳送 LSA,而且此時攻 常用動態(tài)路由協(xié)議安全性分析11擊者顯然必須至少占有一條鏈路的密鑰或者該鏈路根本就不需要驗證.然后，攻擊者就可以通過注入虛假 LSA 來達到攻擊的目的了，例如不間斷的發(fā)送大量 Maxage 的 LSA 進行Maxage 攻擊等，這些攻擊方式都很可能造成 OSPF 路由域的混亂。攻擊者還可以通過修改LSA 的花費、鏈路描述等信息來誘使 OSPF 路由器計算出錯誤的路由,導致信息被傳送至不安全的網(wǎng)絡(luò).

29、 3 資源消耗攻擊：通過不間斷的大量發(fā)送各種類型的 OSPF 報文,很可能造成被攻擊實體的資源耗竭,而無法正常工作。例如向 OSPF 的鄰居發(fā)送包含過長鄰居列表的超大 Hello報文,鄰居路由器將需為鄰居列表上的每個鄰居創(chuàng)建鄰居結(jié)構(gòu),而消耗大量的資源，使資源枯竭。 OSPF 路由協(xié)議并不足夠安全，因此建議對 OSPF 采用積極的主動防護和檢測機制來保證其安全. 1 驗證：驗證是 OSPF 保護的第一環(huán)，因此對 OSPF 路由域內(nèi)的所有 OSPF 路由器都采用有效的加密認證機制是非常必要的,盡管我們?nèi)孕栝_發(fā)更安全有效的加密認證機制。2 入侵檢測系統(tǒng):設(shè)計適當?shù)娜肭謾z測系統(tǒng)也是很有幫助的，它可以幫

30、助發(fā)現(xiàn)很多針對 OSPF 的攻擊為對OSPF 的攻擊往往會因為 OSPF 的自反擊機制在路由域中產(chǎn)生很多的沖突信息. 首先是路由器層面，我們需保證操作系統(tǒng)的安全，路由器上其它所有協(xié)議的安全,路由器的物理安全等. 其次是路由域?qū)用妫@需要考慮所有邊緣接入實體和所有鏈路的安全. 最后我們要強調(diào)的是人的層面,應(yīng)更多地對網(wǎng)絡(luò)進行監(jiān)控和取證,積極立法，保護網(wǎng)絡(luò)安全運行。5。2.3OSPF 協(xié)議主要缺點如下:OSPF 配置相對復雜由于網(wǎng)絡(luò)區(qū)域劃分和網(wǎng)絡(luò)屬性的復雜性，需要網(wǎng)絡(luò)分析員有較高的網(wǎng)絡(luò)知識水平才能配置和管理 OSPF 網(wǎng)絡(luò)路由負載均衡能力較弱OSPF 雖然能根據(jù)接口的速率連接可靠性等信息,自動生成接

31、口路由優(yōu)先級,但在通往同一目的的不同優(yōu)先級路由中，OSPF 只選擇優(yōu)先級較高的轉(zhuǎn)發(fā)，不同優(yōu)先級的路由中，不能實現(xiàn)負載分擔只有相同優(yōu)先級的，才能達到負載均衡的目的，不像 EIGRP 那樣可以根據(jù)優(yōu)先級不同,自動匹配流量 常用動態(tài)路由協(xié)議安全性分析125.3BGP4 協(xié)議的安全性分析5.3。1BGP 協(xié)議的應(yīng)用：在 BGP 網(wǎng)絡(luò)中，可以將一根網(wǎng)絡(luò)分成多個自治系統(tǒng)。自治系統(tǒng)間使用 eBGP 廣播路由，自制系統(tǒng)內(nèi)使用 iBGP 在自己的網(wǎng)絡(luò)內(nèi)廣播路由。BGP 的作用主要是在自治系統(tǒng)間自動交換無環(huán)路的路由信息，通過交換帶有自治系統(tǒng)號（AS）序列屬性的路徑可達信息，來構(gòu)造自治區(qū)域的拓撲圖，從而消除路由環(huán)路

32、并且實施用戶配置的路由策略.5。3.2BGP 協(xié)議的安全性分析: Internet 由多個互相連接的商業(yè)網(wǎng)絡(luò)組成。每個企業(yè)網(wǎng)絡(luò)或 ISP 必須定義一個自治系統(tǒng)號（ASN）。這些系統(tǒng)號由 IANA 分配。共有 65535 個可用的自治系統(tǒng)號,其中 6551265535 為私用保留.當共享路由信息時,這個號碼也允許以層的方式進行維護.BGP 使用可靠的會話管理，TCP 中的 179 端口用于觸發(fā) update 和 Keepalive 信息到它的鄰居，以傳播和更新 BGP 路由表。但是，由于 BGP 使用了 TCP 的傳輸方式，它就會使 BGP 引起不少關(guān)于 TCP 方面的問題,如 SYN Floo

33、d 攻擊，序列號預測，一般拒絕服務(wù)攻擊等。BGP 沒有使用它們自身的序列而依靠 TCP 的序列號來代替，因此,如果設(shè)備采用了可預測序列號方案的話,就存在這種類型的攻擊.幸好,運行在 Internet 上大部分重要的路由器使用了Cisco 設(shè)備，而其是沒有使用預測序列號方案。部分 BGP 的實現(xiàn)默認情況下沒有使用任何的認證機制,而有些可能存在和 RIP 同樣問題的就是使用了明文密碼,將導致被攻擊的可能性增大。BGP 協(xié)議在實際應(yīng)用中還會受到類似 OSPF 協(xié)議一樣的偽造報文攻擊等，但 BGP 協(xié)議一般都是應(yīng)用在核心網(wǎng)的出口并且配置密碼認證，BGP 協(xié)議的認證只有密文認證,安全性相對較好.由于 B

34、GP 使用了 TCP 的傳輸方式，它就會使 BGP 引起不少關(guān)于 TCP 方面的問題，如很普遍的 SYN Flood 攻擊，序列號預測，一般拒絕服務(wù)攻擊等。BGP 沒有使用它們自身的序列而依靠 TCP 的序列號來代替,因此，如果設(shè)備采用了可預測序列號方案的話，就存在這種類型的攻擊，幸好的是，運行在 Internet 上大部分重要的路由器使用了 Cisco 設(shè)備,而其是沒有使用可預測序列號方案。部分 BGP 的實現(xiàn)默認情況下沒有使用任何的認證機制，而有些可能存在和 RIP 同樣的問題就是使用了明文密碼.這樣假如認證方案不夠強壯的話，攻擊者發(fā)送 UPDATE 信息來修改路由表的遠程攻擊的機會就會增加許多，導致進一步的破壞擴大. 常用動態(tài)路由協(xié)議安全性分析13BGP 也可以傳播偽造的路由信息,如果攻擊者能夠從一協(xié)議如 RIP 中修改或者插入路由信息并由 BGP 重新分配。這個缺陷是存在與信任模塊中而不是其 BGP 路由協(xié)議本身.另外 BGP 的 community 配置也會有某些類型的攻擊，原因是 community name