常用动态路由协议安全性分析及应用

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

常用动态路由协议安全性分析及应用

【摘要】路由器寻找的最佳路径是路由协议,它能保持各个路由器间的路由表相同,实现各个路由器间的相互连通,且在网络间传递数据包。可见,动态路由协议是借助路由器间的信息传递,计算、更新网络结构。但在此过程中,存在一定弊端影响常用动态路由器安全性。现就BGP、OSFP和RIP V2三种常用的动态路由协议安全性进行分析,并总结其应用。

【关键词】动态路由安全性应用

连接网络的重要硬件设备,是路由器,它可以实现数据包的传递。而动态路由协议指的是路由器表的更新过程,它能够满足网络结构变化的需求。常用的动态路由分为三种,分别为BGP协议、OSPF协议和RIP V2协议。如果在数据包传递过程中,协议出现漏洞,那么容易被人利用,给网络安全造成严重影响。所以,分析常用动态路由协议安全性显得尤为重要。

一、常用动态路由协议安全性分析

1.1 BGP协议安全性

多个相互连接的商业网络共同组成了Internet。各个ISP或企业网络,需要定义一个自治系统号,即ASN,它们的分配由IANA完成[1]。自治系统号共有65535个,其中私用保留的为65512―65535。路由信息在共享状态下,此号码的维护方式可以采取层的方式。BGP采用会话管理,其

中TCP的179端口可起到触发作用,使Keepalive和update信息被触发,且累及其邻居,从而更新和传播BGP路由表。

然而,因BGP的传输方式以TCP为主,那么容易导致BGP出现关于TCP的诸多问题,例如拒绝服务攻击,预测序列号,SYN Flood攻击等。BGP主要是利用TCP的序列号,未使用自身的序列号。所以,一旦设备应用可预测序列号,就容易受到该类型攻击。在Internet中运行的大部分路由器都采用了Cisco设备,没有采用预测序列号方案,这就降低了受到攻击的风险。一些BGP在默认状态下,未采用相关的认证机制,有些BGP

继续沿用明文密码,这样,大大增加了受到攻击的可能性。

实际应用BGP协议时,还会受到伪造报文攻击等其他攻击。但通常情况下,BGP主要在核心网的出口应用,且配置密码认证,因此,BGP 协议的安全性相对较高。

1.2 OSPF协议安全性

复杂是OSPF运行机制的主要特征,运行中的诸多环节都有可能受到攻击者的攻击,给OSPF带来不同程度伤害。攻击方式分为以下几种。一是资源消耗攻击。将不同类型的OSPF报文不间断大量发送,这样极易导致攻击实体资源枯竭,难以正常工作。例如给OSPF发送Hello报文时,因报文超大且邻居列表过长,邻居路由器需要根据邻居列表创建与之对应的邻居结构,从而导致资源过量消耗,以致枯竭。二是Upadate报文攻击。有时OSPF的运转方向会偏向于攻击者方向,造成该现象的原因,与修改LSA参数有关[2]。在这种情况下,攻击者可假扮成OSPF路由器,与其他路由器连接,达到Exchange状态,甚至更高的状态。这样,可以使LSA在

两者间传递,在这种情况下,攻击者占据了至少一条无需验证的链路密钥。之后,攻击者将虚假的LSA注入,以对OSPF攻击。例如通过发送大量Maxage 的LSA以对Maxage进行攻击等。此攻击方式极易导致OSPF路由域发生混乱。部分攻击者将LSA的链路描述和花费等信息修改,致使OSPF路由器的路由计算错误,造成信息被传递至不安全网络。三是Hello报文攻击。Hello报文被OSPF路由器定期发送,以找到维护邻与邻居接节点关系。一旦Hello报文中的参数出现错误,邻居路由器会丢弃Hello报文,出现邻居Down。除此之外,在链路上直接阻绝Hello报文也容易引发邻居Down。如果攻击者破解了OSPF验证体系,或者OSPF根本没有加密,攻击者只需将报文中的部分参数修改,即可攻击OSPF。

通过上述分析,可以发现OSPF路由协议运行安全性较差,所以,需要采取措施提高其安全性。主要包括两点,一是增加验证,验证是保护OSPF的第一步,所以,OSPF内的全部路由器需要增加有效的加密认证机制。二是设计入侵检测系统。通过该方式,能够发现路由器中出现的诸多冲突信息。包括路由器层面、路由域层面及人的层面。就路由层面而言,需要确保操作系统具备安全性,对于路由域层面,重点考虑全部链路与边缘接入实体的安全性。人的层面,是要加强网络监管,确保网络安全运行。

1.3 RIP V2协议安全性

RIP V2与RIP V1的传输相同,都是利用不可靠的UDP协议。但RIP V2采用两种认证机制,包括密文和明文等。因明文易被嗅探,故在使用密文加密。RIP协议的认证机制选用通用的MD5,且报文格式以RFC1723为标准。RIP认证以单向为主,R2发送出的路由被R1接受,反之无法接

受。发送的报文都采用MD5实施加密,故不易被破解。若发送的路由信息未经认证,那么就会被丢弃。这种情况下,被篡改的报文就不会更新。另外,RIP协议路由更新需要配置一致的密码,故RIP协议安全性较高。

二、常用动态路由协议应用

2.1 BGP协议的应用

在BGP网络,多个自治系统可来源于相同的一根网络。自治系统与自治系统间采用eBGP广播路由,而在自治系统内部,采用iBGP广播路由[3]。无环路路由信息在自治系统间实现自动交换,是BGP的主要作用。利用交换信息,构建自治区域拓扑图,以将路由环路消除,采用用户配置路由策略。

2.2 OSPF协议的应用

内部网管路由协议的一种是OSPF,目前受到广泛应用。OSPF作用是提供AS内的动态选择路由。OSPF的安全机制建立,包括三个方面。

一是程序性约束与检验。接收OSPF报文的检验过程十分严格,分为OSPF据悉协议报文头、OSPF协议包头和IP头检验。常规性检验OSPF 报文是十分必要的,它既可降低协议运行错误出现概率,又能使攻击难度大大增加。二是信息隐藏和层次路由。把OSPF分为两个层次路由协议,且进行通告时,可以只通知汇聚的路由信息,也可制定相应策略不通知,这样,即可实现重要信息隐藏。改善路由可拓展性是设计层次路由机制的主要目标,它可保障OSPF更加安全。三是OSPF自反击和可靠泛洪。自反击作为避免OSPF受到攻击的有效机制,可降低攻击者伪造LSA,从而提高OSPF安全性。泛洪机制能够保证相同区域内的路由器具备相同的拓扑数据

相关文档
最新文档