基于OSPF協(xié)議的漏洞攻擊分析

張洋洋，劉丹丹

（河北科技大學(xué)信息工程學(xué)院通信與信息系統(tǒng)，河北石家莊050000）

0 引 言

OSPF（Open Shortest Path First）是一種內(nèi)部網(wǎng)關(guān)協(xié)議［1］，它是網(wǎng)絡(luò)中使用極其廣泛的域內(nèi)路由協(xié)議。OSPF是通過傳遞、交換路由器的鏈路狀態(tài)來得到全網(wǎng)的路由信息，生成一張網(wǎng)絡(luò)有向拓?fù)鋱D，由最小生成樹算法（SPF）來得到路由表。OSPF協(xié)議和距離矢量協(xié)議相比，一個(gè)主要的改善在于它的快速收斂，這使得OSPF協(xié)議可以支持更大型的互聯(lián)網(wǎng)絡(luò)。同時(shí)，作為網(wǎng)絡(luò)最為核心部分的路由協(xié)議的安全受到越來越多研究人員的關(guān)注。

1 OSPF協(xié)議

1.1 OSPF的簡(jiǎn)介

OSPF協(xié)議是運(yùn)行在AS（Autonomous System）內(nèi)部的網(wǎng)關(guān)協(xié)議（IGP），1987年由IETF開發(fā)［2］。OSPF是典型的鏈路狀態(tài)路由協(xié)議，在鏈路狀態(tài)路由協(xié)議中，每個(gè)路由器都擁有一張記錄整個(gè)網(wǎng)絡(luò)拓?fù)湫畔⒌穆酚杀恚酚善魍ㄟ^周期性的泛洪鏈路狀態(tài)更新信息，來建立維持一個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPF路由表的［3］。

OSPF用IP報(bào)文直接封裝協(xié)議報(bào)文，協(xié)議號(hào)為89［4］。OSPF協(xié)議中，定義了五種報(bào)文。這五類協(xié)議報(bào)文分別是：①Hello報(bào)文，用于動(dòng)態(tài)發(fā)現(xiàn)鄰居、確認(rèn)鄰居間的雙向連接、維持鄰接關(guān)系及指派路由器的選舉等。②DD（DatabaseDescription）報(bào)文，描述拓?fù)鋽?shù)據(jù)庫(kù)內(nèi)容，此類信息在初始化鄰接關(guān)系時(shí)交換。③LSA（Link State Request）報(bào)文，是向主路由器發(fā)送鏈路狀態(tài)請(qǐng)求報(bào)文，請(qǐng)求主路由器向其提供較新的LSA。LSU（）報(bào)文，是對(duì)鏈路狀態(tài)請(qǐng)求分組的響應(yīng)，通常也用于LSA的發(fā)布。④LSA（）報(bào)文，確認(rèn)鏈路狀態(tài)更新分組。⑤OSPF數(shù)據(jù)包的開始部分是長(zhǎng)度為24字節(jié)的包頭，格式如圖1所示。

圖1 OSPF包頭格式

1.2 OSPF的安全性分析

1.2.1 驗(yàn)證機(jī)制

OSPF路由協(xié)議的每一個(gè)報(bào)文都添加了驗(yàn)證機(jī)制，在OSPF的所有報(bào)文中都有一個(gè)32bit長(zhǎng)度的驗(yàn)證（Authentication）字段［5］，另外在驗(yàn)證字段前邊另有16bit的驗(yàn)證類型（Authen Type）字段用于標(biāo)識(shí)驗(yàn)證字段的類型，這兩者一起組成了OSPF報(bào)文的驗(yàn)證機(jī)制。驗(yàn)證類型可以基于通用接口（或通用網(wǎng)絡(luò)／子網(wǎng)）進(jìn)行配置，置0為空驗(yàn)證，即在路由交換中不需要任何驗(yàn)證；置1為簡(jiǎn)單口令驗(yàn)證，可防止路由器在不提防的情況下加入到路由域；置2則為加密驗(yàn)證。所有其它值，是由IANA預(yù)留的分配。

1.2.2 可靠的泛洪機(jī)制

OSPF路由協(xié)議采用了一種叫做泛洪（flood）的機(jī)制來保證區(qū)域內(nèi)各個(gè)路由器的鏈路狀態(tài)數(shù)據(jù)庫(kù)同步。每一個(gè)區(qū)域內(nèi)的路由器都會(huì)生成LSA來描述特定的網(wǎng)絡(luò)拓?fù)湫畔ⅲ溌窢顟B(tài)更新報(bào)文（LSU）則提供了泛洪的機(jī)制。為實(shí)現(xiàn)可靠的泛洪，OSPF路由協(xié)議規(guī)定：路由器在收到來自其它路由器的一個(gè)或多個(gè)鏈路狀態(tài)通告后，必須向其來源路由器發(fā)送一個(gè)確認(rèn)應(yīng)答（Link State Acknowledgment Packet，LSAk），告知已經(jīng)收到LSA。因而OSPF的泛洪算法被認(rèn)為是可靠的，實(shí)踐也很好地證明了這一點(diǎn)。

1.2.3 分層路由機(jī)制

OSPF通過將自治系統(tǒng)劃分成若干個(gè)區(qū)域，若干個(gè)區(qū)域的ABR又組成一個(gè)骨干區(qū)域。區(qū)域內(nèi)部的路由不為外部所知道，路由選擇時(shí)區(qū)域內(nèi)路由要優(yōu)先于區(qū)域間路由，這使得一個(gè)OSPF區(qū)域內(nèi)的威脅很難影響到另外一個(gè)區(qū)域內(nèi)部的通信。這一設(shè)計(jì)大大減少了路由表的大小、帶寬和路由計(jì)算的資源。同時(shí)也保障了OSPF路由協(xié)議的穩(wěn)定性，使得OSPF更加的健壯和安全。

2 OSPF的漏洞及常見攻擊

2.1 OSPF的自身機(jī)制漏洞［6］

OSPF內(nèi)部機(jī)制的設(shè)計(jì)難免還是留下了漏洞，如果被攻擊者利用，將對(duì)網(wǎng)絡(luò)產(chǎn)生極大的威脅。本小節(jié)從OSPF路由協(xié)議自身機(jī)制入手，總結(jié)其中存在的安全漏洞。

2.1.1 局部影響全局

OSPF路由協(xié)議是通過鏈路狀態(tài)信息的泛洪來使網(wǎng)絡(luò)中每個(gè)路由器獲取整個(gè)網(wǎng)絡(luò)的拓?fù)湫畔⒌模酚善髟阪溌吠ǜ孢^程中不但負(fù)責(zé)生成自身的鏈路狀態(tài)信息而且要轉(zhuǎn)發(fā)從相鄰路由器獲得的其他路由器的鏈路狀態(tài)信息。所以當(dāng)OSPF路由器受到攻擊出錯(cuò)后，對(duì)于局部的影響可能僅僅是產(chǎn)生錯(cuò)誤的鏈路狀態(tài)信息。但是，由于OSPF自身缺乏端到端的認(rèn)證機(jī)制，這使得鏈路狀態(tài)信息在轉(zhuǎn)發(fā)過程中面臨被篡改的威脅，如果攻擊者攻陷OSPF路由域內(nèi)的某一路由器，他不僅可以操縱生成錯(cuò)誤的該路由器的鏈路狀態(tài)信息，還可以篡改該路由器收到的其它路由器發(fā)布的鏈路狀態(tài)信息，這樣局部受到的攻擊將影響整個(gè)OSPF路由域。

2.1.2 遠(yuǎn)程攻擊漏洞

OSPF路由器之間通常采用224.0.0.5和224.0.0.6這個(gè)兩個(gè)組播地址作為目的地址進(jìn)行通信，但為了實(shí)現(xiàn)OSPF協(xié)議中的一些機(jī)制，OSPF路由器也支持以自身端口為目的地址的報(bào)文。這種對(duì)單播報(bào)文的支持給OSPF路由域外的攻擊者留下了漏洞，攻擊者無(wú)需接入OSPF路由域，通過單播報(bào)文在域外也可以對(duì)OSPF路由域內(nèi)的路由器進(jìn)行攻擊。

2.1.3 自我糾錯(cuò)機(jī)制漏洞

OSPF泛洪機(jī)制中提供了自我糾錯(cuò)能力，當(dāng)區(qū)域內(nèi)某一路由器偽造或篡改LSA并傳播來污染網(wǎng)絡(luò)時(shí)，而該LSA的父親（即與該LSA中的路由器號(hào)碼相同的路由器）收到該LSA時(shí)，會(huì)發(fā)現(xiàn)該LSA的信息與真實(shí)信息不符，該路由器將生成新的LSA，將其傳播到網(wǎng)絡(luò)中，使被污染的路由器將錯(cuò)誤信息丟棄。上述機(jī)制使得OSPF具有一定的自我糾錯(cuò)能力，可以從一定程度上抵御不良路由信息。

這種自我糾錯(cuò)機(jī)制也存在漏洞，錯(cuò)誤的鏈路狀態(tài)信息可以觸發(fā)自我糾錯(cuò)機(jī)制，使得網(wǎng)絡(luò)中存在大量的鏈路狀態(tài)信息更新流。如果攻擊者快速不斷地向網(wǎng)絡(luò)中注入錯(cuò)誤地鏈路狀態(tài)信息，將引發(fā)網(wǎng)絡(luò)中大量的鏈路狀態(tài)信息更新流量，占用網(wǎng)絡(luò)中的帶寬，影響正常的報(bào)文轉(zhuǎn)發(fā)服務(wù)。

2.1.4 支持外部路由信息

OSPF路由協(xié)議支持外部路由信息，這些路由信息來自BGP、RIP等路由協(xié)議，通過再發(fā)布的方法引入到OSPF路由域內(nèi)。OSPF路由域內(nèi)的路由器的外部路由信息的可靠性無(wú)法進(jìn)行驗(yàn)證，其可靠性完全依賴于起源路由協(xié)議的可靠性。如果攻擊者攻陷OSPF路由域內(nèi)的AS邊界路由器或成功偽造成AS邊界路由器，攻擊者可以通告低開銷的外部網(wǎng)絡(luò)鏈路狀態(tài)信息，使得OSPF路由域內(nèi)發(fā)往域外的報(bào)文不能夠正確地被轉(zhuǎn)發(fā)。

2.2 OSPF常見的攻擊

2.2.1 重放攻擊［7］

（1）Hello報(bào)文的重放攻擊。Hello報(bào)文中列出最近發(fā)現(xiàn)的路由器，如果攻擊者重放Hello包給該報(bào)文的產(chǎn)生者，產(chǎn)生者不能在列表中查找到自己，則認(rèn)為該鏈路不是可雙向通訊的，將設(shè)置鄰居的狀態(tài)為Init狀態(tài)，阻止建立鄰接關(guān)系。

（2）LSA的重放攻擊。攻擊者重放一個(gè)與拓?fù)洳环腖SA，并泛洪出去，那么該LSA就會(huì)被認(rèn)為比當(dāng)前的新。某個(gè)路由器接收到后就會(huì)觸發(fā)相應(yīng)的SPF計(jì)算。當(dāng)源路由收到這個(gè)LSA時(shí)，自身會(huì)泛洪一個(gè)具有更高序列號(hào)的真實(shí)LSA，勢(shì)必會(huì)觸發(fā)各路由器的SPF計(jì)算，頻繁地計(jì)算會(huì)導(dǎo)致路由器性能的下降。

2.2.2 最大年齡攻擊（Max Age attack攻擊）

路由域中路由器的鏈路狀態(tài)數(shù)據(jù)庫(kù)中的每一條LSA都有生存時(shí)間，路由器啟動(dòng)計(jì)時(shí)器來控制它們。當(dāng)計(jì)時(shí)器被觸發(fā)時(shí)，說明在規(guī)定存活時(shí)間內(nèi)該路由沒有被刷新，該路由己經(jīng)失效，此時(shí)路由器將該LSA中的Max Age字段置成最大值，并將其泛洪到路由域中，通告其它路由器該路由信息已經(jīng)失效。當(dāng)該LSA的源生成者收到該LSA時(shí)，會(huì)發(fā)起一個(gè)新的Max Age為零的LSA來更新路由域。利用這個(gè)漏洞，攻擊者可以通過篡改網(wǎng)絡(luò)中LSU報(bào)文，將其中包含的LSA中的Max Age字段設(shè)為最大值，這將引起路由域的不穩(wěn)定。雖然在泛洪機(jī)制中，源路由器可以通過自衛(wèi)操作來抵抗這種攻擊，但是如果攻擊者周期性地進(jìn)行這種攻擊，會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量嚴(yán)重下降。

2.2.3 最大序列號(hào)攻擊

攻擊者通過修改LSU報(bào)文中的Sequence Nu mber字段來實(shí)現(xiàn)攻擊。在路由器收到兩條相同路由信息時(shí)，通過比較Sequence Number來判斷哪個(gè)比較新。攻擊者可以通過截獲LSU報(bào)文，將其中Sequence Number字段作加一操作，并將鏈路代價(jià)改為比較大的值。這將使得路由器接收偽造的路由信息，并通過泛洪機(jī)制將錯(cuò)誤路由信息向網(wǎng)絡(luò)中擴(kuò)散。同樣地，在源路由收到錯(cuò)誤路由信息進(jìn)行自衛(wèi)之前，網(wǎng)絡(luò)將受到影響。

2.2.4 路由器鏈路狀態(tài)通告攻擊［8］

攻擊者通過偽造、篡改或刪除LSU報(bào)文中的路由器鏈路狀態(tài)通告，將直接影響網(wǎng)絡(luò)中路由器計(jì)算路由表的結(jié)果。特別地，如果攻擊者模擬傀儡路由器，并將偽造的路由器鏈路狀態(tài)信息中的Ebit置為1，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中路由器的欺騙，使它們相信該傀儡路由器為AS邊界路由器，這樣攻擊者進(jìn)而可以利用傀儡路由器的身份偽造域外路由信息。攻擊者可以通告低開銷的外部網(wǎng)絡(luò)鏈路狀態(tài)信息，使得OSPF路由域內(nèi)發(fā)往域外的報(bào)文不能夠正確地被轉(zhuǎn)發(fā)，從而可以獲取網(wǎng)絡(luò)中用戶的通信信息。

3 結(jié)束語(yǔ)

在熟悉OSPF路由協(xié)議運(yùn)行機(jī)制的情況下，本文從四個(gè)方面對(duì)OSPF路由協(xié)議的安全性進(jìn)行了分析，在此基礎(chǔ)上發(fā)現(xiàn)了OSPF的四個(gè)自身機(jī)制的潛在漏洞，并展開全面的論述。最后結(jié)合這些潛在漏洞，提出了有針對(duì)性、可行的攻擊方法，并對(duì)不同的攻擊方法造成的網(wǎng)絡(luò)危害進(jìn)行了分析。

［1］ Emanuele Junes.OSPF security vulnerabilities analysis［Z］.Internet draft，draft-ietf-rpsec-ospf-vuln-00.txt，2004.

［2］ 楊 靜，謝 蒂，王 雷.OSPF路由協(xié)議的安全分析及其漏洞防范［J］.濟(jì)南：山東大學(xué)學(xué)報(bào)，2003，33（5）：550-553.

［3］ 陳海燕，季仲梅，李 鷗，等.OSPF路由協(xié)議安全性分析及其攻擊檢測(cè)［J］.計(jì)算機(jī)信息，2005，21（5）-230-231.

［4］ 錢志軍.OSPF路由協(xié)議安全性研究［D］.大慶：大慶石油學(xué)院，2007.

［5］ 劉魁星，汪斌強(qiáng)，賈 娟.OSPF路由協(xié)議安全性分析與研究［J］.電視技術(shù)，2007，31（2）：49-51.

［6］ 康 威.OSPF路由協(xié)議安全性分析與研究［D］.北京：北京郵電大學(xué)，2010.