常用動態路由協議安全性分析及應用

唐燦華

【摘要】 路由器尋找的最佳路徑是路由協議，它能保持各個路由器間的路由表相同，實現各個路由器間的相互連通，且在網絡間傳遞數據包。可見，動態路由協議是借助路由器間的信息傳遞，計算、更新網絡結構。但在此過程中，存在一定弊端影響常用動態路由器安全性。現就BGP、OSFP和RIP V2三種常用的動態路由協議安全性進行分析，并總結其應用。

【關鍵詞】 動態路由 安全性 應用

連接網絡的重要硬件設備，是路由器，它可以實現數據包的傳遞。而動態路由協議指的是路由器表的更新過程，它能夠滿足網絡結構變化的需求。常用的動態路由分為三種，分別為BGP協議、OSPF協議和RIP V2協議。如果在數據包傳遞過程中，協議出現漏洞，那么容易被人利用，給網絡安全造成嚴重影響。所以，分析常用動態路由協議安全性顯得尤為重要。

一、常用動態路由協議安全性分析

1.1 BGP協議安全性

多個相互連接的商業網絡共同組成了Internet。各個ISP或企業網絡，需要定義一個自治系統號，即ASN，它們的分配由IANA完成[1]。自治系統號共有65535個，其中私用保留的為65512—65535。路由信息在共享狀態下，此號碼的維護方式可以采取層的方式。BGP采用會話管理，其中TCP的179端口可起到觸發作用，使Keepalive和update信息被觸發，且累及其鄰居，從而更新和傳播BGP路由表。

然而，因BGP的傳輸方式以TCP為主，那么容易導致BGP出現關于TCP的諸多問題，例如拒絕服務攻擊，預測序列號，SYN Flood攻擊等。BGP主要是利用TCP的序列號，未使用自身的序列號。所以，一旦設備應用可預測序列號，就容易受到該類型攻擊。在Internet中運行的大部分路由器都采用了Cisco設備，沒有采用預測序列號方案，這就降低了受到攻擊的風險。一些BGP在默認狀態下，未采用相關的認證機制，有些BGP繼續沿用明文密碼，這樣，大大增加了受到攻擊的可能性。

實際應用BGP協議時，還會受到偽造報文攻擊等其他攻擊。但通常情況下，BGP主要在核心網的出口應用，且配置密碼認證，因此，BGP協議的安全性相對較高。

1.2 OSPF協議安全性

復雜是OSPF運行機制的主要特征，運行中的諸多環節都有可能受到攻擊者的攻擊，給OSPF帶來不同程度傷害。攻擊方式分為以下幾種。一是資源消耗攻擊。將不同類型的OSPF報文不間斷大量發送，這樣極易導致攻擊實體資源枯竭，難以正常工作。例如給OSPF發送Hello報文時，因報文超大且鄰居列表過長，鄰居路由器需要根據鄰居列表創建與之對應的鄰居結構，從而導致資源過量消耗，以致枯竭。二是Upadate報文攻擊。有時OSPF的運轉方向會偏向于攻擊者方向，造成該現象的原因，與修改LSA參數有關[2]。在這種情況下，攻擊者可假扮成OSPF路由器，與其他路由器連接，達到Exchange狀態，甚至更高的狀態。這樣，可以使LSA在兩者間傳遞，在這種情況下，攻擊者占據了至少一條無需驗證的鏈路密鑰。之后，攻擊者將虛假的LSA注入，以對OSPF攻擊。例如通過發送大量Maxage的LSA以對Maxage進行攻擊等。此攻擊方式極易導致OSPF路由域發生混亂。部分攻擊者將LSA的鏈路描述和花費等信息修改，致使OSPF路由器的路由計算錯誤，造成信息被傳遞至不安全網絡。三是Hello報文攻擊。Hello報文被OSPF路由器定期發送，以找到維護鄰與鄰居接節點關系。一旦Hello報文中的參數出現錯誤，鄰居路由器會丟棄Hello報文，出現鄰居Down。除此之外，在鏈路上直接阻絕Hello報文也容易引發鄰居Down。如果攻擊者破解了OSPF驗證體系，或者OSPF根本沒有加密，攻擊者只需將報文中的部分參數修改，即可攻擊OSPF。

通過上述分析，可以發現OSPF路由協議運行安全性較差，所以，需要采取措施提高其安全性。主要包括兩點，一是增加驗證，驗證是保護OSPF的第一步，所以，OSPF內的全部路由器需要增加有效的加密認證機制。二是設計入侵檢測系統。通過該方式，能夠發現路由器中出現的諸多沖突信息。包括路由器層面、路由域層面及人的層面。就路由層面而言，需要確保操作系統具備安全性，對于路由域層面，重點考慮全部鏈路與邊緣接入實體的安全性。人的層面，是要加強網絡監管，確保網絡安全運行。

1.3 RIP V2協議安全性

RIP V2與RIP V1的傳輸相同，都是利用不可靠的UDP協議。但RIP V2采用兩種認證機制，包括密文和明文等。因明文易被嗅探，故在使用密文加密。RIP協議的認證機制選用通用的MD5，且報文格式以RFC1723為標準。RIP認證以單向為主，R2發送出的路由被R1接受，反之無法接受。發送的報文都采用MD5實施加密，故不易被破解。若發送的路由信息未經認證，那么就會被丟棄。這種情況下，被篡改的報文就不會更新。另外，RIP協議路由更新需要配置一致的密碼，故RIP協議安全性較高。

二、常用動態路由協議應用

2.1 BGP協議的應用

在BGP網絡，多個自治系統可來源于相同的一根網絡。自治系統與自治系統間采用eBGP廣播路由，而在自治系統內部，采用iBGP廣播路由[3]。無環路路由信息在自治系統間實現自動交換，是BGP的主要作用。利用交換信息，構建自治區域拓撲圖，以將路由環路消除，采用用戶配置路由策略。

2.2 OSPF協議的應用

內部網管路由協議的一種是OSPF，目前受到廣泛應用。OSPF作用是提供AS內的動態選擇路由。OSPF的安全機制建立，包括三個方面。

一是程序性約束與檢驗。接收OSPF報文的檢驗過程十分嚴格，分為OSPF據悉協議報文頭、OSPF協議包頭和IP頭檢驗。常規性檢驗OSPF報文是十分必要的，它既可降低協議運行錯誤出現概率，又能使攻擊難度大大增加。二是信息隱藏和層次路由。把OSPF分為兩個層次路由協議，且進行通告時，可以只通知匯聚的路由信息，也可制定相應策略不通知，這樣，即可實現重要信息隱藏。改善路由可拓展性是設計層次路由機制的主要目標，它可保障OSPF更加安全。三是OSPF自反擊和可靠泛洪。自反擊作為避免OSPF受到攻擊的有效機制，可降低攻擊者偽造LSA，從而提高OSPF安全性。泛洪機制能夠保證相同區域內的路由器具備相同的拓撲數據庫，具備較強的可靠性。

2.3 RIP V2協議的應用

RIP是應用普遍且最早的內部網關協議。它的使用十分廣泛，具備良好的可靠性，因其簡單有利于配置。但RIP只能在小型同構網路中應用，主要是因為它的最大站點數。其最大站點數是15，只要超過15個站點，其他目的地就會被標記，且無法到達。另外，RIP海域引發網絡廣播風暴，主要原因與其路由信息廣播傳播頻率有關。

三、總結

常用動態路由協議在安全性方面，均存在一些隱患。因此，需要采取有效方式進行解決。通常采用建立實用認證機制方式，可以降低存在風險。但因路由協議認證方式存在差異，需要應用其他措施予以處理。密文認證是提高常用動態路由安全性的最佳方式。經過處理，動態路由器的安全性會顯著提升，從而確保網絡安全。

參 考 文 獻

[1]王立偉.動態路由協議安全性分析及應用[J].電子技術與軟件工程，2015（10）：12.

[2]劉友緣，馮君，劉強.基于動態路由協議的分析與研究[J].重慶文理學院學報：社會科學版，2015（6）：138—143.

[3]余世文.淺析RIP路由協議的工作原理及應用[J].福建電腦，2014（11）：185—187.