常用動態(tài)路由協(xié)議安全性分析及應用

唐燦華

【摘要】 路由器尋找的最佳路徑是路由協(xié)議，它能保持各個路由器間的路由表相同，實現(xiàn)各個路由器間的相互連通，且在網(wǎng)絡間傳遞數(shù)據(jù)包?？梢?，動態(tài)路由協(xié)議是借助路由器間的信息傳遞，計算、更新網(wǎng)絡結構。但在此過程中，存在一定弊端影響常用動態(tài)路由器安全性?，F(xiàn)就BGP、OSFP和RIP V2三種常用的動態(tài)路由協(xié)議安全性進行分析，并總結其應用。

【關鍵詞】 動態(tài)路由 安全性 應用

連接網(wǎng)絡的重要硬件設備，是路由器，它可以實現(xiàn)數(shù)據(jù)包的傳遞。而動態(tài)路由協(xié)議指的是路由器表的更新過程，它能夠滿足網(wǎng)絡結構變化的需求。常用的動態(tài)路由分為三種，分別為BGP協(xié)議、OSPF協(xié)議和RIP V2協(xié)議。如果在數(shù)據(jù)包傳遞過程中，協(xié)議出現(xiàn)漏洞，那么容易被人利用，給網(wǎng)絡安全造成嚴重影響。所以，分析常用動態(tài)路由協(xié)議安全性顯得尤為重要。

一、常用動態(tài)路由協(xié)議安全性分析

1.1 BGP協(xié)議安全性

多個相互連接的商業(yè)網(wǎng)絡共同組成了Internet。各個ISP或企業(yè)網(wǎng)絡，需要定義一個自治系統(tǒng)號，即ASN，它們的分配由IANA完成[1]。自治系統(tǒng)號共有65535個，其中私用保留的為65512—65535。路由信息在共享狀態(tài)下，此號碼的維護方式可以采取層的方式。BGP采用會話管理，其中TCP的179端口可起到觸發(fā)作用，使Keepalive和update信息被觸發(fā)，且累及其鄰居，從而更新和傳播BGP路由表。

然而，因BGP的傳輸方式以TCP為主，那么容易導致BGP出現(xiàn)關于TCP的諸多問題，例如拒絕服務攻擊，預測序列號，SYN Flood攻擊等。BGP主要是利用TCP的序列號，未使用自身的序列號。所以，一旦設備應用可預測序列號，就容易受到該類型攻擊。在Internet中運行的大部分路由器都采用了Cisco設備，沒有采用預測序列號方案，這就降低了受到攻擊的風險。一些BGP在默認狀態(tài)下，未采用相關的認證機制，有些BGP繼續(xù)沿用明文密碼，這樣，大大增加了受到攻擊的可能性。

實際應用BGP協(xié)議時，還會受到偽造報文攻擊等其他攻擊。但通常情況下，BGP主要在核心網(wǎng)的出口應用，且配置密碼認證，因此，BGP協(xié)議的安全性相對較高。

1.2 OSPF協(xié)議安全性

復雜是OSPF運行機制的主要特征，運行中的諸多環(huán)節(jié)都有可能受到攻擊者的攻擊，給OSPF帶來不同程度傷害。攻擊方式分為以下幾種。一是資源消耗攻擊。將不同類型的OSPF報文不間斷大量發(fā)送，這樣極易導致攻擊實體資源枯竭，難以正常工作。例如給OSPF發(fā)送Hello報文時，因報文超大且鄰居列表過長，鄰居路由器需要根據(jù)鄰居列表創(chuàng)建與之對應的鄰居結構，從而導致資源過量消耗，以致枯竭。二是Upadate報文攻擊。有時OSPF的運轉方向會偏向于攻擊者方向，造成該現(xiàn)象的原因，與修改LSA參數(shù)有關[2]。在這種情況下，攻擊者可假扮成OSPF路由器，與其他路由器連接，達到Exchange狀態(tài)，甚至更高的狀態(tài)。這樣，可以使LSA在兩者間傳遞，在這種情況下，攻擊者占據(jù)了至少一條無需驗證的鏈路密鑰。之后，攻擊者將虛假的LSA注入，以對OSPF攻擊。例如通過發(fā)送大量Maxage的LSA以對Maxage進行攻擊等。此攻擊方式極易導致OSPF路由域發(fā)生混亂。部分攻擊者將LSA的鏈路描述和花費等信息修改，致使OSPF路由器的路由計算錯誤，造成信息被傳遞至不安全網(wǎng)絡。三是Hello報文攻擊。Hello報文被OSPF路由器定期發(fā)送，以找到維護鄰與鄰居接節(jié)點關系。一旦Hello報文中的參數(shù)出現(xiàn)錯誤，鄰居路由器會丟棄Hello報文，出現(xiàn)鄰居Down。除此之外，在鏈路上直接阻絕Hello報文也容易引發(fā)鄰居Down。如果攻擊者破解了OSPF驗證體系，或者OSPF根本沒有加密，攻擊者只需將報文中的部分參數(shù)修改，即可攻擊OSPF。

通過上述分析，可以發(fā)現(xiàn)OSPF路由協(xié)議運行安全性較差，所以，需要采取措施提高其安全性。主要包括兩點，一是增加驗證，驗證是保護OSPF的第一步，所以，OSPF內的全部路由器需要增加有效的加密認證機制。二是設計入侵檢測系統(tǒng)。通過該方式，能夠發(fā)現(xiàn)路由器中出現(xiàn)的諸多沖突信息。包括路由器層面、路由域層面及人的層面。就路由層面而言，需要確保操作系統(tǒng)具備安全性，對于路由域層面，重點考慮全部鏈路與邊緣接入實體的安全性。人的層面，是要加強網(wǎng)絡監(jiān)管，確保網(wǎng)絡安全運行。

1.3 RIP V2協(xié)議安全性

RIP V2與RIP V1的傳輸相同，都是利用不可靠的UDP協(xié)議。但RIP V2采用兩種認證機制，包括密文和明文等。因明文易被嗅探，故在使用密文加密。RIP協(xié)議的認證機制選用通用的MD5，且報文格式以RFC1723為標準。RIP認證以單向為主，R2發(fā)送出的路由被R1接受，反之無法接受。發(fā)送的報文都采用MD5實施加密，故不易被破解。若發(fā)送的路由信息未經(jīng)認證，那么就會被丟棄。這種情況下，被篡改的報文就不會更新。另外，RIP協(xié)議路由更新需要配置一致的密碼，故RIP協(xié)議安全性較高。

二、常用動態(tài)路由協(xié)議應用

2.1 BGP協(xié)議的應用

在BGP網(wǎng)絡，多個自治系統(tǒng)可來源于相同的一根網(wǎng)絡。自治系統(tǒng)與自治系統(tǒng)間采用eBGP廣播路由，而在自治系統(tǒng)內部，采用iBGP廣播路由[3]。無環(huán)路路由信息在自治系統(tǒng)間實現(xiàn)自動交換，是BGP的主要作用。利用交換信息，構建自治區(qū)域拓撲圖，以將路由環(huán)路消除，采用用戶配置路由策略。

2.2 OSPF協(xié)議的應用

內部網(wǎng)管路由協(xié)議的一種是OSPF，目前受到廣泛應用。OSPF作用是提供AS內的動態(tài)選擇路由。OSPF的安全機制建立，包括三個方面。

一是程序性約束與檢驗。接收OSPF報文的檢驗過程十分嚴格，分為OSPF據(jù)悉協(xié)議報文頭、OSPF協(xié)議包頭和IP頭檢驗。常規(guī)性檢驗OSPF報文是十分必要的，它既可降低協(xié)議運行錯誤出現(xiàn)概率，又能使攻擊難度大大增加。二是信息隱藏和層次路由。把OSPF分為兩個層次路由協(xié)議，且進行通告時，可以只通知匯聚的路由信息，也可制定相應策略不通知，這樣，即可實現(xiàn)重要信息隱藏。改善路由可拓展性是設計層次路由機制的主要目標，它可保障OSPF更加安全。三是OSPF自反擊和可靠泛洪。自反擊作為避免OSPF受到攻擊的有效機制，可降低攻擊者偽造LSA，從而提高OSPF安全性。泛洪機制能夠保證相同區(qū)域內的路由器具備相同的拓撲數(shù)據(jù)庫，具備較強的可靠性。

2.3 RIP V2協(xié)議的應用

RIP是應用普遍且最早的內部網(wǎng)關協(xié)議。它的使用十分廣泛，具備良好的可靠性，因其簡單有利于配置。但RIP只能在小型同構網(wǎng)路中應用，主要是因為它的最大站點數(shù)。其最大站點數(shù)是15，只要超過15個站點，其他目的地就會被標記，且無法到達。另外，RIP海域引發(fā)網(wǎng)絡廣播風暴，主要原因與其路由信息廣播傳播頻率有關。

三、總結

常用動態(tài)路由協(xié)議在安全性方面，均存在一些隱患。因此，需要采取有效方式進行解決。通常采用建立實用認證機制方式，可以降低存在風險。但因路由協(xié)議認證方式存在差異，需要應用其他措施予以處理。密文認證是提高常用動態(tài)路由安全性的最佳方式。經(jīng)過處理，動態(tài)路由器的安全性會顯著提升，從而確保網(wǎng)絡安全。

參 考 文 獻

[1]王立偉.動態(tài)路由協(xié)議安全性分析及應用[J].電子技術與軟件工程，2015（10）：12.

[2]劉友緣，馮君，劉強.基于動態(tài)路由協(xié)議的分析與研究[J].重慶文理學院學報：社會科學版，2015（6）：138—143.

[3]余世文.淺析RIP路由協(xié)議的工作原理及應用[J].福建電腦，2014（11）：185—187.