OSPF路由协议工作原理及其漏洞攻击防范.pdf

《OSPF路由协议工作原理及其漏洞攻击防范.pdf》由会员分享，可在线阅读，更多相关《OSPF路由协议工作原理及其漏洞攻击防范.pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2 0 0 5O S P F(O p e nS h o r t e s t P a t hF i r s t)是一种广泛使用的路由协议,采用O S P F协议的自治系统,经过合理的规划可以有效地扩展计算机网络的规模。O S P F还具有快速收敛,支持变长网络屏蔽码,支持C I D R以及地址s u m m a r y,具有层次化的网络结构,支持路由信息验证等特点。本文除阐述O S P F的原理和特性外,还要探讨了有关O S P F协议的防止攻击的方法。1网络拓扑结构图1中,抽象模型M o d e l 1表示路由器的一个以太网接口不连接其他路由器,只连接了一个以太网段。此时,对于运行O S P

2、F的路由器R 1,只能识别本身,无法识别该网段上的设备(主机等);抽象模型M o d e l 2表示路由器R 1通过点对点链路(如P P P、H D L C等)连接一台路由器R 2;抽象模型M o d e l 3表示路由器R 1通过点对多点(如F r a m e R e l a y、X.2 5等)链路连接多台路由器R 3、R 4等,此时路由器R 5、R 6之间不进行互联;抽象模型M o d e l 4表示路由器R 1通过点对多点(如F r a m eR e l a y、X.2 5等)链路连接多台路由器R 5、R 6等,此时路由器R 5、R 6之间互联。以上抽象模型着重于各类链路层协议的特点,而

3、不涉及具体的链路层协议细节。该模型基本表达了当前网络链路的连接种类。图1网络互联模型在O S P F协议中,分别对以上四种链路状态类型作了描述:对于抽象模型M o d e l 1(以太网链路),使用L i n kI D(连接的网段)、D a t a(掩码)、T y p e(类型)和M e t-r i c(代价)来描述。此时的L i n kI D即为路由器R 1接口所在网段,D a t a为所用掩码,T y p e为3(S t u b n e t),M e t r i c为代价值。对于抽象模型M o d e l 2(点对点链路),先使用L i n kI D(连接的网段)、D a t a(掩码)、

4、T y p e(类型)和M e t r i c(代价)来描述接口路由,以上各参数与M o d e l 1相似。接下来描述对端路由器R 2,四个参数名不变,但其含义有所不同。此时L i n kI D为路由器R 2的R o u t e r I D,D a t a为路由器R 2的接口地址,T y p e为1(R o u t e r),M e t r i c仍为代价值。对于抽象模型M o d e l 3(点对多点链路,不全连通),先使用L i n kI D(连接的网段)、D a t a(掩码)、T y p e(类型)和M e t r i c(代价)来描述接口路由,以上各参数与M o d e l 1相似

5、。接下来分别描述对端路由器R 3、R 4的方法,与在M o d e l 2中描述R 2类似。对于抽象模型M o d e l 4(点对多点链路,全连通),先使用L i n kI D(网段中D R的接口地址)、D a t a(本接口的地址)、T y p e(类型)和M e t r i c(代价)来描述接口路由。此时T y p e值为2(T r a n s n e t),然后是本网段中D R(指定路由器)描述的连接通告。路由器在通报其获知的链路状态(即上面所述的参数)前,加上L S A头(L i n kS t a t e A d v e r t i s e m e n t H e a d),从而生成

6、L S A(链路状态广播)。到此,路由器通过L S A完成周边网络的拓扑结构描述,并发送给网络中的其他路由器。2O S P F协议工作过程O S P F路由协议针对每一个区域分别运行一套独立的计算法则,对于A B R来说,由于一个区域边界路由器同时与几个区域相联,因此一个区域边界路由器上会同时运行几套O S P F计算方法,每一个方法针对一个O S P F区域。2.1区域内部路由当一个O S P F路由器初始化时,首先初始化路由器自身的协议数据库,然后等待低层次协议(数据链路层)提示端口是否处于工作状态。如果低层协议得知一个端口处于工作状态时,O S P F会通过其H e l l o协议数据包

7、与其余的O S P F路由器建立交互关系。一个O S P F路由器向其相邻路由器发送H e l l o数据包,如果接收到某一路由器返回的H e l l o数据包,则在这两个O S P F路由器之间建立起O S P F交互关系,这个过程在O S P F中被称为a d j a c e n c y。在广播性网络或是在点对点的网络环境中,O S P F协议通过H e l l o数据包自动地发现其相邻路由器,在这时,O S P F路由器将H e l l o数据包发送至一特殊的多点广播地址,O S P F 路由协议工作原理及其漏洞攻击防范史创明(安阳师范学院计算机科学系,河南 安阳4 5 5 0 0 0)

8、摘要:本文对最短路径优先协议(OS P F)的网络拓扑结构、路由原理、协议工作过程等基本理论作了科学的阐述。在此基础上指出了边界网关协议存在的缺陷,并对可能存在的漏洞攻击及其防范措施进行了分析。关键词:OS P F协议;自治系统;路由器;最大序列号中图分类号:T P 3 9 3文献标识码:AT h eP r i n c i p l e so f O S P FP r o t o c o l a n dO S P FV u l n e r a b i l i t yMa n a g e me n tS H I C h u a n g-m i n g(D e p a r t m e n t o f

9、 C o m p u t e r a n dS c i e n c e,A n Y a n g T e a c h e r s C o l l e g e,A n y a n g 4 5 5 0 0 0,C h i n a)A b s t r a c t:T h i s p a p e r s p e c i f i e s a nI n t e r n e t s t a n d a r d s t r a c kp r o t o c o l OS P F,e x p l a i n s OS P Fr o u t em a p s a n di t s u s ei nr o u t e

10、 s e l e c t i o n,e x a m i n e st h e OS P Fr o u t e s e l e c t i o np r o c e s s.T h e i s s u e o f OS P Fv u l n e r a b i l i t ym a n a g e m e n t i s a l s ob e e nd i s-c u s s e di nt h i s p a p e r.K e yw o r d s:OS P F;A S;R o u t e r;MA XS e q电脑知识与技术网络通讯与安全3 7电脑知识与技术该多点广播地址为A L L S

11、 P F R o u t e r s。在一些非广播性的网络环境中,我们需要经过某些设置来发现O S P F相邻路由器。在多接入的环境中,例如以太网的环境,H e l l o协议数据包还可以用于选择该网络中的指定路由器D R。一个O S P F路由器会与其新发现的相邻路由器建立O S P F的a d j a c e n c y,并且在一对O S P F路由器之间作链路状态数据库的同步。在多接入的网络环增中,非D R的O S P F路由器只会与指定路由器D R建立a d j a-c e n c y,并且作数据库的同步。O S P F协议数据包的接收及发送正是在一对O S P F的a d j a c

12、 e n c y间进行的。O S P F路由器周期性地产生与其相联的所有链路的状态信息,有时这些信息也被称为链路状态广播L S A(L i n kS t a t e A d v e r t i s e m e n t)。当路由器相联接的链路状态发生改变时,路由器也会产生链路状态广播信息,所有这些广播数据是通过F l o o d的方式在某一个O S P F区域内进行的。F l o o d i n g算法是一个非常可靠的计算过程,它保证在同一个O S P F区域内的所有路由器都具有一个相同的O S P F数据库。根据这个数据库,O S P F路由器会将自身作为根,计算出一个最短路径树,然后,该路由

13、器会根据最短路径树产生自己的O S P F路由表。2.2建立O S P F交互关系a d j a c e n c yO S P F路由协议通过建立交互关系来交换路由信息,但是并不是所有相邻的路由器会建立O S P F交互关系。以a d j a c e n c y为例:O S P F协议是通过H e l l o协议数据包来建立及维护相邻关系的,同时也用其来保证相邻路由器之间的双向通信。O S P F路由器会周期性地发送H e l l o数据包,当这个路由器看到自身被列于其它路由器的H e l l o数据包里时,这两个路由器之间会建立起双向通信。在多接入的环境中,H e l l o数据包还用于发现

14、指定路由器D R,通过D R来控制与哪些路由器建立交互关系。两个O S P F路由器建立双向通信这后的第二个步骤是进行数据库的同步,数据库同步是所有链路状态路由协议的最大的共性。在O S P F路由协议中,数据库同步关系仅仅在建立交互关系的路由器之间保持。O S P F的数据库同步是通过O S P F数据库描述数据包(D a t a b a s e D e s c r i p t i o nP a c k e t s)来进行的。O S P F路由器周期性地产生数据库描述数据包,该数据包是有序的,即附带有序列号,并将这些数据包对相邻路由器广播。相邻路由器可以根据数据库描述数据包的序列号与自身数据

15、库的数据作比较,若发现接收到的数据比数据库内的数据序列号大,则相邻路由器会针对序列号较大的数据发出请求,并用请求得到的数据来更新其链路状态数据库。我们可以将O S P F相邻路由器从发送H e l l o数据包,建立数据库同步至建立完全的O S P F交互关系的过程分成几个不同的状态,分别为:D o w n:这是O S P F建立交互关系的初始化状态,表示在一定时间之内没有接收到从某一相邻路由器发送来的信息。在非广播性的网络环境内,O S P F路由器还可能对处于D o w n状态的路由器发送H e l l o数据包。A t t e m p t:该状态仅在N B M A环境,例如帧中继、X.2

16、 5或A T M环境中有效,表示在一定时间内没有接收到某一相邻路由器的信息,但是O S P F路由器仍必须通过以一个较低的频率向该相邻路由器发送H e l l o数据包来保持联系。I n i t:在该状态时,O S P F路由器已经接收到相邻路由器发送来的H e l l o数据包,但自身的I P地址并没有出现在该H e l l o数据包内,也就是说,双方的双向通信还没有建立起来。2-Wa y:这个状态可以说是建立交互方式真正的开始步骤。在这个状态,路由器看到自身已经处于相邻路由器的H e l l o数据包内,双向通信已经建立。指定路由器及备份指定路由器的选择正是在这个状态完成的。在这个状态,O

17、 S P F路由器还可以根据其中的一个路由器是否指定路由器或是根据链路是否点对点或虚拟链路来决定是否建立交互关系。E x s t a r t:这个状态是建立交互状态的第一个步骤。在这个状态,路由器要决定用于数据交换的初始的数据库描述数据包的序列号,以保证路由器得到的永远是最新的链路状态信息。同时,在这个状态路由器还必须决定路由器之间的主备关系,处于主控地位的路由器会向处于备份地位的路由器请求链路状态信息。E x c h a n g e:在这个状态,路由器向相邻的O S P F路由器发送数据库描述数据包来交换链路状态信息,每一个数据包都有一个数据包序列号。在这个状态,路由器还有可能向相邻路由器发

18、送链路状态请求数据包来请求其相应数据。从这个状态开始,我们说O S P F处于F l o o d状态。L o a d i n g:在l o a d i n g状态,O S P F路由器会就其发现的相邻路由器的新的链路状态数据及自身的已经过期的数据向相邻路由器提出请求,并等待相邻路由器的回答。F u l l:这是两个O SP F路由器建立交互关系的最后一个状态,在这时,建立起交互关系的路由器之间已经完成了数据库同步的工作,它们的链路状态数据库已经一致。在单个O S P F区域中,O S P F路由协议不会产生更多的路由信息。为了与其余区域中的O S P F路由器通讯,该区域的边界路由器会产生一些

19、其它的信息对域内广播,这些附加信息描绘了在同一个A S中的其它区域的路由信息。具体路由信息交换过程如下:在O S P F的定义中,所有的区域都必须与区域0相联,因此每一个区域都必须有一个区域边界路由器与区域0相联,这一个区域边界路由器会将其相联接的区域内部结构数据通过S u m m a r y L i n k广播至区域0,也就是广播至所有其它区域的边界路由器。在这时,与区域0相联的边界路由器上有区域0及其它所有区域的链路状态信息,通过这些信息,这些边界路由器能够计算出至相应目的地的路由。2.3A S外部路由一个自治域A S的边界路由器会将A S外部路由信息广播至整个A S中除了残域的所有区域。

20、为了使这些A S外部路由信息生效,A S内部的所有的路由器(除残域内的路由器)都必须知道A S边界路由器的位置,该路由信息是由非残域的区域边界路由器对域内广播的。3O S P F漏洞及防范措施路由器在每个网络中起到关键的作用,如果一路由器被破坏或者一路由被成功的欺骗,网络的完整性将受到严重的破坏,如果使用路由的主机没有使用加密通信那就更为严重,因为这样的主机被控制的话,将存在着中间人(m a n-i n-t h e-m i d d l e)攻击,拒绝服务攻击,数据丢失,网络整体性破坏,和信息被嗅探等攻击。O S P F可以被配置成没有认证机制,或者使用明文密码认证,或者M D 5,这样如果攻击

21、者能获得一定程度的访问,如他们可以使用如d s n i f f等工具来监视O S P F信息包和或者明文密码,这个攻击者可以运行d i v e r t电脑知识与技术网络通讯与安全3 82 0 0 5s o c k e t或者其他可能的各种类型A R P欺骗工具来重定向通信。下面是简单的说明有关O S P F的4种拒绝服务的攻击方法:(1)M a x A g e a t t a c k攻击L S A的最大a g e为一小时(3 6 0 0),攻击者发送带有最大M a x A g e设置的L S A信息包,这样,最开始的路由器通过产生刷新信息来发送这个L S A,而后就引起在a g e项中的突然改

22、变值的竞争。如果攻击者持续的突然插入最大值到信息包给整个路由器群将会导致网络混乱和导致拒绝服务攻击。(2)S e q u e n c e+攻击即攻击者持续插入比较大的L S As e q u e n c e(序列)号信息包,根据O S P F的R F C介绍因为L Ss e q u e n c en u m b e r(序列号)栏是被用来判断旧的或者是否同样的L S A,比较大的序列号表示 这个L S A越是新近的。所以到攻击者持续插入比较大的L S As e q u e n c e(序列)号信息包时候,最开始的路由器就会产生发送自己更新的L S A序列号来超过攻击者序列号的竞争,这样就导致了

23、网络不稳定并导致拒绝服务攻击。(3)最大序列号攻击就是攻击者把最大的序列号0 x 7 F F F F F F F插入。根据O S P F的R F C介绍,当想超过最大序列号的时候,L S A就必须从路由d o m a i n(域)中刷新,有I n i t i a l S e q u e n-c e N u m b e r初始化序列号。这样如果攻击者的路由器序列号被插入最大序列号,并即将被初始化,理论上就会马上导致最开始的路由器的竞争。但在实践中,J i N a o发现在某些情况下,拥有最大M a x S e q(序列号)的L S A并没有被清除而是在连接状态数据库中保持一小时的时间。(4)伪造

24、L S A攻击这个攻击主要是g a t e d守护程序的错误引起的,需要所有g a t e d进程停止并重新启动来清除伪造的不正确的L S A,导致拒绝服务的产生。这个攻击相似对硬件的路由器不影响并且对于新版本的g a t e d也没有效果。n e m e s i s-o s p f能对O S P F协议产生上述攻击,但是,由于n e m e s i s-o s p f太多的选项和需要对O S P F有详细深刻的了解,所以一般的攻击者和管理人员难于实现这些攻击。并且也听说n e m e s i s-o s p f也不是一直正常正确的工作,就更限制了这个工具的使用价值。O S P F认证需要K

25、E Y的交换,每次路由器必须来回传递这个K E Y来认证自己和尝试传递O S P F消息,路由器的H E L L O信息包在默认配置下是每1 0秒在路由器之间传递,这样就给攻击者比较的大机会来窃听这个K E Y,如果攻击者能窃听网络并获得这个K E Y的话,O S P F信息包就可能被伪造,更严重的会盲目重定向这些被伪造的O S P F信息包。参考文献:1 h t t p:/w w w.3 o u r.c o m/p c o n l i n e/n e t w o r k/i n f o s o r t/1 _ 1.h t m.2 H a n gL i u.O S P F-T E E x t

26、e n s i o n si n S u p p o r to fS h a r e dM e s hR e s t o r a t i o n.2 0 0 4-0 2.3 龚倩.智能光交换网络 M .北京:北京邮电大学出版社,2 0 0 3.4 h t t p:/t e c h.c c i d n e t.c o m/p u b/a r t i c l e/.收稿日期:2 0 0 5-0 8随着I n t e r n e t技术的飞速发展,使越来越多的用户加入到互联网,任何两台主机间通信都必须拥有全球惟一的I P地址,到目前为止,I p v 4近4 3亿个I P地址已经被用去了一大半,并且每

27、年都以8 0 0 0万个甚至更快的速度被消耗,相信在不久的将来,I P地址将会用完(有专家预计在2 0 0 8年将会用完),为解决I P地址即将耗尽的问题,人们可以采很多技术来节省I P地址的使用,其中N A T技术就是其中的一种。1N A T基本原理网络地址转换(N e t w o r kA d d r e s s T r a n s l a t i o n,N A T)是用于将一个地址域(如企业内部网I n t r a n e t)映射到另一个地址域(如国际互联网I n t e r n e t)的标准方法。N A T的功能,就是指在一个局域网内部,根据需要可以随意使用自定义的I P地址(必

28、须是用于内部网络的私有I P地址),而不需要经过申请。在网络内部,各计算机间通过内部的I P地址进行通讯。而当内部的计算机要与外部I n t e r n e t网络进行通讯时,具有N A T功能的设备(比如:路由器)负责将其内部的I P地址转换为合法的I P地址(即经过申请的I P地址)进行通信。2N A T的应用环境2.1一个企业不想让外部网络用户知道自己的网络内部结构,可以通过N A T将内部网络与外部I n t e r n e t隔离开,则外部用户根本不知道通过N A T设置的内部I P地址。N A T技术及应用田祥宏(金陵科技学院信息技术学院,江苏 南京2 1 0 0 0 1)摘要:随

29、着I n t e r n e t技术的飞速发展,使越来越多的用户加入到互联网,任何两台主机间通信都必须拥有全球惟一的I P地址,而不久I P地址将会用完,为解决I P地址即将耗尽,可以使用NA T技术来节省I P地址。关键词:NA T;I P地址;静态地址转换;动态地址转换;端口地址转换(P A T)中图分类号:T P 3 9 3文献标识码:AN A TT e c h n o l o g ya n di t sA p p l i c a t i o nT I A NX i a n g-h o n g(J i n l i n g I n s t i t u t e o f T e c h n o

30、 l o g y,Na n j i n g 2 1 0 0 0 1,C h i n a)A b s t r a c t:Mo r ea n dm o r eu s e r s j o i ni nI n t e r n e t b yI n t e r n e t t e c h n o l o g ys p r e a d i n gv e r yq u i c k l y.I nI n t e r n e t,T w oh o s t st h a t c a nc o m m u n i c a t e m u s t g e t a u n i q u e I Pa d d r e s

31、 s.B u t I Pa d d r e s s r e s o u r c e w i l l r u no u t o f.T h u s,F o r s o l v i n gt h e p r o b-l e m,We c a ns a v e I Pa d d r e s s r e s o u r c e b y u s i n g NA Tt e c h n o l o g y.K e yw o r d s:NA T;I Pa d d r e s s;S A T;D A T;P A T(P o r t A d d r e s s T r a n s l a t i o n)电脑知识与技术网络通讯与安全3 9