小议IP路由协议及其脆弱性剖析.docVIP

小议IP路由协议及其脆弱性剖析 　　摘要:随着计算机互联网络的飞速发展,网络安全问题受到的关注不断提高。当前,针对路由协议脆弱性的攻击对整个网络产生的影响尤为严重。因此,本文介绍了常用的路由协议并分析了其潜在的脆弱性。 　　关键词:路由协议;网络安全;脆弱性 　　 　　一、引言 　　路由协议和网络管理协议构成了网络基础设施的核心。其中RIP, OSPF和BGP路由协议是目前网落中应用最广泛的协议,从路由协议的应用范围来看,OSPF, RIP适用于自治域内部路由,为内部网关协议;BGP用来在自治域之间交换网络可达信息,是外部网关协议。从各路由协议的路由算法来看,RIP采用距离向量算法;OSPF则采用链路状态算法。 　　二、常用的IP路由协议 　　(一)路由信息协议, 　　RIP协议即路由信息协议,是距离一向量路由算法的一个实际应用实例。最初用于ARPANET,目前主要用在Internet, DECnet以及Novell网络中。RIP的路由表交换是通过相互之间交换报文实现的。RIP有两类报文:更新报文和请求报文。更新报文用于路由表的分派,请求报文用于路由器发现网上其他运行RIP的路由器。运行RIP的路由器每隔30s就会向它的邻居路由器广播其路由表。在大型网络中这些周期性的更新信息有利于故障的发现,但这类广播又会导致网络通信开销的明显增加。 　　RIP的路由度量值是到达口的地的跳数。最大跳数为15,跳数16意味着无效路由。RIP引入几个定时器来控制RIP路由信息的发送。这些定时器是更新定时器、无效定时器、保持定时器和刷新定时器。 　　更新定时器用于控制路由更新周期,RIP中此定时器被设置为30s。无效定时器用于探测网络故障,RIP中此定时器被设置为180s。如果在该时间内,不能从前面操作的相邻路由器接收路由更新报文,那么所有经由该相邻路山器的路山均被标记为无效,并进入保持状态。保持定时器用于控制保持时间的定时器,在RIP中此定时器被设置为180s。当网络发生故障后,还要启动刷新定时器。对RIP,该刷新定时器被设置为240s。如果某路由失败,并在失败后240s内仍然无效,那么路由表中的该路由项将被刷新。刷新定时器的超时将使无效路由被从路由更新报文中删除。 　　(二)OSPF协议 　　OSPF是“开放最短路径优先”(Open Shortest Path First)的缩写,是一种典型的链路状态的路由协议,广泛应用于Internet广域网和Intranet企业网。OSPF作为一种内部网关协议(Interior Gateway Protocol IGP),用于在同一个自治系统(Autonomous System)中的路由器之间发布路由信息,通过泛洪法((flooding)将链路状态通告数据包LSA(Link StateAdvertisement)传播给在某一区域(area)内的所有路由器,告诉它们所知道的链路状态。运行OSPF协议的路由器获得整个网络的拓扑结构需经过两个阶段。 　　首先,路由器通过HELLO协议跟相邻(neighboring)路由器建立和维护相邻(adjacencies)关系。OSPF路由器建立邻接的过程是指在广播网络中一个路器由新加入的初态(Downstate)到Fullyadjacent的过程wnstate:运行OSPF路由算法的路由器新加入时所处的状。路由器在此状态以Al1SPFRouters的组播地址发送Hell文,其目的是宣告自己的加入并发现其它运行OSPF路由法的路由器。 　　其次维护相邻路由器间的链路状态数据库的同步。这通过OSPF数据库描述数据包(Database Description Packets)来进行的。OSPF路由器周期性地产生数据库描述数据包,该数据包是有序地,即附带有序列号,这些有序数据包向相邻路由器广播。相邻路由器将数据库描述数据包的序列号与自身数据库的数据比较,若发现接收到的数据比数据库内的数据序列号大,则向相邻路由器发出链路状态请求数据包(Link StateRequest)}39}。相邻路由器收到请求数据包后,发送具有更新链路状态的链路状态更新数据包(Link State UpdatePackets)。请求路由器收到数据后更新其链路状态数据库。网络中所有的路山器运行同样的过程。经过一段时间,每个路由器都知道网络中其他路由器的链路状态。网络稳定下来后,每个路由器将自己作为根计算到每一个可达目的地的路由表C网络中的数据根据这张表选择路由。 　　(三)BGPv4协议 　　运行BGP3的路由器相互之间需要建立TCP连接以交换路由信息,这种连接称为BGP会话(Session)。每一个会话包含了两个端点路由器,这两个端点路由器称为相邻体(Neighbor)或是对等