网络安全协议分析课件：Routing Protocol 攻击及其解决方案.pptxVIP

RoutingProtocol攻击及其解决方案;我们简单说一下动态路由协议的工作原理！

一般三层设备，包括路由器、三层交换机还有防火墙，在进行网络间互联的时候，默认情况下路由表中只存在和它直连网络的路由表信息，而对于非直连网络的路由表信息，必须通过配置静态路由和动态路由获得。所谓静态路由，就是手工在三层设备上配置非直连网络的路由表项，这种方式对三层设备的开销小，但是对于大规模负责的网络环境，路由表不能动态进行更新，所以这个时候需要动态路由协议，例如RIP、OSPF，目的是使三层设备能够动态更新路由表项，但是这种方式缺点是会增加三层设备额外的开销；

动态路由的缺点是会增加三层设备额外的开销是一个方面，还有另外一个缺点就是不安全！

?

动态路由协议欺骗攻击原理：

谁控制了路由协议，谁就控制了整个网络。因此，要对路由协议实施充分的安全防护，要采取最严格的措施！如果该协议失控，就可能导致整个网络失控。链路状态路由协议（OSPF）用得较多，而且将在未来很长时间内继续使用。因此，要搞清楚攻击者针对该协议可能采取的做法，如图2.48所示；

;在以上案例中为L3交换机连接的LAN，通过防火墙连接至Internet，防火墙通过OSPF向L3交换机宣告了一条/0的路由，其默认度量值为100；

此时黑客的PC同样运行了OSPF路由协议，并且黑客PC启用了路由功能，并且连接至Internet，通过路由协议OSPF向L3交换机宣告/0的路由，而其具有很小的度量值为5；

L3交换机从而选择了/0，度量值为5的路由，下一跳IP为黑客PC的IP地址；这样一来，LAN内所有用户访问Internet的上网流量全部经过了黑客PC，黑客PC从而可以对LAN用户访问Internet流量进行大数据分析，如获得用户帐号、密码；

?

;RoutingProtocol攻击解决方案;第一步：首先网络管理员需要预先在要建立OSPF邻居关系的两台路由器上，通过“ipospfmessage-digest-key1md5password”命令，配置预共享秘密。

第二步：发送方把要发送的路由更新信息加上预共享秘密一起进行散列计算，得到一个散列值，这种联合共享秘密一起计算散列的技术就叫做HMAC。

第三步：发送方路由器把第二步通过HMAC技???得到的散列值和明文的路由更新信息进行打包，一起发送给接收方。（注意路由更新信息是明文发送的，绝对没有进行任何加密处理），如图2.50所示；

;第一步：从收到信息中提取明文的路由更新信息。

第二步：把第一步提取出来的明文路由更新信息加上接收方路由器预先配置的共享秘密一起进行散列计算，得到“散列值一”。

第三步：提取出收到信息中的散列值，用它和第二步计算得到的“散列值一”进行比较，如果相同就表示，路由更新信息是没有被篡改过的，是完整的。第二，肯定是预先配置共享秘密的那台比邻路由器发送的路由更新，因为只有它才知道共享秘密是什么，才能够通过HMAC制造出能够校验成功的散列。

通过上述对OSPF路由更新的介绍，再次体现了HMAC的两大安全特性，完整性校验和源认证。应该说在实际运用中，基本不会单纯的使用散列技术，一般都使用HMAC技术。例如：IPSec和HTTPS技术都通过HMAC来对每一个传输的数据包做完整性校验和源认证。

场景：