2022-04-30 16:40:12|已瀏覽:2913次
01常見路由協議的攻擊方式及原理
01針對 RIP 協議的攻擊
RIP,即路由信息協議,是通過周期性(一般情況下為30S)的路由更新報文來維護路由表的。
一臺運行RIP路由協議的路由器,如果從一個接口上接收到了一個路由更新報文,它就會分析其中包含的路由信息,并與自己的路由表作出比較。
如果該路由器認為這些路由信息比自己所掌握的要有效,它便把這些路由信息引入自己的路由表中。
這樣如果一個攻擊者向一臺運行RIP協議的路由器發送了人為構造的帶破壞性的路由更新報文,就很容易的把路由器的路由表搞紊亂,從而導致網絡中斷。
如果運行RIP路由協議的路由器啟用了路由更新信息的HMAC驗證,則可從很大程度上避免這種攻擊。
02 針對 OSPF 路由協議的攻擊
OSPF,即開放最短路徑優先,是一種應用廣泛的鏈路狀態路由協議。
該路由協議基于鏈路狀態算法,具有收斂速度快,平穩,杜絕環路等優點,十分適合大型的計算機網絡使用。
OSPF路由協議通過建立鄰接關系,來交換路由器的本地鏈路信息,然后形成一個整網的鏈路狀態數據庫,針對該數據庫,路由器就可以很容易的計算出路由表。
可以看出,如果一個攻擊者冒充一臺合法路由器與網絡中的一臺路由器建立鄰接關系,并向攻擊路由器輸入大量的鏈路狀態廣播(LSA,組成鏈路狀態數據庫的數據單元),就會引導路由器形成錯誤的網絡拓撲結構,從而導致整個網絡的路由表紊亂,導致整個網絡癱瘓。
當前版本的WINDOWS操作系統都實現了OSPF路由協議功能,因此一個攻擊者可以很容易的利用這些操作系統自帶的路由功能模塊進行攻擊。
跟RIP類似,如果OSPF啟用了報文驗證功能(HMAC驗證),則可以從很大程度上避免這種攻擊。
03 針對 IS-IS 路由協議的攻擊
IS-IS 路由協議,即中間系統到中間系統,是ISO提出來對ISO的CLNS網絡服務進行路由的一種協議。這種協議也是基于鏈路狀態的,原理與OSPF類似。
IS-IS路由協議經過擴展,可以運行在IP網絡中,對IP報文進行選路。這種路由協議也是通過建立鄰居關系,收集路由器本地鏈路狀態的手段來完成鏈路狀態數據庫同步的。
該協議的鄰居關系建立比OSPF簡單,而且也省略了OSPF特有的一些特性,使該協議簡單明了,伸縮性更強。
對該協議的攻擊與OSPF類似,通過一種模擬軟件與運行該協議的路由器建立鄰居關系,然后傳送給攻擊路由器大量的鏈路狀態數據單元(LSP),可以導致整個網絡路由器的鏈路狀態數據庫不一致(因為整個網絡中所有路由器的鏈路狀態數據庫都需要同步到相同的狀態),從而導致路由表與實際情況不符,致使網絡中斷。
與OSPF類似,如果運行該路由協議的路由器啟用了IS-IS協議單元(PDU)HMAC驗證功能,則可以從很大程度上避免這種攻擊。
注:尊重原創文章,轉載請注明出處和鏈接 http://m.dedgn.cn/news-id-30716.html 違者必究!部分文章來源于網絡由培訓無憂網編輯部人員整理發布,內容真實性請自行核實或聯系我們,了解更多相關資訊請關注網絡工程師頻道查看更多,了解相關專業課程信息您可在線咨詢也可免費申請試課。關注官方微信了解更多:150 3333 6050