常用动态路由协议安全性分析及应用【摘要】路由器寻找的最佳路径是路由协议，它能保持各个路由器间的路由表相同，实现各个路由器间的相互连通，且在网络间传递数据包。可见，动态路由协议是借助路由器间的信息传递，计算、更新网络结构。但在此过程中，存在一定弊端影响常用动态路由器安全性。现就BGP、OSFP和RIPV2三种常用的动态路由协议安全性进行分析，并总结其应用。【关键词】动态路由安全性应用连接网络的重要硬件设备，是路由器，它可以实现数据包的传递。而动态路由协议指的是路由器表的更新过程，它能够满足网络结构变化的需求。常用的动态路由分为三种，分别为BGP协议、OSPF协议和RIPV2协议。如果在数据包传递过程中，协议出现漏洞，那么容易被人利用，给网络安全造成严重影响。所以，分析常用动态路由协议安全性显得尤为重要。一、常用动态路由协议安全性分析1.1BGP协议安全性多个相互连接的商业网络共同组成了Internet。各个ISP或企业网络，需要定义一个自治系统号，即ASN，它们的分配由IANA完成[1]。自治系统号共有65535个，其中私用保留的为65512―65535。路由信息在共享状态下，此号码的维护方式可以采取层的方式。BGP采用会话管理，其中TCP的179端口可起到触发作用，使Keepalive和update信息被触发，且累及其邻居，从而更新和传播BGP路由表。然而，因BGP的传输方式以TCP为主，那么容易导致BGP出现关于TCP的诸多问题，例如拒绝服务攻击，预测序列号，SYNFlood攻击等。BGP主要是利用TCP的序列号，未使用自身的序列号。所以，一旦设备应用可预测序列号，就容易受到该类型攻击。在Internet中运行的大部分路由器都采用了Cisco设备，没有采用预测序列号方案，这就降低了受到攻击的风险。一些BGP在默认状态下，未采用相关的认证机制，有些BGP继续沿用明文密码，这样，大大增加了受到攻击的可能性。实际应用BGP协议时，还会受到伪造报文攻击等其他攻击。但通常情况下，BGP主要在核心网的出口应用，且配置密码认证，因此，BGP协议的安全性相对较高。1.2OSPF协议安全性复杂是OSPF运行机制的主要特征，运行中的诸多环节都有可能受到攻击者的攻击，给OSPF带来不同程度伤害。攻击方式分为以下几种。一是资源消耗攻击。将不同类型的OSPF报文不间断大量发送，这样极易导致攻击实体资源枯竭，难以正常工作。例如给OSPF发送Hello报文时，因报文超大且邻居列表过长，邻居路由器需要根据邻居列表创建与之对应的邻居结构，从而导致资源过量消耗，以致枯竭。二是Upadate报文攻击。有时OSPF的运转方向会偏向于攻击者方向，造成该现象的原因，与修改LSA参数有关[2]。在这种情况下，攻击者可假扮成OSPF路由器，与其他路由器连接，达到Exchange状态，甚至更高的状态。这样，可以使LSA在两者间传递，在这种情况下，攻击者占据了至少一条无需验证的链路密钥。之后，攻击者将虚假的LSA注入，以对OSPF攻击。例如通过发送大量Maxage的LSA以对Maxage进行攻击等。此攻击方式极易导致OSPF路由域发生混乱。部分攻击者将LSA的链路描述和花费等信息修改，致使OSPF路由器的路由计算错误，造成信息被传递至不安全网络。三是Hello报文攻击。Hello报文被OSPF路由器定期发送，以找到维护邻与邻居接节点关系。一旦Hello报文中的参数出现错误，邻居路由器会丢弃Hello报文，出现邻居Down。除此之外，在链路上直接阻绝Hello报文也容易引发邻居Down。如果攻击者破解了OSPF验证体系，或者OSPF根本没有加密，攻击者只需将报文中的部分参数修改，即可攻击OSPF。通过上述分析，可以发现OSPF路由协议运行安全性较差，所以，需要采取措施提高其安全性。主要包括两点，一是增加验证，验证是保护OSPF的第一步，所以，OSPF内的全部路由器需要增加有效的加密认证机制。二是设计入侵检测系统。通过该方式，能够发现路由器中出现的诸多冲突信息。包括路由器层面、路由域层面及人的层面。就路由层面而言，需要确保操作系统具备安全性，对于路由域层面，重点考虑全部链路与边缘接入实体的安全性。人的层面，是要加强网络监管，确保网络安全运行。1.3RIPV2协议安全性RIPV2与RIPV1的传输相同，都是利用不可靠的UDP协议。但RIPV2采用两种认证机制，包括密文和明文等。因明文易被嗅探，故在使用密文加密。RIP协议的认证机制选用通用的MD5，且报文格式以RFC1723为标准。RIP认证以单向为主，R2发送出的路由被R1接受，反之无法接受。发送的报文都采用MD5实施加密，故不易被破解。若发送的路由信息未经认证，那么就会被丢弃。这种情况下，被篡改的报文就不会更新。另外，RIP协议