關于一些路由協(xié)議的漏洞

2019-11-04 12:06:52

字體：大中小

來源：轉載

供稿：網(wǎng)友

　　此文章討論了有關對網(wǎng)絡底層協(xié)議的攻擊和防止攻擊的方法，非凡是關于路由和路由
　　協(xié)議的漏洞，如Routing Information PRotocol (Rip，路由信息協(xié)議), Border Gateway
　　Protocol (邊緣網(wǎng)關協(xié)議), Open Shortest Path First (OSPF，開放最短路徑優(yōu)先協(xié)議)等。
　　
　　路由器在每個網(wǎng)絡中起到要害的作用，假如一路由器被破壞或者一路由被成功的欺騙，
　　網(wǎng)絡的完整性將受到嚴重的破壞，假如使用路由的主機沒有使用加密通信那就更為嚴重，
　　因為這樣的主機被控制的話，將存在著中間人(man-in-the-middle)攻擊，拒絕服務攻擊，
　　數(shù)據(jù)丟失，網(wǎng)絡整體性破壞，和信息被嗅探等攻擊。
　　
　　路由是一個巨大又復雜的話題，所以本人只是在此提到一部分知識，而且水平的關系，
　　請大家多多指教。
　　
　　關于一些很普遍的路由器安全問題
　　
　　多種路由器存在各種眾所周知的安全問題，一些網(wǎng)絡底層設備提供商如Cisco, Livingston,
　　Bay等的普通安全問題大家可以參考下面地址，其中收集了不少安全漏洞：
　　http://www.antionline.com/cgi-bin/anticode/anticode.pl?dir=router-eXPloits
　　
　　上面地址所收集的漏洞大部分無關于路由協(xié)議級的攻擊，而是一些由于錯誤配置,IP信息包錯誤
　　處理，SNMP存在默認的communit name string,薄弱密碼或者加密算法不夠強壯而造成。上面
　　的一些攻擊一般一個標準的NIDS都能夠探測出來。這些類型的攻擊對網(wǎng)絡底層有一定的削弱性
　　并可以組合一些高極別的協(xié)議進行攻擊。
　　
　　正確的配置治理可以處理不少普通的漏洞，如你必須處理一些標準的規(guī)程:不使用SNMP(
　　或者選擇強壯的密碼)，保持補丁程序是最新的，正確處理訪問控制列表，出入過濾，防火墻，
　　加密治理通道和密碼，路由過濾和使用md5認證。當然在采用這些規(guī)程之前你必須知道這些
　　安全規(guī)則的相關的含義和所影響到的服務。
　　近來有關的一些低部構造防衛(wèi)檢測系統(tǒng)的開發(fā)
　　近來的在網(wǎng)絡防護開發(fā)項目中比較不錯的是一個IDS叫JiNao,你可以在下面的地址找到
　　相關的內(nèi)容：http://www.anr.mcnc.org/projects/JiNao/JiNao.Html. JiNao是由DARPA發(fā)起
　　的，并現(xiàn)在成為一個合作研究項目由MCNC和北卡羅萊納州大學共同開發(fā)。JiNao在FreeBSD和
　　linux上運行的是在線模式(使用divert sockets)，在Solaris運行在離線模式，并在3個網(wǎng)絡
　　上測試-MCNC，NCSU和由PC（操作系統(tǒng)做路由）和商業(yè)路由器組合的AF/Rome 實驗室。測試
　　結果顯示了可以成功的防止多種類型的網(wǎng)絡底層攻擊并能很好的高精度的探測這些攻擊。
　　當前，JiNao看起來在研究關于Open Shortest Path First (OSPF，開放最短路徑優(yōu)先)協(xié)議，
　　并且最終JiNao會延伸到各種協(xié)議。JiNao指出，防衛(wèi)攻擊和入侵探測將會集成在網(wǎng)絡治理內(nèi)
　　容中，所以JINao現(xiàn)在正趨向于網(wǎng)絡防火墻，入侵探測系統(tǒng)和網(wǎng)絡治理系統(tǒng)組合一體。
　　還有一個工具可以很好的分析高級的協(xié)議，如Agilent Advisor
　　(http://onenetworks.comms.agilent.com/)的網(wǎng)絡分析工具，它能很好的支持多種路由協(xié)議并
　　能定制過濾器來探測各種不正常的行為。
　　一些工作于路由協(xié)議的工具
　　Linux divert sockets描述到:"Divert socket能夠在末端主機也能在路由器上進行IP信息
　　包捕捉和注入，信息包的捕捉和插入發(fā)生在IP層上，捕捉的信息包在用戶空間轉向到套接口中，
　　因此這些信息包將不會達到它們的最終目的地，除非用戶空間套接口重插入它們。這樣在信息
　　包捕捉和重新插入之間可以在系統(tǒng)系統(tǒng)內(nèi)核之外答應各種不同的操作(如路由和防火墻)."
　　(http://www.anr.mcnc.org/~divert/).簡單的說divert socket就是由user space(用戶空間)
　　的程序來處理kernel(內(nèi)核)中的IP packet(IP信息包)，這個divert socket最早應用與FreeBSD
　　系統(tǒng)中，如NAT就是應用了divert socket。這樣使開發(fā)程序很輕易，因為在用戶層，而處理IP
　　packet(IP信息包)的效率也比較高，因為是直接處理kernel(內(nèi)核)中的IP packet(IP信息包)。
　　大家可以在下面的地址中找到相關的Divert socket:http://www.anr.mcnc.org/~divert/.
　　Divert socket就象上面說最早實現(xiàn)于FreeBSD中，現(xiàn)在已經(jīng)移植到Linux中并作為JiNao IDS項目
　　的一部分采用。
　　另一個叫Nemesis Packet Injection suite，是一個比較強大的網(wǎng)絡和安全工具，由Obecian
　　開發(fā)，你可以在下面的地址獲得:http://www.packetninja.net.最新的nemesis-1.1發(fā)行在2000年
　　6月24號。Nemesis是一個"命令行式的UNIX網(wǎng)絡信息包插入套件"，并是一個很好的測試防火墻，
　　入侵探測系統(tǒng)，路由器和其他網(wǎng)絡環(huán)境的工具。它可以被攻擊者使用和授權滲透探測者在主機和
　　網(wǎng)絡級的網(wǎng)絡安全環(huán)境檢測。其中這個站點還有一個演化的Nemesis叫Intravenous,發(fā)行于11/30/00.
　　Intravenous看起來承載了Nemesis所有基本功能，其中不同的是增加了人工智能引擎的內(nèi)容。更多
　　有關Intravenous的信息你可以在packetninja.net站點里找到.
　　
　　----------------------------
　　
　　IRPAS,Internetwork Routing Protocol Attack Suite,由FX所寫，可以在下面的站點找到
　　http://www.phenoelit.de/irpas/.IRPAS包含了各種可工作于Cisco路由設備的協(xié)議層的命令行工具，
　　包括如下這些命令:
　　cdp--可發(fā)送Cisco router Discovery Protocol (CDP CISCO路由發(fā)現(xiàn)協(xié)議)消息;
　　
　　igrp是能插入Interior Gateway Routing Protocol (IGRP 內(nèi)部網(wǎng)關路由協(xié)議)消息；irdp用來
　　發(fā)送ICMP Router Discovery Protocol (ICMP路由發(fā)現(xiàn)協(xié)議)消息；
　　
　　irdresponder--可使用精心制作的信息包來響應IRDP請求；
　　
　　ass--Autonomous System Scanner(自主系統(tǒng)掃描器,現(xiàn)在可下載的版本只支持IGRP)，這里解釋
　　下Autonomous system，即一般所說的AS，簡單的說是一組內(nèi)部路由器，使用共同協(xié)議交流內(nèi)部網(wǎng)絡
　　的信息，更直接的說法就是這些路由器自己自主，交流信息。與之相反的是我們經(jīng)常知道的外部路
　　由器如一般的電信節(jié)點處的路由器。典型的AS使用單一的路由協(xié)議在它的邊界產(chǎn)生和傳播路由信息。
　　ass就類似于TCP端口掃描器一樣，只不過其是針對自主系統(tǒng)的。使用ass掃描的話，假如自主系統(tǒng)應
　　答，將返回路由進程中的所有路由信息。IRPAS 的網(wǎng)站也包含一條關于Generic Routing Encapsulation
　　(GRE 一般路由封裝) 漏洞的文檔，其中這個Generic Routing Encapsulation (GRE 一般路由封裝)
　　漏洞答應外部攻擊者繞過NAT和破壞一通過VPN的內(nèi)部RFC1918網(wǎng)絡。這份文檔大家可以在下面的地址
　　獲得:http://www.phenoelit.de/irpas/gre.html，其中在其他章節(jié)還包含了更多的信息和通過irpas的
　　可能攻擊策略.
　　
　　irpas的開發(fā)者FX，發(fā)送了由ass新版本2.14(還沒有發(fā)布)掃描的AS樣本和igrp怎樣利用ass
　　的信息(AS #10和其他數(shù)據(jù))來插入一欺騙的路由給222.222.222.0/24。雖然IGRP協(xié)議目前不是很多使用，
　　但這個例子卻是相當?shù)牟诲e。下面是FX測試的結果：
　　
　　test# ./ass -mA -i eth0 -D 192.168.1.10 -b15 -v
　　（這里的-i是接口，-D是目的地址，-b15指的是自主系統(tǒng)0-15之間
　　ASS [Autonomous System Scanner] $Revision: 2.14 $
　　(c) 2k FX
　　Phenoelit (http://www.phenoelit.de)
　　No protocols selected; scanning all
　　Running scan with:
　　interface eth0
　　Autonomous systems 0 to 15
　　delay is 1
　　in ACTIVE mode
　　
　　Building target list ...
　　192.168.1.10 is alive
　　Scanning ...
　　Scanning IGRP on 192.168.1.10
　　Scanning IRDP on 192.168.1.10
　　Scanning RIPv1 on 192.168.1.10
　　shutdown ...
　　
　　OK，得到以下的結果
　　>>>>>>>>>>>> Results >>>>>>>>>>>
　　192.168.1.10
　　IGRP
　　#AS 00010 10.0.0.0 (50000,1111111,1476,255,1,0)
　　IRDP
　　192.168.1.10 (1800,0)
　　192.168.9.99 (1800,0)
　　RIPv1
　　10.0.0.0 (1)
　　
　　
　　test# ./igrp -i eth0 -f routes.txt -a 10 -S 192.168.1.254 -D 192.168.1.10
　　當然這里的routes.txt需要你自己指定：
　　routes.txt:
　　# format
　　# destination:delay:bandwith:mtu:reliability:load:hopcount
　　222.222.222.0:500:1:1500:255:1:0
　　
　　Cisco#sh ip route
　　Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
　　D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
　　E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
　　i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
　　U - per-user static route
　　
　　Gateway of last resort is not set
　　
　　10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
　　C 10.1.2.0/30 is directly connected, Tunnel0
　　S 10.0.0.0/8 is directly connected, Tunnel0
　　C 192.168.9.0/24 is directly connected, Ethernet0
　　C 192.168.1.0/24 is directly connected, Ethernet0
　　I 222.222.222.0/24 [100/1600] via 192.168.1.254, 00:00:05, Ethernet0
　　^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
　　看到?jīng)]有，到達222.222.222.0/24經(jīng)由192.168.1.254
　　
　　-----------------------------
　　
　　Rprobe & srip--這個工具附帶在一篇關于RIP欺騙非常不錯的指南文檔中(由humble寫),
　　你可以在下面的地址找到這篇文章http://www.technotronic.com/horizon/ripar.txt.Rprobe
　　工具會從一路由daemon(守護程序)中請求一RIP路由表的拷貝，使用Tcpdump或者其他任何嗅探
　　工具可以用來捕捉這些結果。接下來，srip可以用來從任意源IP發(fā)送一偽造的RIPv1或者RIPv2
　　消息，Srip可以插入新的路由和使當前的路由無效，當然攻擊者/滲透測試者需要知道命令行中
　　使用什么參數(shù)。關于這些工具的介紹可參看Hacking Exposed 第二版Network Device節(jié)找到示例。
　　
　　------------------------
　　
　　當然還有其他工作與相關路由協(xié)議的工具可被攻擊者或者滲透測試者使用，如:Routed,
　　gated, zebra, mrt, 和 gasp ，大家可以參看其他的文檔。
　　
　　下面是有關各種協(xié)議的淺釋和相關漏洞及可以采用的防衛(wèi)措施
　　
　　Routing Information Protocol (RIP，路由信息協(xié)議)
　　
　　Routing Information Protocol (RIP，路由信息協(xié)議)是基于距離矢量的路由協(xié)議，其
　　所有路由基于(hop)跳數(shù)來衡量。由Autonomous System (AS，自主系統(tǒng)) 來全面的治理整個
　　由主機，路由器和其他網(wǎng)絡設備組成的系統(tǒng)。RIP是作為一種內(nèi)部網(wǎng)關協(xié)議(interior gateway
　　protocol)，即在自治系統(tǒng)內(nèi)部執(zhí)行路由功能。相反的大家都知道外部網(wǎng)關路由協(xié)議(exterior
　　gateway protocol)，如邊緣網(wǎng)關協(xié)議（BGP），在不同的自治系統(tǒng)間進行路由。RIP協(xié)議對大
　　型網(wǎng)絡來說不是一個好的選擇，因為它只支持15跳，RIPv1而且只能通信自身相關的路由信息，
　　反之RIPv2能對其他路由器進行通信。RIP協(xié)議能和其他路由協(xié)議共同工作，依照Cisco，RIP
　　協(xié)議經(jīng)常用來與OSPF協(xié)議相關聯(lián)，雖然很多文蕩指出OSPF需代替RIP.
　　應該知道經(jīng)由RIP更新提交的路由可以通過其他路由協(xié)議重新分配，這樣假如一攻擊者能
　　通過RIP來欺騙路由到網(wǎng)絡，然后再通過其他協(xié)議如OSPF或者不用驗證的BGP協(xié)議來重新分配
　　路由，這樣攻擊的范圍將可能擴大。
　　
　　RIP協(xié)議相關的漏洞和防范措施
　　
　　一個測試者或者攻擊者可以通過探測520 UDP端口來判定是否使用RIP，你可以使用熟悉的
　　工具如nmap來進行測試，如下所示，這個端口打開了并沒有使用任何訪問控制聯(lián)合任意類型的
　　過濾：
　　
　　[root@test]# nmap -sU -p 520 -v router.ip.address.2
　　interesting ports on (router.ip.address..2):
　　Port State Service
　　520/udp open route
　　
　　掃描UDP520端口在網(wǎng)站http://www.dshield.org/的"Top 10 Target Ports"上被排列
　　在第7位，你表明有許多人在掃描RIP，這當然和一些路由工具工具的不斷增加有一定的關聯(lián)。
　　
　　RIPv1 天生就有不安全因素，因為它沒有使用認證機制并使用不可靠的UDP協(xié)議進行
　　傳輸。RIPv2的分組格式中包含了一個選項可以設置16個字符的明文密碼字符串(表示可很容
　　的被嗅探到)或者MD5簽字。雖然RIP信息包可以很輕易的偽造，但在RIPv2中你使用了MD5簽字
　　將會使欺騙的操作難度大大提高。一個類似可以操作的工具就是nemesis項目中的RIP命令--
　　nemesis-rip,但由于這個工具有很多的命令行選項和需要必備的知識，所以nemesis-rip 比較
　　難被script kiddies使用。想使用nemesis-rip成功進行一次有效的RIP欺騙或者類似的工具需要
　　很多和一定程度的相關知識。不過"Hacking Exposed"第二版第10章:Network Devices提到的有
　　些工具組合可以比較輕易的進行RIP欺騙攻擊攻擊，這些工具是使用rprobe來獲得遠程網(wǎng)絡RIP
　　路由表，使用標準的tcpdump或者其他嗅探工具來查看路由表，srip來偽造RIP信息包(v1或者v2)，
　　再用fragrouter重定向路由來通過我們控制的主機，并使用類似dsniff的工具來最后收集一些
　　通信中的明文密碼。
　　
　　盡管大家知道欺騙比較輕易，但仍然存在一些大的網(wǎng)絡提供商仍然依靠RIP來實現(xiàn)一些路由
　　功能，雖然不知道他們是否采用來安全的措施。RIP顯然目前還是在使用，呵呵但希望很少人使
　　用RIPv1，并且使用了采用MD5安全機制的RIPv2，或者已經(jīng)移植到了使用MD5認證的OSPF來提高
　　安全性。
　　
　　Border Gateway Protocol (BGP，邊界網(wǎng)關協(xié)議)
　　
　　BGP是Exterior Gateway Protocol (EGP，外部網(wǎng)關協(xié)議)，此協(xié)議執(zhí)行的時候自主系統(tǒng)之間的
　　路由，現(xiàn)在BGP4是最近的流行標準，BGP使用幾種消息類型，其中這文章相關的最重要的消息是
　　UPDATE消息類型，這個消息包含了路由表的更新信息，全球INTERNET大部分依靠BGP，因此一些
　　安全問題必須很嚴厲的對待，L0pht幾年就宣稱過:他們能在很短的時間內(nèi)利用路由協(xié)議的安全如
　　BGP來搞垮整個Internet.
　　
　　BGP協(xié)議相關的漏洞和防范措施
　　
　　BGP使用TCP 179端口來進行通信，因此nmap必須探測TCP 179端口來判定BGP的存在。
　　
　　[root@test]# nmap -sS -p 179 -v router.ip.address.2
　　Interesting ports on (router.ip.address..2):
　　Port State Service
　　179/tcp open bgp
　　
　　-一個開放的BGP端口，更輕易被攻擊
　　
　　[root@test]# nmap -sS -n -p 179 router.ip.address.6
　　Interesting ports on (router.ip.address.6):
　　Port State Service
　　179/tcp filtered bgp
　　
　　BGP端口被過濾了，對攻擊有一定的反抗力。
　　
　　由于BGP使用了TCP的傳輸方式，它就會使BGP引起不少關于TCP方面的問題，如很普遍的
　　SYN Flood攻擊，序列號猜測，一般拒絕服務攻擊等。BGP沒有使用它們自身的序列而依靠
　　TCP的序列號來代替，因此，假如設備采用了可猜測序列號方案的話，就存在這種類型的攻擊，
　　幸好的是，運行在Internet上大部分重要的路由器使用了Cisco設備，而其是沒有使用可猜測
　　序列號方案。
　　
　　部分BGP的實現(xiàn)默認情況下沒有使用任何的認證機制，而有些可能存在和RIP同樣的問題就
　　是使用了明文密碼。這樣假如認證方案不夠強壯的話，攻擊者發(fā)送UPDATE信息來修改路由表的
　　遠程攻擊的機會就會增加許多，導致進一步的破壞擴大。
　　
　　BGP也可以傳播偽造的路由信息，假如攻擊者能夠從一協(xié)議如RIP中修改或者插入路由信息并
　　由BGP重新分配。這個缺陷是存在與信任模塊中而不是其協(xié)議本身。另外BGP的community 配置也
　　會有某些類型的攻擊，原因是community name在某些情況下是作為信任token(標志)可以被獲得。
　　至于通過通過BGP的下層協(xié)議（TCP）對其攻擊看來是比較困難的，因為會話在點對點之間是通過
　　一條單獨的物理線路進行通信的，但在一定環(huán)境如在兩AS系統(tǒng)通過交換機來連接則可能存在TCP
　　插入的攻擊，在這樣的網(wǎng)絡中，攻擊者在同一VLAN或者他有能力嗅探switch的通信(如使用dsniff
　　工具通過ARP欺騙來獲得），監(jiān)視TCP序列號，插入修改的信息包或者使用工具如hunt的進行hijack
　　連接而獲得成功，但這種類型的攻擊一般只能在實驗室環(huán)境中演示比較輕易，而在實際的網(wǎng)絡中
　　因為太過復雜而很難成功。
　　
　　要使BGP更安全，你最好對端口179采用訪問列表控制，使用MD5認證，使用安全傳輸媒體進行
　　安全BGP通信和執(zhí)行路由過濾(你可以查看下面的文檔(see http://www.cisco.com/univercd/cc/
　　td/doc/prodUCt/software/ios120/12cgcr/np1_c/1cprt1/1cbgp.htm#40309)以及一些標準的路
　　由安全設置過濾配置。
　　Open Shortest Path First (OSPF，開放最短路徑優(yōu)先協(xié)議)
　　
　　OSPF是動態(tài)連接狀態(tài)路由協(xié)議，其保持整個網(wǎng)絡的一個動態(tài)的路由表并使用這個表來判定
　　網(wǎng)絡間的最短路徑，OSPF是內(nèi)部使用連接狀態(tài)路由協(xié)議，協(xié)議通過向同層結點發(fā)送連接狀態(tài)信
　　息（LSA）工作，當路由器接收到這些信息時，它就可以根據(jù)SPF算法計算出到每個結點的最短
　　路了。其他相臨路由器通過使用OSPF的Hello協(xié)議每10秒發(fā)送一個問候包給224.0.0.5，然后接
　　收這些路由器發(fā)回的信息。一個OSPF的hello信息包頭可以通過iptraf來嗅探到，如下所示：
　　
　　OSPF hlo (a=3479025376 r=192.168.19.35) (64 bytes) from 192.168.253.67 to 224.0.0.5 on eth0
　　
　　192.168.253.67邊界路由器發(fā)送一個helo信息包給多播(224.0.0.5)來告訴其他路由器和主機怎樣
　　從192.168.19.35聯(lián)系區(qū)域a(a=3479025376).
　　
　　一旦路由器接受到Hello信息包，它就開始同步自己的數(shù)據(jù)庫和其他路由一樣。
　　
　　一個LAS頭包括以下幾個部分： LS age, option, LS type, Link state ID, Advertising Router ID,
　　LS sequence number, LS checksum, 和 length.
　　
　　OSPF協(xié)議相關的漏洞和防范措施
　　
　　OSPF使用協(xié)議類型89，因此你可以使用nmap協(xié)議掃描來判定OSPF，除非網(wǎng)絡通過配置訪問
　　列表來不響應這些類型的查詢。如下所示：
　　
　　root@test]# nmap -sO -router.ip.address.252
　　Interesting protocols on (router.ip.address.252):
　　Protocol State Name
　　89 open ospfigp
　　
　　OSPF由于內(nèi)建幾個安全機制所以比起RIP協(xié)議安全的多，但是，其中LSA的幾個組成部分也
　　可以通過捕捉和重新注入OSPF信息包被修改，JiNao小組開發(fā)了一個FREEBSD divert socket
　　的LINUX實現(xiàn)并在它們的測試中使用到。
　　
　　OSPF可以被配置成沒有認證機制，或者使用明文密碼認證，或者MD5，這樣假如攻擊者能獲得
　　一定程度的訪問，如他們可以使用如dsniff等工具來監(jiān)視OSPF信息包和或者明文密碼，這個
　　攻擊者可以運行divert socket或者其他可能的各種類型ARP欺騙工具來重定向通信。
　　
　　JiNao小組發(fā)現(xiàn)了有關OSPF的4種拒絕服務的攻擊方法，下面是簡單的說明：
　　
　　--Max Age attack攻擊 LSA的最大age為一小時(3600)
　　
　　攻擊者發(fā)送帶有最大MaxAge設置的LSA信息包，這樣，最開始的路由器通過產(chǎn)生刷新信息
　　來發(fā)送這個LSA，而后就引起在age項中的忽然改變值的競爭。假如攻擊者持續(xù)的忽然插入
　　最大值到信息包給整個路由器群將會導致網(wǎng)絡混亂和導致拒絕服務攻擊。
　　
　　--Sequence++ 攻擊即攻擊者持續(xù)插入比較大的LSA sequence(序列)號信息包，根據(jù)OSPF
　　的RFC介紹因為LS sequence number（序列號）欄是被用來判定舊的或者是否同樣的LSA，比
　　較大的序列號表示這個LSA越是新近的。所以到攻擊者持續(xù)插入比較大的LSA sequence
　　(序列)號信息包時候，最開始的路由器就會產(chǎn)生發(fā)送自己更新的LSA序列號來超過攻擊者序列
　　號的競爭，這樣就導致了網(wǎng)絡不穩(wěn)定并導致拒絕服務攻擊。
　　
　　--最大序列號攻擊
　　
　　就是攻擊者把最大的序列號0x7FFFFFFF插入。根據(jù)OSPF的RFC介紹，當想超過最大序列號的
　　時候，LSA就必須從路由domain(域)中刷新，有InitialSequenceNumber初始化序列號。這樣
　　假如攻擊者的路由器序列號被插入最大序列號，并即將被初始化，理論上就會馬上導致最
　　開始的路由器的競爭。但在實踐中，JiNao發(fā)現(xiàn)在某些情況下，擁有最大MaxSeq(序列號)的
　　LSA并沒有被清除而是在連接狀態(tài)數(shù)據(jù)庫中保持一小時的時間。
　　
　　--偽造LSA攻擊
　　
　　這個攻擊主要是gated守護程序的錯誤引起的，需要所有gated進程停止并重新啟動來清除
　　偽造的不正確的LSA，導致拒絕服務的產(chǎn)生。這個攻擊相似對硬件的路由器不影響并且對于
　　新版本的gated也沒有效果。
　　
　　上面的一些信息你可以參考http://www.ietf.org/rfc/rfc2328.txt和JiNao對OSPF的漏洞
　　分析:On the Vulnerabilities and Protection of OSPF Routing Protocol (http://ww
　　w.anr.mcnc.org/projects/JiNao/ic3n98.ps).
　　
　　nemesis-ospf能對OSPF協(xié)議產(chǎn)生上述攻擊，但是，由于nemesis-ospf太多的選項和需要
　　對OSPF有具體深刻的了解，所以一般的攻擊者和治理人員難于實現(xiàn)這些攻擊。并且也聽說
　　nemesis-ospf也不是一直正常正確的工作，就更限制了這個工具的使用價值。
　　
　　OSPF認證需要KEY的交換，每次路由器必須往返傳遞這個KEY來認證自己和嘗試傳遞OSPF消息，
　　路由器的HELLO信息包在默認配置下是每10秒在路由器之間傳遞，這樣就給攻擊者比較的大
　　機會來竊聽這個KEY，假如攻擊者能竊聽網(wǎng)絡并獲得這個KEY的話，OSPF信息包就可能被偽造，
　　更嚴重的會盲目重定向這些被偽造的OSPF信息包。當然這些攻擊少之又少，不光光是其難度，
　　重要的是因為還有其他更輕易的安全漏洞可以利用，誰不先捏軟柿子.
　　
　　這里建議假如一個主機不要使用動態(tài)路由，大多數(shù)的主機使用靜態(tài)路由就能很好的完成起功
　　能。因為使用動態(tài)路由協(xié)議很會受到攻擊，例如，幾年以前gated軟件就被發(fā)現(xiàn)有一個認證的
　　問題。
　　
　　-------------------------
　　
　　關于使用IRPAS對CDP和IRDP攻擊
　　
　　IRPAS的cdp程序主要對發(fā)送CDP (Cisco router Discovery Protocol)消息給CISCO路由器
　　并對內(nèi)部網(wǎng)絡段產(chǎn)生拒絕服務攻擊，發(fā)送一些垃圾字符就會導致路由器重新啟動或者崩潰。
　　它也能作為欺騙來使用，為其他更危險的程序打開方便的大門，一種可能的攻擊場景：如使
　　用cdp來使路由器停止服務，然后使用irdp或者irdresponder工具發(fā)送高優(yōu)先值來通知一新
　　的路由器，這樣假如我們的目標路由器不能與被拒絕服務攻擊而停止服務的通信，新的路
　　由器的高優(yōu)先值就會被采用，假如攻擊者設置的這個值被成功采用的話，攻擊者就能在他們
　　的系統(tǒng)中輕松插入通信路徑。
　　
　　這種類型的攻擊也可以應用在某些配置了使用IRDP協(xié)議的主機，如WINDOWS98默認情況下
　　配置使用IRDP，WINNT需要手工配置支持IRDP環(huán)境，并在啟動的時候廣播3個ICMP Router
　　Solicitation messages(ICMP路由請求消息)。L0pht有文章具體的描述關于WINDOWS和SUN
　　機器上的采用IRDP而存在漏洞，你可以在下面的地址找到這篇文章：
　　http://www.l0pht.com/advisories/rdp.txt
　　
　　=================================================================================
　　
　　電腦網(wǎng)絡如Internet很大程度上依靠路由協(xié)議的正確處理，國內(nèi)如有些通的線路很不正常，
　　很大程度因為是沒有很好的處理路由。而路由協(xié)議的安全也尤為重要，雖然針對路由協(xié)議
　　的攻擊現(xiàn)在不是很多，我也很少看見這方面的介紹(不知道不肯知道，還是其他原因。希望
　　這破磚能引出更多的美玉來)，但隨著一些工具如nemesis和irpas的出現(xiàn)，和一些針對底層
　　網(wǎng)絡的保護的研究開發(fā)如JiNao IDS，會對路由協(xié)議的攻擊更加輕易化和易理解化。
　　下面是一些關于路由協(xié)議的參考（希望偶能啃完它們).URL：
　　
　　Antionline 的一些漏洞資料。 URL:
　　http://www.antionline.com/cgi-bin/anticode/anticode.pl?dir=router-exploits
　　
　　Cisco Systems. “Improving Security on Cisco Routers”. URL:
　　http://www.cisco.com/warp/public/707/21.html
　　
　　Convery, Sean (CCIE #4232) and Trudel, Bernie (CCIE #1884).
　　“SAFE: A Security Blueprint for Enterprise Networks”. URL:
　　http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.htm
　　
　　Frank Jou, Y. “Scalable Intrusion Detection for the Emerging Network Infrastru-
　　cture”. URL:
　　http://www.anr.mcnc.org/projects/JiNao/JiNao.html
　　
　　Prue, Walt. “Re: Some abuse detection hacks”. NANOG list. (Mon, 9 Mar 1998) URL:
　　http://www.cctec.com/maillists/nanog/historical/9803/msg00035.html
　　
　　“Divert Sockets for Linux”. URL:
　　http://www.anr.mcnc.org/~divert/
　　
　　Obecian. “The nemesis packet injection tool-suite”. URL:
　　http://www.packetninja.net/nemesis
　　
　　FX. “IRPAS - Internetwork Routing Protocol Attack Suite”. URL:
　　http://www.phenoelit.de/irpas/
　　
　　Humble. “Spoofing RIP (Routing Information Protocol)”. URL:
　　http://www.technotronic.com/horizon/ripar.txt
　　
　　Cisco Press. “Routing Information Protocol”. (8 Dec 1999). URL:
　　http://www.cisco.com/cpress/cc/td/cpress/fund/ith2nd/it2444.htm
　　
　　Rekhter, Y. “A Border Gateway Protocol 4 (BGP-4)”. Request for Comments 1771.
　　(Mar 1995). URL:
　　http://www.isi.edu/in-notes/rcf1771.txt
　　
　　Moy, J. “OSPF Version 2”. Request for Comments 1583. (March 1994). URL:
　　http://www.isi.edu/in-notes/rfc1583.txt
　　
　　Cisco Press. “Designing & Implementing an OSPF Network”. (2 Aug 2000). URL:
　　http://www.cisco.com/cpress/cc/td/cpress/design/ospf/on0407.htm - xtocid1636554
　　
　　Cisco Press. “RIP and OSPF redistribution”. (12 May 2000). URL:
　　http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs001.htm
　　
　　Grefer, Roland. Re: “Anyone know what IP protocol #54 is?”. SANS Institute Global
　　Incident Analysis Center, Detects Analyzed 11/10/00. (10 Nov 2000). URL:
　　http://www.sans.org/y2k/111000.htm
　　
　　IANA. “Protocol numbers”. URL:
　　http://www.isi.edu/in-notes/iana/assignments/protocol-numbers
　　
　　Ahmad, Dave & Rauch, Jeremey. “Routers, Switches & more: The glue that binds them all
　　together” Black Hat Briefings 200, Las Vegas USA. (26 July 2000). URL:
　　http://www.blackhat.com/html/bh-multi-media-archives.html
　　
　　Batz. “Security Issues Affecting Internet Transit Points and Backbone Providers”. Black
　　Hat Briefings 1999, Las Vegas. (7-8 July 1999). URL:
　　http://www.blackhat.com/html/bh-multi-media-archives.html
　　
　　Oquendo, J. “Theories in DoS”. URL:
　　http://www.antioffline.com/TID/
　　
　　Silicosis. “L0pht security advisory”. (11 August 1999). URL:
　　http://www.l0pht.com/advisories/rdp.txt
　　
　　OSPF Version 2 RFC
　　http://www.ietf.org/rfc/rfc2328.txt

上一篇：路由器原理及常用的路由協(xié)議、路由算法

下一篇：OSPF路由協(xié)議