Information Security •
信息安全Electronic Technology & Software Engineering 电子技术与软件工程• 205【关键词】动态路由 协议 安全性能 分析评价
动态路由协议是指路由器表的更新过程,
能够满足网络结构变化过程中的各种需求,目前常见的动态路由协议有BGP 协议、OSPF 协议和RIP V2协议三种。
在路由器的网络数据和数据包传输过程中,如果路由协议出现漏洞,则很容易让不法分子钻空子,对网络的安全性带来威胁。
本文将从BGP 协议、OSPF 协议和RIP V2协议三种动态路由协议的安全性和应用两方面展开分析研究,对常用动态路由协议的安全性进行评价。
1 BGP协议安全性的评价
从BGP 协议与Internet 的互动方式来看,
BGP 采用会话管理的方式,通过其中TCP 的179端口触发Keeppalive 和update 信息,Keeppalive 和update 信息被触发后会影响到与其临近的其他信息,BGP 的路由表就会实现更新和传播。
Internet 是由多个相互连接的商业网络共同组成的,每一个网络单位都有一个自治系统号,这个系统号又被称为ASN ,在网络构建过程中,IANA 会完成它们的分配任务。
在网络连接的状态下路由信息是共享的,这也就意味着在复杂多样的ASN 网络连接中需要有层的保护方式对各个自治系统号进行保护。
以TCP 为主要传输方式的BGP 协议最常
见的安全问题也是由TCP 本身引发的,由于在BGP 协议中,采用的是TCP 序列号进行工作,因此会出现TCP 序列号拒绝服务攻击、预测序列号以及SYP Flood 攻击等问题。
当路由器设备应用可预测序列号时,就会遭到TCP 序列的攻击,BGP 协议的安全性就失去了保障。
在实际应用过程中,Internet 中运行的大常用动态路由协议安全性的评价
文/莫凡
部分路由器都会配备Cisco 设备,该设备中不包含预测序列号方案,BGP 协议遭到攻击的可能性会大大降低。
许多BGP 协议中都采用了明文密码和相关的认证机制,除了受到正常序列号的攻击之外还可能遇到伪造报文和序列号的攻击。
因此在应用时,BGP 协议一般都用在核心网的出口处,只需要对其设置一个相关的密码认证,协议的安全性就能大大提高。
2 OSPF协议安全性的评价相较于其他类型的安全动态路由协议来说,OSPF 的运行机制较为复杂,因此其在运行过程中遭受攻击的环节最多,遭受攻击的可能性也最大。
常见的OSPF 攻击方式有三种,分别是:资源消耗攻击、Upadate 报文攻击和Hello 报文攻击三种。
其中资源消耗攻击主要体现在在OSPF 协议运行时,不同类型的OSPF 报文被不间断地大量发送,实体资源也就在不断消耗,极易造成资源的枯竭最后罢工停用。
例如在给OSPF 发送Hello 报文时,由于Hello 报文所占的容量大,数据列过长且涉及的邻居列表也很多,因此很容易引发OSPF 与邻近列表之间构建其他对话,在接收一个报文的过程中所消耗的资源大大超出其任务所需,导致资源过度消耗。
Upadate 报文攻击出现的原因是由于OSPF 协议中的LSA 参数被修改,在运转过程中OPSF 的运行方向出现了偏离。
而OSPF 偏离的对象往往是攻击者的方向,攻击者常常会假扮成OSPF 路由器,在通过与其他路由器成功连接之后使LSA 在两个路由器之间传递,攻击者就无需链路密钥直接入侵OSPF 对其进行攻击。
Hello 报文攻击出现的主要原因是Hello 报文中的参数出现了错误,邻居路由器在接收到错误报文之后就会丢弃Hello 报文,由此就会出现邻居Down 。
而Hello 报文本身的作用是通过路由器之间的传递维护路由器与邻居路由器节点之间的关系,无论是Hello 报文的参数出现错误还是传输过程中遭到拒绝,都会造成邻居路由器Down 。
在实际应用中,为了提高安全性较差的OSPF 协议的安全性能,一般采取的方式是增加验证和设计入侵检测系统。
在验证的基础上,再在协议中加入入侵检测信息系统,充分保证系统的安全性能。
3 RIP V2协议安全性的评价与RIP V1相同的是,RIP V2同样采用的是不可靠的UDP 协议;但不同的是,RIP V2采用了密文和明文两种认证机制。
明文认证机制能起到初步的安全防护作用,但在运行过程中易被察觉。
在使用了密文加强保护之后,其报文传输内容就不那么容易被破解。
在传输过程中,RIP V2协议以单向为主,当R2发出的信息正常时,R1就会接受信息,若发送的信息未被认证,信息就会被丢弃。
报文就会在传输过程中被不断更新,RIP V2被攻击的可能性就大大削减。
因此从总体上看,加了密文的RIP 协议路由器是一种安全性能较高的动态路由协议。
4 结束语在常用的动态路由协议中,或多或少都存在一些安全性能方面的隐患,网络数据的安全性的重要性人尽皆知,因此为了保证常用动态路由协议的安全性可靠,就需要采取有针对性的措施对其安全问题进行排除。
其中使用认证机制能够在一定程度上降低路由协议存在的安全风险,但要进一步确保其安全,还需要采取其他措施如建立密文协议等。
经过重重处理,动态路由协议的安全性才能够得到充分提高,网路安全才能有所保障。
参考文献[1]唐灿华.常用动态路由协议安全性分析及应用[J].中国新通信,2016,18(07):30-30,31.[2]莫闯.探究常用动态路由协议的安全性[J].科技风,2017(10):73.[3]邵明珠,卓伟,赵开新.常用路由协议分析及比较[J].河南机电高等专科学校学报,2016,14(02):25-27.作者简介莫凡(1989-),男,广东省雷州市人。
研究方向为计算机技术。
作者单位广东海洋大学寸金学院 广东省湛江市 524094。