基于OSPF協(xié)議的漏洞攻擊分析

張洋洋，劉丹丹

（河北科技大學(xué)信息工程學(xué)院通信與信息系統(tǒng)，河北石家莊050000）

0 引 言

OSPF（Open Shortest Path First）是一種內(nèi)部網(wǎng)關(guān)協(xié)議［1］，它是網(wǎng)絡(luò)中使用極其廣泛的域內(nèi)路由協(xié)議。OSPF是通過傳遞、交換路由器的鏈路狀態(tài)來得到全網(wǎng)的路由信息，生成一張網(wǎng)絡(luò)有向拓?fù)鋱D，由最小生成樹算法（SPF）來得到路由表。OSPF協(xié)議和距離矢量協(xié)議相比，一個主要的改善在于它的快速收斂，這使得OSPF協(xié)議可以支持更大型的互聯(lián)網(wǎng)絡(luò)。同時，作為網(wǎng)絡(luò)最為核心部分的路由協(xié)議的安全受到越來越多研究人員的關(guān)注。

1 OSPF協(xié)議

1.1 OSPF的簡介

OSPF協(xié)議是運(yùn)行在AS（Autonomous System）內(nèi)部的網(wǎng)關(guān)協(xié)議（IGP），1987年由IETF開發(fā)［2］。OSPF是典型的鏈路狀態(tài)路由協(xié)議，在鏈路狀態(tài)路由協(xié)議中，每個路由器都擁有一張記錄整個網(wǎng)絡(luò)拓?fù)湫畔⒌穆酚杀恚酚善魍ㄟ^周期性的泛洪鏈路狀態(tài)更新信息，來建立維持一個鏈路狀態(tài)數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的［3］。

OSPF用IP報文直接封裝協(xié)議報文，協(xié)議號為89［4］。OSPF協(xié)議中，定義了五種報文。這五類協(xié)議報文分別是：①Hello報文，用于動態(tài)發(fā)現(xiàn)鄰居、確認(rèn)鄰居間的雙向連接、維持鄰接關(guān)系及指派路由器的選舉等。②DD（DatabaseDescription）報文，描述拓?fù)鋽?shù)據(jù)庫內(nèi)容，此類信息在初始化鄰接關(guān)系時交換。③LSA（Link State Request）報文，是向主路由器發(fā)送鏈路狀態(tài)請求報文，請求主路由器向其提供較新的LSA。LSU（）報文，是對鏈路狀態(tài)請求分組的響應(yīng)，通常也用于LSA的發(fā)布。④LSA（）報文，確認(rèn)鏈路狀態(tài)更新分組。⑤OSPF數(shù)據(jù)包的開始部分是長度為24字節(jié)的包頭，格式如圖1所示。

圖1 OSPF包頭格式

1.2 OSPF的安全性分析

1.2.1 驗證機(jī)制

OSPF路由協(xié)議的每一個報文都添加了驗證機(jī)制，在OSPF的所有報文中都有一個32bit長度的驗證（Authentication）字段［5］，另外在驗證字段前邊另有16bit的驗證類型（Authen Type）字段用于標(biāo)識驗證字段的類型，這兩者一起組成了OSPF報文的驗證機(jī)制。驗證類型可以基于通用接口（或通用網(wǎng)絡(luò)／子網(wǎng)）進(jìn)行配置，置0為空驗證，即在路由交換中不需要任何驗證；置1為簡單口令驗證，可防止路由器在不提防的情況下加入到路由域；置2則為加密驗證。所有其它值，是由IANA預(yù)留的分配。

1.2.2 可靠的泛洪機(jī)制

OSPF路由協(xié)議采用了一種叫做泛洪（flood）的機(jī)制來保證區(qū)域內(nèi)各個路由器的鏈路狀態(tài)數(shù)據(jù)庫同步。每一個區(qū)域內(nèi)的路由器都會生成LSA來描述特定的網(wǎng)絡(luò)拓?fù)湫畔?，而鏈路狀態(tài)更新報文（LSU）則提供了泛洪的機(jī)制。為實現(xiàn)可靠的泛洪，OSPF路由協(xié)議規(guī)定：路由器在收到來自其它路由器的一個或多個鏈路狀態(tài)通告后，必須向其來源路由器發(fā)送一個確認(rèn)應(yīng)答（Link State Acknowledgment Packet，LSAk），告知已經(jīng)收到LSA。因而OSPF的泛洪算法被認(rèn)為是可靠的，實踐也很好地證明了這一點(diǎn)。

1.2.3 分層路由機(jī)制

OSPF通過將自治系統(tǒng)劃分成若干個區(qū)域，若干個區(qū)域的ABR又組成一個骨干區(qū)域。區(qū)域內(nèi)部的路由不為外部所知道，路由選擇時區(qū)域內(nèi)路由要優(yōu)先于區(qū)域間路由，這使得一個OSPF區(qū)域內(nèi)的威脅很難影響到另外一個區(qū)域內(nèi)部的通信。這一設(shè)計大大減少了路由表的大小、帶寬和路由計算的資源。同時也保障了OSPF路由協(xié)議的穩(wěn)定性，使得OSPF更加的健壯和安全。

2 OSPF的漏洞及常見攻擊

2.1 OSPF的自身機(jī)制漏洞［6］

OSPF內(nèi)部機(jī)制的設(shè)計難免還是留下了漏洞，如果被攻擊者利用，將對網(wǎng)絡(luò)產(chǎn)生極大的威脅。本小節(jié)從OSPF路由協(xié)議自身機(jī)制入手，總結(jié)其中存在的安全漏洞。

2.1.1 局部影響全局

OSPF路由協(xié)議是通過鏈路狀態(tài)信息的泛洪來使網(wǎng)絡(luò)中每個路由器獲取整個網(wǎng)絡(luò)的拓?fù)湫畔⒌?，路由器在鏈路通告過程中不但負(fù)責(zé)生成自身的鏈路狀態(tài)信息而且要轉(zhuǎn)發(fā)從相鄰路由器獲得的其他路由器的鏈路狀態(tài)信息。所以當(dāng)OSPF路由器受到攻擊出錯后，對于局部的影響可能僅僅是產(chǎn)生錯誤的鏈路狀態(tài)信息。但是，由于OSPF自身缺乏端到端的認(rèn)證機(jī)制，這使得鏈路狀態(tài)信息在轉(zhuǎn)發(fā)過程中面臨被篡改的威脅，如果攻擊者攻陷OSPF路由域內(nèi)的某一路由器，他不僅可以操縱生成錯誤的該路由器的鏈路狀態(tài)信息，還可以篡改該路由器收到的其它路由器發(fā)布的鏈路狀態(tài)信息，這樣局部受到的攻擊將影響整個OSPF路由域。

2.1.2 遠(yuǎn)程攻擊漏洞

OSPF路由器之間通常采用224.0.0.5和224.0.0.6這個兩個組播地址作為目的地址進(jìn)行通信，但為了實現(xiàn)OSPF協(xié)議中的一些機(jī)制，OSPF路由器也支持以自身端口為目的地址的報文。這種對單播報文的支持給OSPF路由域外的攻擊者留下了漏洞，攻擊者無需接入OSPF路由域，通過單播報文在域外也可以對OSPF路由域內(nèi)的路由器進(jìn)行攻擊。

2.1.3 自我糾錯機(jī)制漏洞

OSPF泛洪機(jī)制中提供了自我糾錯能力，當(dāng)區(qū)域內(nèi)某一路由器偽造或篡改LSA并傳播來污染網(wǎng)絡(luò)時，而該LSA的父親（即與該LSA中的路由器號碼相同的路由器）收到該LSA時，會發(fā)現(xiàn)該LSA的信息與真實信息不符，該路由器將生成新的LSA，將其傳播到網(wǎng)絡(luò)中，使被污染的路由器將錯誤信息丟棄。上述機(jī)制使得OSPF具有一定的自我糾錯能力，可以從一定程度上抵御不良路由信息。

這種自我糾錯機(jī)制也存在漏洞，錯誤的鏈路狀態(tài)信息可以觸發(fā)自我糾錯機(jī)制，使得網(wǎng)絡(luò)中存在大量的鏈路狀態(tài)信息更新流。如果攻擊者快速不斷地向網(wǎng)絡(luò)中注入錯誤地鏈路狀態(tài)信息，將引發(fā)網(wǎng)絡(luò)中大量的鏈路狀態(tài)信息更新流量，占用網(wǎng)絡(luò)中的帶寬，影響正常的報文轉(zhuǎn)發(fā)服務(wù)。

2.1.4 支持外部路由信息

OSPF路由協(xié)議支持外部路由信息，這些路由信息來自BGP、RIP等路由協(xié)議，通過再發(fā)布的方法引入到OSPF路由域內(nèi)。OSPF路由域內(nèi)的路由器的外部路由信息的可靠性無法進(jìn)行驗證，其可靠性完全依賴于起源路由協(xié)議的可靠性。如果攻擊者攻陷OSPF路由域內(nèi)的AS邊界路由器或成功偽造成AS邊界路由器，攻擊者可以通告低開銷的外部網(wǎng)絡(luò)鏈路狀態(tài)信息，使得OSPF路由域內(nèi)發(fā)往域外的報文不能夠正確地被轉(zhuǎn)發(fā)。

2.2 OSPF常見的攻擊

2.2.1 重放攻擊［7］

（1）Hello報文的重放攻擊。Hello報文中列出最近發(fā)現(xiàn)的路由器，如果攻擊者重放Hello包給該報文的產(chǎn)生者，產(chǎn)生者不能在列表中查找到自己，則認(rèn)為該鏈路不是可雙向通訊的，將設(shè)置鄰居的狀態(tài)為Init狀態(tài)，阻止建立鄰接關(guān)系。

（2）LSA的重放攻擊。攻擊者重放一個與拓?fù)洳环腖SA，并泛洪出去，那么該LSA就會被認(rèn)為比當(dāng)前的新。某個路由器接收到后就會觸發(fā)相應(yīng)的SPF計算。當(dāng)源路由收到這個LSA時，自身會泛洪一個具有更高序列號的真實LSA，勢必會觸發(fā)各路由器的SPF計算，頻繁地計算會導(dǎo)致路由器性能的下降。

2.2.2 最大年齡攻擊（Max Age attack攻擊）

路由域中路由器的鏈路狀態(tài)數(shù)據(jù)庫中的每一條LSA都有生存時間，路由器啟動計時器來控制它們。當(dāng)計時器被觸發(fā)時，說明在規(guī)定存活時間內(nèi)該路由沒有被刷新，該路由己經(jīng)失效，此時路由器將該LSA中的Max Age字段置成最大值，并將其泛洪到路由域中，通告其它路由器該路由信息已經(jīng)失效。當(dāng)該LSA的源生成者收到該LSA時，會發(fā)起一個新的Max Age為零的LSA來更新路由域。利用這個漏洞，攻擊者可以通過篡改網(wǎng)絡(luò)中LSU報文，將其中包含的LSA中的Max Age字段設(shè)為最大值，這將引起路由域的不穩(wěn)定。雖然在泛洪機(jī)制中，源路由器可以通過自衛(wèi)操作來抵抗這種攻擊，但是如果攻擊者周期性地進(jìn)行這種攻擊，會導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量嚴(yán)重下降。

2.2.3 最大序列號攻擊

攻擊者通過修改LSU報文中的Sequence Nu mber字段來實現(xiàn)攻擊。在路由器收到兩條相同路由信息時，通過比較Sequence Number來判斷哪個比較新。攻擊者可以通過截獲LSU報文，將其中Sequence Number字段作加一操作，并將鏈路代價改為比較大的值。這將使得路由器接收偽造的路由信息，并通過泛洪機(jī)制將錯誤路由信息向網(wǎng)絡(luò)中擴(kuò)散。同樣地，在源路由收到錯誤路由信息進(jìn)行自衛(wèi)之前，網(wǎng)絡(luò)將受到影響。

2.2.4 路由器鏈路狀態(tài)通告攻擊［8］

攻擊者通過偽造、篡改或刪除LSU報文中的路由器鏈路狀態(tài)通告，將直接影響網(wǎng)絡(luò)中路由器計算路由表的結(jié)果。特別地，如果攻擊者模擬傀儡路由器，并將偽造的路由器鏈路狀態(tài)信息中的Ebit置為1，可以實現(xiàn)對網(wǎng)絡(luò)中路由器的欺騙，使它們相信該傀儡路由器為AS邊界路由器，這樣攻擊者進(jìn)而可以利用傀儡路由器的身份偽造域外路由信息。攻擊者可以通告低開銷的外部網(wǎng)絡(luò)鏈路狀態(tài)信息，使得OSPF路由域內(nèi)發(fā)往域外的報文不能夠正確地被轉(zhuǎn)發(fā)，從而可以獲取網(wǎng)絡(luò)中用戶的通信信息。

3 結(jié)束語

在熟悉OSPF路由協(xié)議運(yùn)行機(jī)制的情況下，本文從四個方面對OSPF路由協(xié)議的安全性進(jìn)行了分析，在此基礎(chǔ)上發(fā)現(xiàn)了OSPF的四個自身機(jī)制的潛在漏洞，并展開全面的論述。最后結(jié)合這些潛在漏洞，提出了有針對性、可行的攻擊方法，并對不同的攻擊方法造成的網(wǎng)絡(luò)危害進(jìn)行了分析。

［1］ Emanuele Junes.OSPF security vulnerabilities analysis［Z］.Internet draft，draft-ietf-rpsec-ospf-vuln-00.txt，2004.

［2］ 楊 靜，謝 蒂，王 雷.OSPF路由協(xié)議的安全分析及其漏洞防范［J］.濟(jì)南：山東大學(xué)學(xué)報，2003，33（5）：550-553.

［3］ 陳海燕，季仲梅，李 鷗，等.OSPF路由協(xié)議安全性分析及其攻擊檢測［J］.計算機(jī)信息，2005，21（5）-230-231.

［4］ 錢志軍.OSPF路由協(xié)議安全性研究［D］.大慶：大慶石油學(xué)院，2007.

［5］ 劉魁星，汪斌強(qiáng)，賈 娟.OSPF路由協(xié)議安全性分析與研究［J］.電視技術(shù)，2007，31（2）：49-51.

［6］ 康 威.OSPF路由協(xié)議安全性分析與研究［D］.北京：北京郵電大學(xué)，2010.