RIP路由協(xié)議漏洞利用及防范措施

李建新

(常州信息職業(yè)技術(shù)學(xué)院軟件與大數(shù)據(jù)學(xué)院 江蘇常州 213164)

0 引言

路由器在實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)發(fā)前首先需要配置網(wǎng)絡(luò)路由信息，配置的方法主要有靜態(tài)配置和動態(tài)配置兩種，靜態(tài)路由配置需要人為地逐條在各路由器中添加，配置較為煩瑣，比較適合網(wǎng)絡(luò)結(jié)構(gòu)相對穩(wěn)定的小型網(wǎng)絡(luò)，不能自動適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變。動態(tài)路由配置后期無需人工干預(yù)，通過各自的路由算法能夠自動適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變，但對系統(tǒng)資源的占用高于靜態(tài)路由配置。常用的動態(tài)理由配置協(xié)議主要有RIP、OSPF、IGRP、BGP等。其中RIP、OSPF、IGRP是內(nèi)部網(wǎng)關(guān)協(xié)議，一般位于一個自治系統(tǒng)內(nèi)部，具有統(tǒng)一的自治系統(tǒng)號。BGP是外部網(wǎng)關(guān)協(xié)議，是自治系統(tǒng)間的路由協(xié)議。而RIP協(xié)議由于配置簡單，系統(tǒng)開銷較小，因此在小型網(wǎng)絡(luò)中通常會使用RIP作為路由協(xié)議[1]。但是RIP協(xié)議其自身的安全漏洞會給網(wǎng)絡(luò)的正常運行帶來一定的安全隱患，因此在使用RIP協(xié)議的時候，需要做好相應(yīng)的安全防范措施。

1 RIP協(xié)議工作原理

1.1 工作原理

RIP協(xié)議是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議，比較適合在小型同類的一個自治系統(tǒng)內(nèi)的路由信息的傳遞。它是基于距離矢量算法的協(xié)議，根據(jù)RFC1058、RFC2453等文件的規(guī)范標(biāo)準(zhǔn)，該協(xié)議使用跳數(shù)(metric)來衡量到達(dá)目標(biāo)網(wǎng)絡(luò)的路由距離。

RIP協(xié)議在實現(xiàn)時作為路由設(shè)備系統(tǒng)中的一個常駐進(jìn)程，負(fù)責(zé)從所處網(wǎng)絡(luò)的其他路由器接收路由信息，更新維護(hù)本地的路由表，保證IP層在轉(zhuǎn)發(fā)報文時能使用正確的路由。同時，它還負(fù)責(zé)廣播本地的路由表中的路由信息，通知與其相鄰的路由器進(jìn)行路由表的更新[2]。RIP協(xié)議在TCP/IP協(xié)議族中是位于UDP協(xié)議之上的一個應(yīng)用層協(xié)議，路由器借助RIP協(xié)議交換路由信息，從而實現(xiàn)屬于網(wǎng)絡(luò)層的路由規(guī)則的改變。RIP協(xié)議所接收的路由信息都是封裝在UDP協(xié)議的數(shù)據(jù)包中的，使用UDP的520號端口接收來自相鄰路由器的路由表信息，并對本地的路由表進(jìn)行相應(yīng)的修改，同時通告其他的路由器，通過上述方式實現(xiàn)全局路由的有效。

RIP協(xié)議是距離向量路由選擇協(xié)議，從一個路由器到與連接的網(wǎng)絡(luò)的距離定義為1，因此每經(jīng)過一個路由器，其跳數(shù)會自動加1。任何距離向量路由協(xié)議都存在以下問題。每個路由器不知道網(wǎng)絡(luò)的全局情況，它必須依靠相鄰的路由器來獲取網(wǎng)絡(luò)的可達(dá)信息。而該路由更新信息在網(wǎng)絡(luò)中傳播慢，存在慢收斂的問題[3]。RIP協(xié)議采用計數(shù)到無窮大機(jī)制來防范這一點，RIP協(xié)議中規(guī)定其最大的跳數(shù)為15，即當(dāng)經(jīng)過的路由器的個數(shù)超過15個依然不能到達(dá)目標(biāo)網(wǎng)絡(luò)，即認(rèn)為上述網(wǎng)絡(luò)不可達(dá)。

1.2 報文格式

目前，RIP協(xié)議廣泛應(yīng)用的是V1和V2兩個版本，V1版本是有類別路由協(xié)議，只支持以廣播方式發(fā)布協(xié)議報文，沒有掩碼信息，無法支持路由聚合，也不支持不連續(xù)的子網(wǎng)。V2版本是無分類的路由協(xié)議，可以攜帶掩碼信息，支持路由聚合和CIDR。支持在廣播報文中選擇到最優(yōu)下一跳的地址，支持簡單鑒別和組播。RIP報文的格式封裝如圖1所示。

2 RIP協(xié)議漏洞利用

根據(jù)上述RIP協(xié)議原理和報文結(jié)構(gòu)的特點，可以從以下兩個方面進(jìn)行漏洞的利用：

一是運行RIP協(xié)議的路由器默認(rèn)沒有采用認(rèn)證機(jī)制，即路由器可以接收來自任何相鄰設(shè)備的路由信息，而無需驗證對方的身份，這就給惡意攻擊者實施攻擊帶來便利。

圖1 RIP數(shù)據(jù)報的封裝

二是由于RIP協(xié)議下層使用不可靠的UDP協(xié)議來進(jìn)行傳輸，而UDP協(xié)議是一種無連接的、不可靠的傳輸層協(xié)議，在網(wǎng)絡(luò)會話過程中沒有報文時序控制機(jī)制，相比TCP報文的時序驗證機(jī)制安全性較差。在現(xiàn)有的網(wǎng)絡(luò)報文結(jié)構(gòu)中，基于UDP的報文無法擴(kuò)充身份驗證和報文時序驗證機(jī)制。惡意攻擊者在構(gòu)造基于UDP的虛假RIP報文數(shù)據(jù)包時無需考慮當(dāng)前UDP報文的時序問題。

綜上所述，運行RIP協(xié)議的網(wǎng)絡(luò)存在一定的安全隱患。若該網(wǎng)絡(luò)中存在惡意用戶，向網(wǎng)絡(luò)中發(fā)送虛假的路由更新信息，則接收該錯誤更新信息的路由器則會將該錯誤路由條目在本地進(jìn)行存儲更新，網(wǎng)絡(luò)層的IP數(shù)據(jù)包將按照錯誤的路由信息進(jìn)行轉(zhuǎn)發(fā)，則有可能造成信息的丟失或泄露，給用戶造成一定的損失。

2.1 RIP路由欺騙信息場景構(gòu)造

基于上述分析，可以搭建如圖2的網(wǎng)絡(luò)拓?fù)鋱鼍啊７謩e對三個路由器的各個接口進(jìn)行相應(yīng)的IP地址配置。

圖2 RIP路由欺騙場景

在路由器R0、R1和R2上分別配置基于RIPV2的路由協(xié)議，當(dāng)攻擊計算機(jī)沒有發(fā)起攻擊的情況下，路由表收斂后，R0、R1和R2中的路由表條目分別如表1、表2和表3所示：

表1 R0路由器的路由條目

表2 R1路由器的路由條目

表3 R2路由器的路由條目

2.2 基于Scapy的RIP路由欺騙報文構(gòu)造

攻擊計算機(jī)利用Wireshark等工具可以從捕獲的數(shù)據(jù)報中分析出R1路由器發(fā)出的路由更新報文，如圖3所示：

圖3 捕獲R1發(fā)送的路由更新報文

基于Scapy模塊構(gòu)造虛假的路由更新報文，將到達(dá)目標(biāo)網(wǎng)絡(luò)192.168.11.0的度量值設(shè)置為0，構(gòu)造以下Python代碼進(jìn)行虛假數(shù)據(jù)報的發(fā)送。

targetip="192.168.8.126"

packet = IP(dst=targetip)/UDP(sport=520,dport=520)/RIP(cmd=2,version=2)/RIPEntry(addr="192.168.11.0"，metric=0)

send(packet, iface=dev, loop=1, verbose=0)

利用Wireshark工具捕獲上述Python代碼運行過程中R2路由器接收到的虛假路由更新報文如圖4所示：

圖4 捕獲攻擊計算機(jī)發(fā)送的欺騙路由更新報文

此時，路由器R2認(rèn)為從192.168.8.100主機(jī)到達(dá)目標(biāo)網(wǎng)絡(luò)192.168.11.0的度量值為1，而原先存儲的路由表信息為從R1路由器到達(dá)目標(biāo)網(wǎng)絡(luò)192.168.11.0的度量值為2，選取度量值為小的路由表項目，R2路由器被欺騙后的路由條目如表4所示。

表4 R2路由器被欺騙后的路由條目

此時通過R2路由器到達(dá)目標(biāo)網(wǎng)絡(luò)192.168.11.0/24的數(shù)據(jù)包都會被轉(zhuǎn)發(fā)到192.168.8.100這臺攻擊計算機(jī)上，而操縱這臺計算機(jī)的惡意用戶就可以通過Wireshark等捕獲工具分析其中用戶的敏感信息。

3 RIP協(xié)議防范措施

通過上述分析可以看到利用RIP協(xié)議漏洞進(jìn)行路由欺騙的嚴(yán)重后果，惡意用戶在竊取敏感信息的同時有可能導(dǎo)致網(wǎng)絡(luò)的癱瘓，為避免造成這種后果，可以采用以下措施進(jìn)行防范。

3.1 使用RIP報文驗證機(jī)制

在RIPV2協(xié)議報文中配置驗證字段，其擴(kuò)充后的報文結(jié)構(gòu)如圖5所示，使用20Bytes用于存儲驗證字段。

1) 0xFFFF：驗證標(biāo)志，該值表明路由表信息需要驗證通過后才能交換。

2) Authentication Type：驗證類型，當(dāng)值為0x0002時表明采用明文驗證。

3) Authentication Data：驗證信息，使用16個Bytes用于存儲明文密碼字符。

采用驗證信息的RIPV2報文在路由器之間交換路由信息就必須先通過身份驗證，身份驗證成功后，路由器之間才能交換路由表信息；如果身份驗證不成功，則路由器之間無法交換路由表信息，使得惡意用戶無法直接攻擊路由器進(jìn)行路由欺騙。

圖5 帶驗證的RIPV2報文格式

采用明文的身份驗證機(jī)制，路由器之間交換路由表的報文如圖6所示，路由器之間的驗證信息不通過，則無法交換路由報文信息，這就使得惡意攻擊者無法直接輕易攻擊路由器。

圖6 帶明文驗證的RIPV2報文格式

3.2 采用PPP驗證機(jī)制

由于RIP協(xié)議的路由表信息交換是使用UDP報文進(jìn)行傳遞的，UDP報文本身無法擴(kuò)充身份驗證及報文時序驗證機(jī)制，但是UDP報文是封裝在IP數(shù)據(jù)報中的，IP數(shù)據(jù)報的傳遞需要借助于數(shù)據(jù)鏈路層的協(xié)議，可以通過啟用數(shù)據(jù)鏈路層上PPP協(xié)議的身份驗證機(jī)制，采用PAP或CHAP身份驗證機(jī)制，使得路由器之間的數(shù)據(jù)交換在數(shù)據(jù)鏈路層上的連接是安全的。通過下層鏈路的安全連接間接保證RIP路由信息交換的安全。采用PPP協(xié)議在鏈路層上握手時的報文結(jié)構(gòu)如圖7所示。若惡意攻擊者試圖欺騙目標(biāo)路由器，則必須與目標(biāo)路由器在鏈路層上通過PPP的協(xié)議認(rèn)證，這就給惡意攻擊者帶來了一定的難度。

圖7 PPP協(xié)議握手報文結(jié)構(gòu)

4 結(jié)束語

RIP協(xié)議由于實現(xiàn)和配置簡單、占用系統(tǒng)資源較小等優(yōu)點被廣泛應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中?，F(xiàn)如今網(wǎng)絡(luò)安全問題日益突出，在采用RIP協(xié)議部署企業(yè)網(wǎng)絡(luò)的同時也需要充分考慮RIP協(xié)議自身的不足，采取相應(yīng)的措施來保障網(wǎng)絡(luò)信息的安全。