常用動(dòng)態(tài)路由協(xié)議安全性的評價(jià)

莫凡

摘要：動(dòng)態(tài)路由協(xié)議能夠保證各個(gè)路由器間的連通保持順暢，不僅，能夠傳遞數(shù)據(jù)包和數(shù)據(jù)信息，還能夠計(jì)算和更新網(wǎng)絡(luò)結(jié)構(gòu)。因此動(dòng)態(tài)路由器的安全性極為重要，本文將對幾種常用動(dòng)態(tài)路由協(xié)議的安全性展開分析與評價(jià)。

[關(guān)鍵詞]動(dòng)態(tài)路由協(xié)議安全性能分析評價(jià)

動(dòng)態(tài)路由協(xié)議是指路由器表的更新過程，能夠滿足網(wǎng)絡(luò)結(jié)構(gòu)變化過程中的各種需求，目前常見的動(dòng)態(tài)路由協(xié)議有BGP協(xié)議、OSPF協(xié)議和RIPV2協(xié)議三種。在路由器的網(wǎng)絡(luò)數(shù)據(jù)和數(shù)據(jù)包傳輸過程中，如果路由協(xié)議出現(xiàn)漏洞，，則很容易讓不法分子鉆空子，對網(wǎng)絡(luò)的安全性帶來威脅。本文將從BGP協(xié)議、OSPF協(xié)議和RIPV2協(xié)議三種動(dòng)態(tài)路由協(xié)議的安全性和應(yīng)用兩方面展開分析研究，對常用動(dòng)態(tài)路由協(xié)議的安全性進(jìn)行評價(jià)。

1BGP協(xié)議安全性的評價(jià)

從BGP協(xié)議與Internet的互動(dòng)方式來看，BGP采用會(huì)話管理的方式，通過其中TCP的179端口觸發(fā)Keeppalive和update信息，Keeppalive和update信息被觸發(fā)后會(huì)影響到與其臨近的其他信息，BGP的路由表就會(huì)實(shí)現(xiàn)更新和傳播。Internet是由多個(gè)相互連接的商業(yè)網(wǎng)絡(luò)共同組成的，每一個(gè)網(wǎng)絡(luò)單位都有一個(gè)自治系統(tǒng)號，這個(gè)系統(tǒng)號又被稱為ASN，在網(wǎng)絡(luò)構(gòu)建過程中，IANA會(huì)完成它們的分配任務(wù)。在網(wǎng)絡(luò)連接的狀態(tài)下路由信息是共享的，這也就意味著在復(fù)雜多樣的ASN網(wǎng)絡(luò)連接中需要有層的保護(hù)方式對各個(gè)自治系統(tǒng)號進(jìn)行保護(hù)。

以TCP為主要傳輸方式的BGP協(xié)議最常見的安全問題也是由TCP本身引發(fā)的，由于在BGP協(xié)議中，采用的是TCP序列號進(jìn)行工作，因此會(huì)出現(xiàn)TCP序列號拒絕服務(wù)攻擊、預(yù)測序列號以及SYPFlood攻擊等問題。當(dāng)路由器設(shè)備應(yīng)用可預(yù)測序列號時(shí)，就會(huì)遭到TCP序列的攻擊，BGP協(xié)議的安全性就失去了保障。

在實(shí)際應(yīng)用過程中，Internet中運(yùn)行的大部分路由器都會(huì)配備Cisco設(shè)備，該設(shè)備中不包含預(yù)測序列號方案，BGP協(xié)議遭到攻擊的可能性會(huì)大大降低。許多BGP協(xié)議中都采用了明文密碼和相關(guān)的認(rèn)證機(jī)制，除了受到正常序列號的攻擊之外還可能遇到偽造報(bào)文和序列號的攻擊。因此在應(yīng)用時(shí)，BGP協(xié)議一般都用在核心網(wǎng)的出口處，只需要對其設(shè)置一個(gè)相關(guān)的密碼認(rèn)證，協(xié)議的安全性就能大大提高。

2 OSPF協(xié)議安全性的評價(jià)

相較于其他類型的安全動(dòng)態(tài)路由協(xié)議來說，OSPF的運(yùn)行機(jī)制較為復(fù)雜，因此其在運(yùn)行過程中遭受攻擊的環(huán)節(jié)最多，遭受攻擊的可能性也最大。常見的OSPF攻擊方式有三種，分別是：資源消耗攻擊、Upadate報(bào)文攻擊和Hello報(bào)文攻擊三種。其中資源消耗攻擊主要體現(xiàn)在在OSPF協(xié)議運(yùn)行時(shí)，不同類型的OSPF報(bào)文被不間斷地大量發(fā)送，實(shí)體資源也就在不斷消耗，極易造成資源的枯竭最后罷工停用。例如在給OSPF發(fā)送Hello報(bào)文時(shí)，由于Hello報(bào)文所占的容量大，數(shù)據(jù)列過長且涉及的鄰居列表也很多，因此很容易引發(fā)OSPF與鄰近列表之間構(gòu)建其他對話，在接收一個(gè)報(bào)文的過程中所消耗的資源大大超出其任務(wù)所需，導(dǎo)致資源過度消耗。Upadate報(bào)文攻擊出現(xiàn)的原因是由于OSPF協(xié)議中的LSA參數(shù)被修改，在運(yùn)轉(zhuǎn)過程中OPSF的運(yùn)行方向出現(xiàn)了偏離。而OSPF偏離的對象往往是攻擊者的方向，攻擊者常常會(huì)假扮成OSPF路由器，在通過與其他路由器成功連接之后使LSA在兩個(gè)路由器之間傳遞，攻擊者就無需鏈路密鑰直接入侵OSPF對其進(jìn)行攻擊。Hello報(bào)文攻擊出現(xiàn)的主要原因是Hello報(bào)文中的參數(shù)出現(xiàn)了錯(cuò)誤，鄰居路由器在接收到錯(cuò)誤報(bào)文之后就會(huì)丟棄Hello報(bào)文，由此就會(huì)出現(xiàn)鄰居Down。而Hello報(bào)文本身的作用是通過路由器之間的傳遞維護(hù)路由器與鄰居路由器節(jié)點(diǎn)之間的關(guān)系，無論是Hello報(bào)文的參數(shù)出現(xiàn)錯(cuò)誤還是傳輸過程中遭到拒絕，都會(huì)造成鄰居路由器Down。

在實(shí)際應(yīng)用中，為了提高安全性較差的OSPF協(xié)議的安全性能，一般采取的方式是增加驗(yàn)證和設(shè)計(jì)入侵檢測系統(tǒng)。在驗(yàn)證的基礎(chǔ)上，再在協(xié)議中加入入侵檢測信息系統(tǒng)，充分保證系統(tǒng)的安全性能。

3RIPV2協(xié)議安全性的評價(jià)

與RIPV1相同的是，RIPV2同樣采用的是不可靠的UDP協(xié)議;但不同的是，RIPV2采用了密文和明文兩種認(rèn)證機(jī)制。明文認(rèn)證機(jī)制能起到初步的安全防護(hù)作用，但在運(yùn)行過程中易被察覺。在使用了密文加強(qiáng)保護(hù)之后，其報(bào)文傳輸內(nèi)容就不那么容易被破解。在傳輸過程中，RIPV2協(xié)議以單向?yàn)橹?，?dāng)R2發(fā)出的信息正常時(shí)，R1就會(huì)接受信息，若發(fā)送的信息未被認(rèn)證，信息就會(huì)被丟棄。報(bào)文就會(huì)在傳輸過程中被不斷更新，RIPV2被攻擊的可能性就大大削減。因此從總體上看，加了密文的RIP協(xié)議路由器是一種安全性能較高的動(dòng)態(tài)路由協(xié)議。

4結(jié)束語

在常用的動(dòng)態(tài)路由協(xié)議中，或多或少都存在一些安全性能方面的隱患，網(wǎng)絡(luò)數(shù)據(jù)的安全性的重要性人盡皆知，因此為了保證常用動(dòng)態(tài)路由協(xié)議的安全性可靠，就需要采取有針對性的措施對其安全問題進(jìn)行排除。其中使用認(rèn)證機(jī)制能夠在一定程度上降低路由協(xié)議存在的安全風(fēng)險(xiǎn)，但要進(jìn)一步確保其安全，還需要采取其他措施如建立密文協(xié)議等。經(jīng)過重重處理，動(dòng)態(tài)路由協(xié)議的安全性才能夠得到充分提高，網(wǎng)路安全才能有所保障。

參考文獻(xiàn)

[1]唐燦華，常用動(dòng)態(tài)路由協(xié)議安全性分析及應(yīng)用[J].中國新通信，2016，18（07）：30-30，31.

[2]莫闖，探究常用動(dòng)態(tài)路由協(xié)議的安全性[J].科技風(fēng)，2017（10）：73.

[3]邵明珠，卓偉，趙開新。常用路由協(xié)議分析及比較[J].河南機(jī)電高等?？茖W(xué)校學(xué)報(bào)，2016，14（02）：25-27.