劉悅 胡曦明 馬苗 李鵬

摘要：針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議OSPF的教學(xué)設(shè)計(jì)和課堂講授通常僅涉及其通信功能的現(xiàn)狀，提出圍繞OSPF安全性開展理論和實(shí)踐教學(xué)。在深入分析了OSPF安全機(jī)制的基礎(chǔ)上，基于H3C Cloud Lab平臺(tái)，實(shí)現(xiàn)了OSPF路由攻擊與防御的仿真實(shí)驗(yàn)，對(duì)網(wǎng)絡(luò)通信和網(wǎng)絡(luò)安全方向的專業(yè)課教學(xué)具有應(yīng)用價(jià)值。

關(guān)鍵詞： OSPF；網(wǎng)絡(luò)通信；網(wǎng)絡(luò)安全；攻擊與防御；實(shí)驗(yàn)教學(xué)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044 （2018）20-0156-04

Security Analysis and Prevention and Detection System of Routing Protocol OSPF

LIU Yue1， HU Xi-ming1，2*， MA Miao1，2， LI Peng1，2

（1.School of Computer Science， Shaanxi Normal University， Xian 710119， China； 2.Key Laboratory of Modern Teaching Technology， Ministry of Education， Xian 710119， China）

Abstract： The teaching design and classroom instruction for the computer network protocol OSPF usually only involve the status of its communication function， and put forward the teaching of theory and practice around the security of OSPF. Based on the in-depth analysis of the OSPF security mechanism， based on the H3C Cloud Lab platform， the simulation experiment of OSPF routing attack and defense is realized. It is valuable for the teaching of network communication and the teaching of network security.

Key words： OSPF routing protocol； network communication； network security； attack and defense； experimental teaching

作為在園區(qū)網(wǎng)中應(yīng)用最為廣泛的路由協(xié)議之一，內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，簡(jiǎn)稱IGP）OSPF（Open Shortest Path First開放式最短路徑優(yōu)先）[1]已成為《計(jì)算機(jī)網(wǎng)絡(luò)》《網(wǎng)絡(luò)工程》和《路由與交換》等計(jì)算機(jī)類專業(yè)課程教學(xué)中的重點(diǎn)和難點(diǎn)。

當(dāng)前，在課堂教學(xué)里OSPF的教學(xué)設(shè)計(jì)通常僅涉及其路由算法[2]、路由表管理等通信功能部分，但這并不代表OSPF不存在網(wǎng)絡(luò)安全[3]的問題，在復(fù)雜的互聯(lián)網(wǎng)環(huán)境中，不可避免地出現(xiàn)針對(duì)OSPF的攻擊。如何在課程中開展關(guān)于OSPF安全性的理論和實(shí)驗(yàn)教學(xué)成為計(jì)算機(jī)類課程教學(xué)改革的突出問題。

1 OSPF安全機(jī)制

1.1 報(bào)文驗(yàn)證機(jī)制

OSPF為保證安全性，設(shè)計(jì)了三種類型的驗(yàn)證機(jī)制，分別是：（1）空驗(yàn)證，在路由的信息交換過程中不需要驗(yàn)證。（2）簡(jiǎn)單口令驗(yàn)證，即防止惡意路由隨意地加入路由域，造成惡意攻擊。（3）加密驗(yàn)證，即為接入同一個(gè)網(wǎng)絡(luò)或子網(wǎng)的路由器配置一個(gè)公共密鑰，這個(gè)網(wǎng)絡(luò)的路由器發(fā)送的每一份OSPF報(bào)文都附帶著含有密鑰的信息摘要，當(dāng)路由器接收到報(bào)文時(shí)，根據(jù)路由器上的公共密鑰以及接收到報(bào)文信息生成一份信息摘要，并與之前接收的信息摘要比較，若結(jié)果一致，則接收?qǐng)?bào)文，否則丟棄。

1.2 分層路由機(jī)制

將自治區(qū)域劃分為許多個(gè)小區(qū)域，區(qū)域性地劃分產(chǎn)生了兩種不同類型的OSPF路由選擇[4]，分別是區(qū)域間路由選擇和區(qū)域內(nèi)路由選擇[5]。本區(qū)域的拓?fù)浣Y(jié)構(gòu)對(duì)其他區(qū)域是屏蔽的，當(dāng)域內(nèi)路由的安全受到威脅時(shí)，對(duì)整個(gè)自治區(qū)域產(chǎn)生的危害是有限的。

1.3 可靠的擴(kuò)散機(jī)制

OSPF協(xié)議擁有對(duì)錯(cuò)誤鏈路信息的反擊能力，若區(qū)域內(nèi)注入了錯(cuò)誤的路由信息，其他路由器會(huì)用錯(cuò)誤的路由信息更新正確的信息，但是只要兩個(gè)路由之間存在一條可靠路由信息，就能發(fā)回源路由，會(huì)由源路由重新擴(kuò)散[6]，更新其他錯(cuò)誤路由信息。

2 OSPF的路由攻擊方法

2.1 路由欺騙

針對(duì)OSPF協(xié)議的欺騙攻擊[7]，即冒充一臺(tái)合法路由器與網(wǎng)絡(luò)中的路由器建立鄰接關(guān)系，并向攻擊的路由器輸入大量鏈路狀態(tài)廣播，引導(dǎo)路由器形成錯(cuò)誤的網(wǎng)絡(luò)拓?fù)?，?dǎo)致整個(gè)網(wǎng)絡(luò)的路由表紊亂。

2.2 路由拒絕服務(wù)攻擊

拒絕服務(wù)，即Dos（Denial of Service）[8]。造成Dos的攻擊行為被稱為拒絕服務(wù)攻擊，其目的是使計(jì)算機(jī)網(wǎng)絡(luò)無法提供正常的服務(wù)。對(duì)OSPF協(xié)議的拒絕服務(wù)攻擊主要有以下四種：

（1）Max age 攻擊

發(fā)送帶有最大Max Age 設(shè)置的LSA信息報(bào)[9]，這樣，最開始的路由器通過產(chǎn)生刷新信息來發(fā)送這個(gè)LSA，而后就引起在Age 項(xiàng)中的突然改變值的競(jìng)爭(zhēng)。通過持續(xù)突然插入最大值到信息包給整個(gè)路由器群網(wǎng)絡(luò)，將會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。

（2）Sequence++攻擊

LSA sequence number 欄是被用來判斷舊的或者是否同樣的LSA，比較大的序列號(hào)表示這個(gè)LSA越是接近的。通過持續(xù)插入大LSA sequence 序列號(hào)信息包，最開始的路由器就會(huì)產(chǎn)生發(fā)送自己更新的LSA序列號(hào)來超過攻擊序列號(hào)[10]的競(jìng)爭(zhēng)，這樣就導(dǎo)致了網(wǎng)絡(luò)不穩(wěn)定。

（3）最大序列號(hào)攻擊

當(dāng)想超過最大序列號(hào)的時(shí)候，LSA就必須從路由domain（域）[11]中刷新，有ISN初始化序列號(hào)。通過插入最大的序列號(hào)OX7FFFFFFF并即將被初始化，導(dǎo)致最開始路由器的競(jìng)爭(zhēng)。

（4）偽造LSA攻擊

通過所有g(shù)ated進(jìn)程[12]停止并重新啟動(dòng)來清除偽造的不正確的LSA，導(dǎo)致發(fā)生拒絕服務(wù)。

3 OSPF安全性實(shí)驗(yàn)教學(xué)

3.1 實(shí)驗(yàn)流程

OSPF的正確運(yùn)行是基于對(duì)鄰居路由的信任，但是在現(xiàn)在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，不可避免地出現(xiàn)偶然的漏洞或者是有預(yù)謀的攻擊。針對(duì)實(shí)驗(yàn)環(huán)境及常見攻擊特點(diǎn)設(shè)計(jì)模擬攻擊和防御的實(shí)驗(yàn)方案如圖1所示。

常見的路由攻擊分為路由欺騙，Max age攻擊，Sequence++攻擊，最大序列號(hào)攻擊和偽造LSA攻擊[13]，本文對(duì)路由欺騙進(jìn)行模擬實(shí)驗(yàn)通過更改cost值而成功進(jìn)行欺騙。路由防御分為OSPFv2的防御機(jī)制和OSPFv3的防御機(jī)制，本文在OSPFv2攻擊實(shí)驗(yàn)的基礎(chǔ)上對(duì)OSPFv3防御進(jìn)行仿真模擬。

3.2 攻擊實(shí)驗(yàn)

3.2.1 實(shí)驗(yàn)環(huán)境

按照?qǐng)D1所示的實(shí)驗(yàn)流程，本文以路由攻擊中常見的路由欺騙方法作為教學(xué)案例來講解OSPF路由攻擊的具體技術(shù)實(shí)現(xiàn)。

實(shí)驗(yàn)中仿真已經(jīng)完成收斂的OSPF路由器R0和R1通過在交換機(jī)上接入一臺(tái)運(yùn)行相應(yīng)程序的PC機(jī) （通過quagga軟件源使得Linux系統(tǒng)成為軟路由[14]），使得將R0原本指向R1的GE 0/1 172.16.0.2的路由指向我們的攻擊端，達(dá)到攻擊的目的。

3.2.2 關(guān)鍵配置

（1）攻擊方配置

Quagga是一個(gè)軟路由軟件使得Linux系統(tǒng)成為軟路由。傳統(tǒng)的H3c cloud lab不支持這種功能，因此本文引入軟路由系統(tǒng)，軟路由系統(tǒng)有MyRouter、My WIFI Router、quagga、軟路由OS系統(tǒng)等等，其中quagga具有配置簡(jiǎn)單，開源的優(yōu)點(diǎn)。

在Ubuntu系統(tǒng)安裝quagga ，啟動(dòng)quagga，發(fā)現(xiàn)兩個(gè)端口。

zebra（2601 ）進(jìn)程是用來管理路由信息的查看靜態(tài)路由。

ospfd（2604 ）進(jìn)程是用來專門負(fù)責(zé)OSPF相關(guān)信息。

其中2601和2604代表的是zebra和ospfd兩個(gè)進(jìn)程的進(jìn)程號(hào)，在Telnet后使用配置命令sh run 可以查看二者的進(jìn)程信息。

（2）被攻擊方配置

實(shí)驗(yàn)中配置好的兩臺(tái)設(shè)備R0 和R1 已經(jīng)收斂完成，兩臺(tái)路由器采用GE0/0接口交互OSPFv2， R0和R1的配置命令如下表所示：

此外R1新開啟GE0/1，用以將路由信息更新至R0，接口信息如下：

3.2.3 攻擊過程與結(jié)果分析

（1）攻擊過程

首先，在實(shí)驗(yàn)開始的時(shí)候需要啟動(dòng)在圖二所示的被攻擊方R0及驗(yàn)證方R1的OSPF進(jìn)程，再做如下配置，啟動(dòng)攻擊方PC機(jī)quagga軟路由系統(tǒng)與攻擊方R0和驗(yàn)證方R1的OSPF協(xié)商進(jìn)程，以此來觀察攻擊者和被攻擊者的關(guān)系。

其次R0和R1應(yīng)該收到OSPFv2信息，并且開始OSPFv2握手和協(xié)商，由于之前已經(jīng)選擇出DR和BDR，因此我們最后加入的被設(shè)置成DROTHER。

最后在ubuntu的網(wǎng)卡內(nèi)增加172.16.0.2并在ospfd設(shè)置接口的cost值為1（我在這里設(shè)為了最小值）。

（2）結(jié)果分析

此時(shí)更新已經(jīng)發(fā)送出去，且由于cost比較小，將被R0采納為最優(yōu)路徑。可以通過zebra進(jìn)程使用sh ip route命令查看軟路由里的OSPF信息，發(fā)送之前信息為“172.16.0.0 [110/20] via 192.168.0.249，00：09：42”在攻擊完成后再次查看信息，發(fā)送之后信息變?yōu)椤?72.16.0.0 [110/11] via 192.168.0.186，00：04：55”，根據(jù)結(jié)果顯示，攻擊成功。

3.3 路由防御

根據(jù)如圖1所示的試驗(yàn)流程，在攻擊實(shí)驗(yàn)的同時(shí)可以做路由防御實(shí)驗(yàn)，本文做了以IPv6基礎(chǔ)的OSPFv3防御試驗(yàn)為教學(xué)案例來講解有防御模塊的實(shí)施過程。即實(shí)驗(yàn)拓?fù)淙鐖D所示：

（1）OSPFv3交互

實(shí)驗(yàn)中配置好的被攻擊方R0 和驗(yàn)證方R1 已經(jīng)收斂完成，兩臺(tái)路由器采用GE0/0接口交互OSPFv3，此外驗(yàn)證方R1新開啟GE0/1，用以將路由信息更新至被攻擊方R0，則R0和R1的OSPFv3交互信息如下所示：

（2）啟動(dòng)ospfd協(xié)商進(jìn)程

首先在攻擊方PC機(jī)中ospfd中做如下配置，啟動(dòng)和被攻擊方R0和驗(yàn)證方R1的OSPFv3協(xié)商進(jìn)程，以此來觀察攻擊方與被攻擊方的關(guān)系。

（3）開始攻擊

R0和R1應(yīng)該收到OSPFv3信息，并且開始OSPFv3握手和協(xié)商，由于之前已經(jīng)選擇出DR和BDR，因此實(shí)驗(yàn)最后加入的被設(shè)置成DROTHER。

（4）設(shè)置cost值

在ubuntu的網(wǎng)卡內(nèi)增加2002：fff：：64并在ospfd設(shè)置接口的cost值為1（同樣設(shè)為最小值）。

（5）防御效果

此時(shí)更新已經(jīng)發(fā)送出去， 通過zebra進(jìn)程使用sh ip route命令查看軟路由里的OSPF信息，但是R0信息沒有發(fā)生變化，一直保持為“2000：fff：：0：0：0：0：0：0[110/11] via 2001：da8：4001：3：0：6822：b243：2480，00：09：42”，根據(jù)結(jié)果顯示，防御成功。

（6）結(jié)果分析

OSPFv3防御實(shí)驗(yàn)驗(yàn)證了OSPFv3采用了新的報(bào)文格式，利用IPv6提供的網(wǎng)絡(luò)層安全機(jī)制保障了所交換的路由信息安全，說明了使用基于IPv6的OSPFv3路由協(xié)議較OSPFv2版本的路由協(xié)議具有很大的安全性。

4 總結(jié)

作為目前網(wǎng)絡(luò)中應(yīng)用最為廣泛的路由協(xié)議之一，OSPF是本科計(jì)算機(jī)網(wǎng)絡(luò)類課程的教學(xué)重點(diǎn)和難點(diǎn)，但是在實(shí)際的教學(xué)過程中不管是理論教學(xué)還是實(shí)踐教學(xué)僅僅只涉及了OSPF的通信功能部分，OSPF路由安全并未涉及。隨著網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，OSPF也面臨的網(wǎng)絡(luò)安全威脅日益突出，因此圍繞OSPF安全性開展理論和實(shí)驗(yàn)教學(xué)是非常有必要的。

為此，本文提出了基于仿真的方法來圍繞OSPF安全性開展理論和實(shí)驗(yàn)教學(xué)，提出采用H3C Cloud Lab平臺(tái)，利用quagga軟路由系統(tǒng)實(shí)現(xiàn)OSPF路由攻擊與防御實(shí)驗(yàn)，為OSPF安全性理論和實(shí)踐教學(xué)提供了切實(shí)可行的教學(xué)設(shè)計(jì)和教學(xué)案例。

參考文獻(xiàn)：

[1] 劉邦桂，劉冰.OSPF動(dòng)態(tài)路由協(xié)議的研究[J].電腦知識(shí)與技術(shù)，2010，6（12）：3285-3286.

[2] 黃亞玲.RIP距離矢量路由算法優(yōu)化方案[J].電腦知識(shí)與技術(shù)，2015，11（13）：41-42.

[3] 楊慧.網(wǎng)絡(luò)安全技術(shù)的發(fā)展現(xiàn)狀和未來發(fā)展趨勢(shì)[J].電腦知識(shí)與技術(shù)，2010，6（35）：9991-9993.

[4] 賀道德，江濤.基于翻轉(zhuǎn)課堂的無線傳感網(wǎng)教學(xué)設(shè)計(jì)研究[J].電腦知識(shí)與技術(shù)，2017，13（4）：98-99.

[5] 婁松濤.淺析路由選擇協(xié)議[J].電腦知識(shí)與技術(shù)，2009，5（9）：2110-2111.

[6] Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)（第四版[M].北京：清華大學(xué)出版社，2004，195-196.

[7] 張選波.計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議原理實(shí)驗(yàn)教程[M].福建：銳捷網(wǎng)絡(luò)大學(xué)，2006.

[8] 薛麗君.分布式拒絕服務(wù)（DDos）攻擊檢測(cè)與防護(hù)[D]. 電子科技大學(xué)，2003.

[9] 任云花. OSPF 路由攻擊的安全性分析[J]. 科技情報(bào)開發(fā)與經(jīng)濟(jì)，2007，17（15）：252-253.

[10] K. Varadhan， R. Govindan， D. Estrin. Persistent route oscillations in inter-domain routing[J]. Computer Networks， 2000，32（1）：1-16.

[11] 吳禮發(fā). 網(wǎng)絡(luò)協(xié)議工程[M].北京：電子工業(yè)出版社，2001：57-58.

[12] 蘭巨龍.高性能IPV6路由器基礎(chǔ)平臺(tái)及實(shí)驗(yàn)系統(tǒng)需求說明書，

[13] 郭方平.OSPF路由協(xié)議安全性探討[J]. 中國新通信，2014（15）：45-46.

[14] 劉濤，李佩鐸.淺談軟路由和硬路由[J].電腦知識(shí)與技術(shù)，2010，6（2）：298+320.