1、2023 年第 11 期162信息技术与信息化网络与信息安全O S P F路由协议脆弱性研究王明雄1WANG Mingxiong 摘要 OSPF 路由协议作为一种使用十分广泛的动态路由协议,掌握其协议原理及存在的脆弱性,对正确配置网络,提高网络安全性有十分重要的意义。为了正确配置网络,提高网络安全性,深入分析了 OSPF 路由协议的工作原理,详细阐述了报文头部结构,并从 OSPF 协议的基本原理出发分析了存在的安全隐患。研究表明,恶意攻击者可以利用 OSPF 的报文部分字段或伪造相应报文,实现对 OSPF 路由协议的攻击,影响网络的安全性和稳定性。关键词 路由协议;OSPF;漏洞;网络配置;网
2、络安全性 doi:10.3969/j.issn.1672-9528.2023.11.0371.西藏职业技术学院 西藏拉萨 850000 基金项目 西藏职业技术学院科研创新团队项目0 引言目前常用的动态路由协议有RIP、OSPF、IS-IS等协议1。其中 RIP 协议出现的时间最早,采用距离矢量算法,利用跳数来作为链路计量标准,适用于小型网络。IS-IS 是一种基于链路状态算法的路由协议,主要用于运营商网络。OSPF全称是 Open Shortest Path First,即开放最短路径优先,使用Dijkstra 提出的最短路径算法,不仅能够计算两个网络节点之间的最短路径,而且可以计算通信开销,
3、进而选择最优路由。由于 OSPF 是由 IETF 的 OSPF 工作小组开发,不被任何企业控制,因此得到了广泛的使用。作为一种广泛使用的动态路由协议,深入了解 OSPF 路由协议的报文结构,正确理解OSPF 路由协议的工作原理,对网络管理人员正确配置 OSPF路由协议,排除运行过程中发现的问题,在受到针对协议的攻击时采取正确的应对措施具有十分重要的意义。本文对OSPF路由协议的报文头结构进行了详细的讲解,针对每个字段的具体含义进行了分析。同时,对 OSPF 路由协议的工作原理进行了分析,并从工作原理出发,对 OSPF存在的安全隐患和可能被攻击的方式进行了分析,有助于网络管理人员深入理解并掌握
4、OSPF 路由协议,并在 OSPF 协议受到攻击时采取相应的防范手段,提升网络安全性。1 OSPF 协议原理OSPF 协议通过在邻近的路由器之间交换报文来实现通信信息交换。OSPF 协议运行过程中,主要有 5 种类型的报文2,并通过邻居发现、建立邻接关系、路由计算等步骤,完成路由转发表的生产。1.1 OSPF 协议的报文头部结构OSPF 报文直接封装在 IP 协议中,协议号为 89。OSPF共有 5 种类型的报文,每种报文的报文头部结构均相同,OSPF 协议的报文头部结构见图 1。图 1 OSPF 协议报文头结构Version 字段:共 8 位,标识 OSPF 协议的版本,其中OSPFv2 的
5、版本号是 2,OSPFv3 的版本号是 3。Type 字段:共 8 位,标识报文的类型。OSPF 协议有Hello、DD、LSR、LSU、LSAck 共 5 种 报 文,其 对 应 的Type 字段值分别为 1 5,不同的报文类型在报文头结束后有不同的结构。Packetlength字段:共16位,标识报文含报文头的总长度,单位是字节。RouterID 字段:共 32 位,标识发送报文的路由器标识。在 OSPF 协议中,每一个路由器都有不同的标识。AreaID 字段:共 32 位,标识发送报文路由器所在的区域标识,OSPF 协议分区域的设计,使它可以支持大型网络。Checksum 字段:共 16
6、 位,包含了除 Authentication 字段 2023 年第 11 期163信息技术与信息化网络与信息安全的整个报文校验和,在校验成功和报文顺序号一样的情况下,Checksum 字段越大,则表明报文越新。AuType 字段:共 16 位,标识报文所采取的认证类型。若本字段为 0 则表示不认证,若本字段为 1 则表示采用明文认证,若本字段为 2 则表示采用 MD5 认证。Authentication 字段:共 32 位,验证此报文所需的验证信息。1.2 邻居发现阶段OSPF 路由协议规定了路由器处在的 7 种不同状态,分别是 Down、Init(初始化)、Two-way(双向)、ExSta
7、rt(准启动)、Exchange(交换)、Loading(加载)、Full Adja-cency(完全邻接),在建立路由转发表过程中,路由器会在不同的阶段更新自己的状态。以通过广播或非广播-多路访问网络直接连接的两台路由器(R1,R2)为例,其邻居发现阶段过程如下。在路由器上启动 OSPF 进程后,两台路由器分别通过自己的直接连接接口向 OSPF 预留组播地址 224.0.0.5 发送 Hello数据包,数据包中包含了发送报文的路由器的 RouterID。路由器 R1 收到来自路由器 R2 的 Hello 数据包后,会将数据包中 R2 的 RouterID 放入自己的邻居表中,并将自己的状态更
8、新为 Init 状态,然后将 R2 的 RouterID 放入 Hello 包中,通过 OSPF 预留组播地址 224.0.0.5 向 R2 发送此数据包。R2 在接收到此数据包后,发现其中有自己的 RouterID,此时 R2将自己的状态标记为 Two-way 状态,标志 R1 和 R2 建立了邻居关系。1.3 建立邻接关系阶段OSPF 将网络中的路由器分为 3 种不同的类型,分别为指定路由器(designated router,DR)、备用指定路由器(backup designated router,BDR)和 DRother 路由器3。DR 负责将网络中的链路状态变化信息通报给 DRot
9、her 路由器,BDR 是DR 的备份,负责监控 DR 的工作状态,当 DR 发生故障时及时接替其工作,确保网络稳定。OSPF 协议为了优化广播网和广播多路访问(non-broadcast multiple access,NBMA)网络中的邻接关系,优化网络发生变化时的收敛速度,OSPF协议只允许 DR、BDR 和 DRother 之间建立邻接关系,DRo-ther 路由器之间无法建立邻接关系,只能建立邻居关系,双方状态停滞在 Two-way 状态。在广播网和 NBMA 网络中,需要进行 DR 和 BDR 的选举,选举原则是优先级最高的路由器为 DR,优先级次之的路由器为 BDR。如果未配置路
10、由器优先级或优先级相同,则 RouterID 大的路由器为 DR,RouterID 次之的路由器为BDR。如果路由器未配置 RouterID,则将路由器所有配置 IP地址接口中最大的 IP 地址作为路由器 RouterID,并进行 DR选举。在选举产生 DR、BDR 后,DRother 路由器只向 DR和 BDR 通报相关信息,再由 DR 向其他 DRother 路由器通报,这样就极大减少了网络中的组播报文,优化了网络性能。路由器之间通过 DD 报文建立邻接关系。以通过广播或非广播-多路访问网络直接连接的两台路由器(R1,R2)为例,当路由器 R1 状态变为 ExStart 状态后,R1 会发
11、送第一个 DD报文,并在 DD 报文中宣告自己是 Master。当 R2 状态变为ExStart 状态后,也会发送其第一个 DD 报文,也在 DD 报文中宣告自己是 Master。假设 R1 的 RouterID 较大,R1、R2收到对方发送的报文后,会根据 DR 选举规则确定 R1 的状态为 Master,R2 收到此报文后,其邻居状态从 ExStart 变为Exchange 状态。此时,R2 会发送一个新的 DD 报文,并在报文中宣告自己是 Slave,R1 收到此报文后,会将自己的邻居状态从 ExStart 变为 Exchange 状态,并发送一个新的 DD报文,R1 会在报文中宣告自己
12、状态为 Master。作为 Slave,R2 需要对 R1 发送的每一个 DD 报文进行确认。此时,R2 向R1 发送一个 DD 报文,R2 邻居状态变为 Loading,R1 接收到此报文后,R1 的邻居状态会更新为 Full 状态,标志两台路由器之间建立了邻接关系。1.4 路由通告两台路由器建立邻接关系后,R2 开始向 R1 发送 LSR报文,请求在 Exchange 状态下通过 DD 报文发现其本地数据库中没有的链路信息。R1 接收到此报文后,会向 R2 发送LSU 报文,LSU 报文中会包含请求的链路信息,R1 接收到此报文后,其邻居状态会更新为 Full 状态,此时 R1 向 R2
13、发送 LSAck 报文,作为对 LSU 报文的确认。R2 接收到 LSAck报文后,R1 和 R2 间实现链路状态数据库(link state data base,LSDB)的同步。LSDB 中的每一条链路状态通告(link state advertising,LSA)均设置了 1 小时的老化时间,如果在老化时间内某条 LSA 没有更新,则这条 LSA 会从 LSDB 中删除,确保 LSDB 中所有的 LSA 均为有效。为了节约网络资源,OSPF 路由器采取增量更新的机制发布 LSA,即只发布建立邻接关系的路由器缺失的链路状态信息给相应的路由器,对于已经有的链路状态信息,不再发布。1.5 路由
14、计算阶段区域中路由器的 LSDB 实现同步后,同一个 OSPF 区域的路由器都具有相同的链路状态数据库,此时每台路由器都以自己作为根,使用最短路径优先(shortest path fi rst,2023 年第 11 期164信息技术与信息化网络与信息安全SPF)算法,生成一棵 SPF 树,把到达每一个目标网络的路径信息放进本地路由表中,完成路由计算。2 OSPF 协议安全隐患分析通过以上对 OSPF 协议的运行过程分析可以发现,OSPF规定的各类报文在路由器交换信息中发挥了重要作用。但其规定的 5 种类型的报文相应字段如果被恶意篡改,有可能触发路由器产生非预期的操作。另外,如果在配置 OSPF
15、 时采用了默认配置,也存在安全隐患。2.1 利用默认配置的认证漏洞在 OSPF 动态路由协议中,有 3 种认证方式,通过OSPF 报文头的 AuType 字段表示。在默认情况下,本字段为 0,即不验证,此时在 OSPF 协议头中 Authentication 字段为空,没有任何信息,只要该报文的 Checksum 字段和接收的报文能够通过校验,接收路由器就将此报文的信息加入自己的 LSDB 中,这种情况下显然安全性非常低。如果将 AuType 字段配置为 1,即明文认证方式,此时 OSPF协议头中 Authentication 字段会携带明文认证信息,接收路由器在接收到此 LSA 报文时,只需
16、要验证 Checksum 字段无误,并对携带的明文信息进行简单的比对,如果无误后就认为通过校验,接收路由器就将此报文的信息加入自己的LSDB中。在网络中,如果恶意攻击者安装了嗅探程序,可以通过网络嗅探监听到明文验证码,并利用嗅探到的验证码伪造恶意路由信息,此时连接到此路由器接口的其他路由器都会接收到伪造路由信息,使相连接的路由器被欺骗或攻击。2.2 利用序列号和年龄字段攻击OSPF 协议通过发送 LSA 报文的形式发布路由,路由器通过生成和交换 LSA 形成链路状态数据库 LSDB,通过同步LSDB,实现所有路由器对网络认识的一致。在LSA中,通过 LSage(老化时间)、LS Seq Num
17、ber(LS 的序列号)两个字段来标识网络中的哪一个 LSA 更新4。通常情况下,具有更大的 LSage 和 LS Seq Number 字段的 LSA 报文被认为更新。在这种情况下,攻击者通过向网络中持续注入具有最大 LSage 字段的报文,可能使路由器误认为恶意 LSA 报文所携带的路由信息为正确信息,使路由器错误地清除自己的路由表,造成路由表错误。虽然 OSPF 协议设置了反击机制,当接收到伪造 LSA 报文所对应的真实路由器接收到此报文后,会向网络中组播一条正确的路由信息,但由于反击机制的滞后性,此时攻击目的已经达成,会造成被攻击网络短时不可用。攻击者还可以通过向网络中注入具有最大 L
18、S Seq Number 的报文,即将此字段设置为 0 x7FFFFFFF,此时可能使路由器误认为此报文是最新的报文,导致恶意路由信息被其他路由器接收并更新,同样可能造成被攻击网络短时不可用。2.3 远程假邻接攻击当远程攻击目标为 OSPF 区域网络中的 DR 时,可以通过伪造 Hello 数据包,使被攻击路由器进入 Two-way 状态,双方进入邻居状态5。此时,攻击者通过伪造 DD 报文,使DD 报文中的攻击者路由器 RouterID 远大于被攻击路由器,从而使攻击者被选举为 DR。在攻击者被选举为 DR 后,就可以随意向网络中发出携带错误路由信息的 LSA,实现流量转移甚至是路由黑洞。2
19、.4 伪造 LSA 攻击根据 OSPF 协议,LSA 报文共有 7 种不同的类型6,分别通过在 LSA 报头中的 LStype 字段标识。在所有不同类型的 LSA 报文中,都有一个 4 字节的 Link State ID 字段和一个 4 字节的 Advertising Router 字段,其在不同类型的LSA 报文中应当按照协议规范设置为不同的值。在 LSA 报文 Router-LSA 报文类型中,两个字段应该取值一致,且为发出该 Router-LSA 报文的路由器的 RouterID。根据 OSPF协议规范,路由器在接收到 Router-LSA 报文时,会首先检查Advertising Ro
20、uter字段,以此判断报文是否由自己发出。如果该字段和自己的 RouterID 一致,则表明报文是由自己发出的,此时路由器会进一步检查这个报文是否为最新,如果是最新,路由器会触发反击机制,否则直接丢弃。如果和自己的 RouterID 不一致,则和自己 LSDB 中相同 Link State ID 字段的链路状态进行比较,并根据新旧关系决定是更新LSDB 还是直接丢弃。OSPF 协议在设计时存在一个缺陷,即是否反击取决于 LSA 报文中的 Advertising Router 字段,在决定是否更新路由表时取决于 LSA 报文中的 Link State ID 字段,两者不一致。因此,攻击者可以利用
21、这一缺陷,伪造 Advertising Router 字段和 Link State ID 字段不一致的LSA 报文,其中伪造的 Advertising Router 字段为任意值,Link State ID字段为网络中实际存在的路由器RouterID值,从而达到不被攻击路由器反击的同时,路由劫持或路由黑洞的攻击效果。2.5 虚假外部路由注入为了支持大型网络,OSPF 动态路由协议引入了区域的概念,将大型网络分割成为逻辑上不同的每个小型区域。同时,为了实现OSPF协议与其他路由协议之间交换路由信息,2023 年第 11 期165信息技术与信息化网络与信息安全在 OSPF 区域边界设置了自治系统边
22、界路由器(autonomous system boundary router,ASBR),由 ASBR 向 OSPF 区域通告其他路由协议网络拓扑。如果攻击者成功入侵了一台 ASBR 路由器,或者是通过其他手段将自己伪装成一台ASBR 路由器时,攻击者可以任意向 OSPF 区域内的其他路由器宣告虚假的 LSA 信息,顺利注入虚假外部路由,由于其他路由器并不验证 ASBR 宣告的 LSA,也就不能得到及时的纠正。3 OSPF 安全防范对于因 OSPF 协议设计时存在的缺陷,需要由路由器厂家在路由协议实现时予以防范;对于协议配置过程不当存在的问题,需要管理员在日常配置过程中进行正常的配置,增强网络
23、的安全性。3.1 针对 OSPF 协议缺陷的防范对于由于 OSPF 协议设计时存在的缺陷,如利用序列号和年龄字段攻击、远程假邻接攻击、伪造 LSA 攻击等,在配置层面难以解决,需要网络管理员密切关注路由器厂家的更新信息,及时更新路由器操作系统,对发现的漏洞及时安装更新补丁。同时,应该在网络中配置入侵检测系统。入侵检测系统可以在网络中的关键节点收集信息,对收集的信息进行分析,并判断网络中是否存在违反安全策略的行为或存在入侵行为。针对路由协议,可以监测各路由器之间交换的路由信息,通过信息判断网络中是否存在恶意攻击行为,在必要情况下可以进行干预,严重的情况下可以直接断开网络,避免攻击范围进一步扩大。
24、3.2 针对密码认证配置缺陷的防范以常用的华为路由器为例,可以通过在区域和接口下使用 authentication-mode md5 命令,配置区域和接口中的 OSPF协议采用 MD5 密文认证,提高配置的安全性。典型的配置过程如下。system-viewHuaweisysname R1R1int g0/0/1R1-GigabitEthernet0/0/1ip add 192.168.1.124R1-GigabitEthernet0/0/1int g0/0/0R1-GigabitEthernet0/0/0ip add 10.1.12.1 24R1-GigabitEthernet0/0/0qR1
25、router id 1.1.1.1R1ospf 1R1-ospf-1area 0R1-ospf-1-area-0.0.0.0authentication-mode md5 1 cipher huawei /配置 OSPF 区域间加密认证R1-ospf-1-area-0.0.0.0network 192.168.1.0 0.0.0.255R1-ospf-1-area-0.0.0.0network 10.1.12.0 0.0.0.2554 结语本文从OSPF路由协议的报文结构和实现过程分析出发,详细描述了 OSPF 协议存在的安全隐患和常见威胁。作为一种在网络中大量使用的动态路由协议,需要网络管理
26、员精心进行网络维护,及时对路由器进行更新,保障路由协议正常运行。参考文献:1 程永青.浅谈 OSPF 协议的基本原理及其仿真 J.电脑知识与技术,2017,13(36):30-31+41.2 罗问陶.简析 OSPF 路由协议研究及应用 J.网络安全技术与应用,2016(4):40+42.3 李竹申.探讨 OSPF 协议的基本原理与实现 J.电脑知识与技术,2019,15(27):30-31.4 李南.OSPF 协议脆弱性分析与检测技术研究 D.长沙:国防科技大学,2018.5 朱绪全,包婉宁,张进,等.OSPF 路由协议脆弱性研究及分析 J.信息安全学报,2023,8(2):42-53.6 高
27、枫.解析 OSPF 协议中的七类 LSAJ.网络安全和信息化,2022(12):67-69.7 张辛欣,褚伟,程丽.OSPF 的配置方法和优缺点 J.网络安全和信息化,2022(10):156-158.8 易典.OSPF 协议安全仿真评估与检测技术 D.无锡:江南大学,2022.9 马 记,钟 毅,崔 少 锋.浅 析 OSPF 协 议 中 常 用 的 几 种LSAJ.网络安全和信息化,2021(11):91-93.10孙加伟.面向空间网络的OSPF协议设计与实现D.南京:南京大学,2021.【作者简介】王明雄(1982),男,四川沐川人,硕士,副教授,研究方向:职业教育管理、计算机网络及信息安全。(收稿日期:2023-07-21 修回日期:2023-08-25)
浙ICP备2021020529号-1 | 浙B2-20240490 
