BGP路由協議是路由協議中非常常見的一種，下面我們主要分析了BGP路由協議的安全問題及防范措施。路由器在每個網絡中起到關鍵的作用，如果一路由器被破壞或者一路由被成功的欺騙，網絡的完整性將受到嚴重的破壞，如果使用路由的主機沒有使用加密通信那就更為嚴重，因為這樣的主機被控制的話，將存在著中間人(man-in-the-middle)攻擊，拒絕服務攻擊，數據丟失，網絡整體性破壞，和信息被嗅探等攻擊。

關于一些很普遍的路由器安全問題

上面地址所收集的漏洞大部分無關于BGP路由協議級的攻擊，而是一些由于錯誤配置,IP信息包錯誤處理，SNMP存在默認的communit name string,薄弱密碼或者加密算法不夠強壯而造成。上面的一些攻擊一般一個標準的NIDS都能夠探測出來。這些類型的攻擊對網絡底層有一定的削弱性并可以組合一些高極別的協議進行攻擊。

正確的配置管理可以處理不少普通的漏洞，如你必須處理一些標準的規程:不使用SNMP(或者選擇強壯的密碼)，保持補丁程序是最新的，正確處理訪問控制列表，出入過濾，防火墻,加密管理通道和密碼，路由過濾和使用MD5認證。當然在采用這些規程之前你必須知道這些安全規則的相關的含義和所影響到的服務。下面是有關各種協議的淺釋和相關漏洞及可以采用的防衛措施

Routing Information Protocol (RIP，路由信息協議)是基于距離矢量的路由協議，其所有路由基于(hop)跳數來衡量。由Autonomous System (AS，自主系統) 來全面的管理整個由主機，路由器和其他網絡設備組成的系統。RIP是作為一種內部網關協議(interior gateway protocol)，即在自治系統內部執行路由功能。相反的大家都知道外部網關BGP路由協議(exterior gateway protocol)，如邊緣網關協議（BGP），在不同的自治系統間進行路由。RIP協議對大型網絡來說不是一個好的選擇，因為它只支持15跳，RIPv1而且只能通信自身相關的路由信息，反之RIPv2能對其他路由器進行通信。RIP協議能和其他路由協議共同工作，依照Cisco，RIP協議經常用來與OSPF協議相關聯，雖然很多文蕩指出OSPF需代替RIP. 應該知道經由RIP更新提交的路由可以通過其他路由協議重新分配，這樣如果一攻擊者能通過RIP來欺騙路由到網絡，然后再通過其他協議如OSPF或者不用驗證的BGP路由協議來重新分配路由，這樣攻擊的范圍將可能擴大。

RIP協議相關的漏洞和防范措施

一個測試者或者攻擊者可以通過探測520 UDP端口來判斷是否使用RIP，你可以使用熟悉的工具如nmap來進行測試，如下所示，這個端口打開了并沒有使用任何訪問控制聯合任意類型的過濾：

[root@test]# nmap -sU -p 520 -v router.ip.address.2
interesting ports on (router.ip.address..2):
Port State Service
520/udp open route

RIPv1 天生就有不安全因素，因為它沒有使用認證機制并使用不可靠的UDP協議進行傳輸。RIPv2的分組格式中包含了一個選項可以設置16個字符的明文密碼字符串(表示可很容的被嗅探到)或者MD5簽字。雖然RIP信息包可以很容易的偽造，但在RIPv2中你使用了MD5簽字將會使欺騙的操作難度大大提高。一個類似可以操作的工具就是nemesis項目中的RIP命令--nemesis-rip,但由于這個工具有很多的命令行選項和需要必備的知識，所以nemesis-rip 比較難被script kiddies使用。想使用nemesis-rip成功進行一次有效的RIP欺騙或者類似的工具需要很多和一定程度的相關知識。不過/\"Hacking Exposed/\"第二版第10章:Network Devices提到的有些工具組合可以比較容易的進行RIP欺騙攻擊攻擊，這些工具是使用rprobe來獲得遠程網絡RIP路由表，使用標準的tcpdump或者其他嗅探工具來查看路由表，srip來偽造RIP信息包(v1或者v2)，再用fragrouter重定向路由來通過我們控制的主機，并使用類似dsniff的工具來最后收集一些通信中的明文密碼。

盡管大家知道欺騙比較容易，但仍然存在一些大的網絡提供商仍舊依靠RIP來實現一些路由功能，雖然不知道他們是否采用來安全的措施。RIP顯然目前還是在使用，呵呵但希望很少人使用RIPv1，并且使用了采用MD5安全機制的RIPv2，或者已經移植到了使用MD5認證的OSPF來提高安全性。

Border Gateway Protocol (BGP，邊界網關協議)

BGP是Exterior Gateway Protocol (EGP，外部網關協議)，此BGP路由協議執行的時候自主系統之間的路由，現在BGP4是最近的流行標準，BGP使用幾種消息類型，其中這文章相關的最重要的消息是UPDATE消息類型，這個消息包含了路由表的更新信息，全球INTERNET大部分依靠BGP，因此一些安全問題必須很嚴肅的對待，L0pht幾年就宣稱過:他們能在很短的時間內利用BGP路由協議的安全如BGP來搞垮整個Internet.

BGP協議相關的漏洞和防范措施

[root@test]# nmap -sS -p 179 -v router.ip.address.2
Interesting ports on (router.ip.address..2):
Port State Service
179/tcp open bgp

一個開放的BGP端口，更容易被攻擊

[root@test]# nmap -sS -n -p 179 router.ip.address.6
Interesting ports on (router.ip.address.6):
Port State Service
179/tcp filtered bgp

BGP端口被過濾了，對攻擊有一定的抵抗力

由于BGP使用了TCP的傳輸方式，它就會使BGP引起不少關于TCP方面的問題，如很普遍的SYN Flood攻擊，序列號預測，一般拒絕服務攻擊等。BGP沒有使用它們自身的序列而依靠TCP的序列號來代替，因此，如果設備采用了可預測序列號方案的話，就存在這種類型的攻擊，幸好的是，運行在Internet上大部分重要的路由器使用了Cisco設備，而其是沒有使用可預測序列號方案。部分BGP的實現默認情況下沒有使用任何的認證機制，而有些可能存在和RIP同樣的問題就是使用了明文密碼。這樣假如認證方案不夠強壯的話，攻擊者發送UPDATE信息來修改路由表的遠程攻擊的機會就會增加許多，導致進一步的破壞擴大。

BGP也可以傳播偽造的路由信息，如果攻擊者能夠從一協議如RIP中修改或者插入路由信息并由BGP重新分配。這個缺陷是存在與信任模塊中而不是其BGP路由協議本身。另外BGP的community 配置也會有某些類型的攻擊，原因是community name在某些情況下是作為信任token(標志)可以被獲得。至于通過通過BGP的下層協議（TCP）對其攻擊看來是比較困難的，因為會話在點對點之間是通過一條單獨的物理線路進行通信的，但在一定環境如在兩AS系統通過交換機來連接則可能存在TCP插入的攻擊，在這樣的網絡中，攻擊者在同一VLAN或者他有能力嗅探switch的通信(如使用dsniff工具通過ARP欺騙來獲得），監視TCP序列號，插入修改的信息包或者使用工具如hunt的進行hijack連接而獲得成功，但這種類型的攻擊一般只能在實驗室環境中演示比較容易，而在實際的網絡中因為太過復雜而很難成功。