關于OSPF路由協議漏洞的說明
OSPF路由協議還有很多值得我們學習的地方,這里我們主要介紹OSPF路由協議漏洞的說明。OSPF是動態連接狀態路由協議,其保持整個網絡的一個動態的路由表并使用這個表來判斷網絡間的最短路徑,OSPF路由協議是內部使用連接狀態路由協議,協議通過向同層結點發送連接狀態信息(LSA)工作。
當路由器接收到這些信息時,它就可以根據SPF算法計算出到每個結點的最短路了。其他相臨路由器通過使用OSPF路由協議的Hello協議每10秒發送一個問候包給224.0.0.5,然后接收這些路由器發回的信息。一個OSPF路由協議的hello信息包頭可以通過iptraf來嗅探到,如下所示:OSPF hlo (a=3479025376 r=192.168.19.35) (64 bytes) from 192.168.253.67 to 224.0.0.5 on eth0。192.168.253.67邊界路由器發送一個helo信息包給多播(224.0.0.5)來告訴其他路由器和主機怎樣從192.168.19.35聯系區域a(a=3479025376)。一旦路由器接受到Hello信息包,它就開始同步自己的數據庫和其他路由一樣。
OSPF協議相關的漏洞和防范措施
OSPF由于內建幾個安全機制所以比起RIP協議安全的多,但是,其中LSA的幾個組成部分也可以通過捕獲和重新注入OSPF路由協議信息包被修改,JiNao小組開發了一個FREEBSD divert socket的LINUX實現并在它們的測試中使用到。
OSPF可以被配置成沒有認證機制,或者使用明文密碼認證,或者MD5,這樣如果攻擊者能獲得一定程度的訪問,如他們可以使用如dsniff等工具來監視OSPF信息包和或者明文密碼,這個攻擊者可以運行divert socket或者其他可能的各種類型ARP欺騙工具來重定向通信。JiNao小組發現了有關OSPF路由協議的4種拒絕服務的攻擊方法,下面是簡單的說明:
Max Age attack攻擊 LSA的最大age為一小時(3600)
攻擊者發送帶有最大MaxAge設置的LSA信息包,這樣,最開始的路由器通過產生刷新信息來發送這個LSA,而后就引起在age項中的突然改變值的競爭。如果攻擊者持續的突然插入最大值到信息包給整個路由器群將會導致網絡混亂和導致拒絕服務攻擊。
Sequence++ 攻擊 即攻擊者持續插入比較大的LSA sequence(序列)號信息包,根據OSPF的RFC介紹因為LS sequence number(序列號)欄是被用來判斷舊的或者是否同樣的LSA,比較大的序列號表示 這個LSA越是新近的。所以到攻擊者持續插入比較大的LSA sequence(序列)號信息包時候,最開始的路由器就會產生發送自己更新的LSA序列號來超過攻擊者序列號的競爭,這樣就導致了網絡不穩定并導致拒絕服務攻擊。
最大序列號攻擊
就是攻擊者把最大的序列號0x7FFFFFFF插入。根據OSPF的RFC介紹,當想超過最大序列號的時候,LSA就必須從路由domain(域)中刷新,有InitialSequenceNumber初始化序列號。這樣如果攻擊者的路由器序列號被插入最大序列號,并即將被初始化,理論上就會馬上導致最開始的路由器的競爭。但在實踐中發現在某些情況下,擁有最大MaxSeq(序列號)的LSA并沒有被清除而是在連接狀態數據庫中保持一小時的時間。
偽造LSA攻擊
這個攻擊主要是gated守護程序的錯誤引起的,需要所有gated進程停止并重新啟動來清除偽造的不正確的LSA,導致拒絕服務的產生。這個攻擊相似對硬件的路由器不影響并且對于新版本的gated也沒有效果。nemesis-ospf能對OSPF路由協議產生上述攻擊,但是,由于nemesis-ospf太多的選項和需要對OSPF有詳細深刻的了解,所以一般的攻擊者和管理人員難于實現這些攻擊。并且也聽說nemesis-ospf也不是一直正常正確的工作,就更限制了這個工具的使用價值。
OSPF認證需要KEY的交換,每次路由器必須來回傳遞這個KEY來認證自己和嘗試傳遞OSPF消息,路由器的HELLO信息包在默認配置下是每10秒在路由器之間傳遞,這樣就給攻擊者比較的大機會來竊聽這個KEY,如果攻擊者能竊聽網絡并獲得這個KEY的話,OSPF路由協議信息包就可能被偽造,更嚴重的會盲目重定向這些被偽造的OSPF路由協議信息包。當然這些攻擊少之又少,不光光是其難度,重要的是因為還有其他更容易的安全漏洞可以利用,誰不先捏軟柿子。這里建議如果一個主機不要使用動態路由,大多數的主機使用靜態路由就能很好的完成起功能。因為使用動態路由協議很會受到攻擊,例如,幾年以前gated軟件就被發現有一個認證的問題。
關于使用IRPAS對CDP和IRDP攻擊
IRPAS的cdp程序主要對發送CDP (Cisco router Discovery Protocol)消息給CISCO路由器并對內部網絡段產生拒絕服務攻擊,發送一些垃圾字符就會導致路由器重新啟動或者崩潰。它也能作為欺騙來使用,為其他更危險的程序打開方便的大門,一種可能的攻擊場景:如使用cdp來使路由器停止服務,然后使用irdp或者irdresponder工具發送高優先值來通知一新的路由器,這樣如果我們的目標路由器不能與被拒絕服務攻擊而停止服務的通信,新的路由器的高優先值就會被采用,如果攻擊者設置的這個值被成功采用的話,攻擊者就能在他們的系統中輕松插入通信路徑。
這種類型的攻擊也可以應用在某些配置了使用IRDP協議的主機,如WINDOWS98默認情況下配置使用IRDP,WINNT需要手工配置支持IRDP環境,并在啟動的時候廣播3個ICMP Router Solicitation messages(ICMP路由請求消息)。
