網絡設備之間為了交換路由信息，常常運行一些動態的路由協議，這些路由協議可以完成諸 如路由表的建立，路由信息的分發等功能。常見的路由協議有RIP ，OSPF，IS-IS ，BGP 等。 這些路由協議在方便路由信息管理和傳遞的同時，也存在一些缺陷，如果攻擊者利用了路由 協議的這些權限， 對網絡進行攻擊， 可能造成網絡設備路由表紊亂（這足可以導致網絡中斷）， 網絡設備資源大量消耗，甚至導致網絡設備癱瘓。

常見攻擊方式及原理

• 針對 RIP 協議的攻擊

RIP，即路由信息協議，是通過週期性（一般情況下為30S）的路由更新報文來維護路由表的，一臺運行RIP 路由協議的路由器，如果從一個接口上接收到了一個路由更新報文，它就會分析其中包含的路由信息，並與自己的路由表作出比較，如果該路由器認為這些路由信 息比自己所掌握的要有效，它便把這些路由信息引入自己的路由表中。 這樣如果一個攻擊者向一臺運行RIP 協議的路由器發送了人為構造的帶破壞性的路由更新報文，就很容易的把路由器的路由表搞紊亂，從而導致網絡中斷。

如果運行RIP路由協議的路由器啟用了路由更新信息的HMAC驗證，則可從很大程度上避免這種攻擊。

• 針對 OSPF 路由協議的攻擊

OSPF，即開放最短路徑優先，是一種應用廣泛的鏈路狀態路由協議。該路由協議基於鏈路狀態算法，具有收斂速度快，平穩，杜絕環路等優點，十分適合大型的計算機網絡使用。

OSPF路由協議通過建立鄰接關係，來交換路由器的本地鏈路信息，然後形成一個整網的鏈路狀態數據庫，針對該數據庫，路由器就可以很容易的計算出路由表。

如果一個攻擊者冒充一臺合法路由器與網絡中的一臺路由器建立鄰接關係，並向攻擊路由器輸入大量的鏈路狀態廣播（LSA ，組成鏈路狀態數據庫的數據單元），就會引導路由器形成錯誤的網絡拓撲結構，從而導致整個網絡的路由表紊亂，導致整個網絡癱瘓。

當前版本的WINDOWS操作系統（ WIN 2K/XP等）都實現了OSPF 路由協議功能，因此一個攻擊者可以很容易的利用這些操作系統自帶的路由功能模塊進行攻擊。

跟 RIP 類似，如果OSPF啟用了報文驗證功能（HMAC驗證），則可以從很大程度上避免這種攻擊。

• 針對IS-IS路由協議的攻擊

IS-IS路由協議，即中間系統到中間系統，是ISO提出來對ISO的CLNS網絡服務進行路由的一種協議，這種協議也是基於鏈路狀態的，原理與OSPF類似。IS-IS路由協議經過擴展，可以運行在IP網絡中，對IP報文進行選路。這種路由協議也是通過建立鄰居關係，收集路由器本地鏈路狀態的手段來完成鏈路狀態數據庫同步的。該協議的鄰居關係建立比OSPF簡單，而且也省略了OSPF特有的一些特性，使該協議簡單明瞭，伸縮性更強。

對該協議的攻擊與OSPF 類似， 通過一種模擬軟件與運行該協議的路由器建立鄰居關係，然後傳頌給攻擊路由器大量的鏈路狀態數據單元（LSP），可以導致整個網絡路由器的鏈路狀態數據庫不一致（因為整個網絡中所有路由器的鏈路狀態數據庫都需要同步到相同的狀態），從而導致路由表與實際情況不符，致使網絡中斷。

與 OSPF 類似，如果運行該路由協議的路由器啟用了IS-IS 協議單元（ PDU ）HMAC驗證功能，則可以從很大程度上避免這種攻擊。

上一篇：

下篇預告：「網絡安全」常見攻擊篇（22）——DHCP攻擊 敬請關注