第29卷第3期 成都大学学报(自然科学版) Vo1.29 No.3 2O1O年 9月 Journal of Chengdu University(Natural Science Edition) Sep.2010 文章编号:1004—5422(2010)03—0257—04 RIPng路由协议安全性分析与攻击模型研究 李树军,朱立才 (盐城师范学院信息科学与技术学院,江苏盐城224O02) 摘要:对胁1g路由协议的安全性做了分析并通过实验进行验证,在此基础上提出了几种攻击模型,并对各 种攻击模型的攻击方式进行了阐述,同时,针对这些攻击方式提出相应的防御措施.该研究对吼路由协议 的具体实现和提高网络的安全性都具有一定的参考价值. 关键词:R Ilg;协议分析;RIP;网络攻击;网络安全 中图分类号:TP393.08 文献标识码:A 0引 言 版本号(目前的版本号值为1).报文的剩余部分是 一个R髓(路由表项)序列,其中每一个RTE由目的 在较早的时候,国外一些研究者对Rmng路由 IPv6前缀、路由标记、前缀的有效长度以及到目的网 协议的安全性做了一些研究[】I3】,国内也有学者进 络的花销4部分组成. 行过类似研究【4】,但相关研究仅对R工Png路由协议 与RIPv2不同的是,Ring的下一跳字段是由一 可能存在的安全缺陷进行了简单分析,遗憾的是受 个单独的RTE指定的.在表示下一跳的RTE中,路 限于当时的攻击手段与攻击技术,要实现一次成功 由标记和前缀长度字段必须为0,而度量字段为 的攻击并不容易,因此这些安全问题并没有得到大 OxFF.如果数据报中没有下一跳RTE条目或者下一 家足够的重视.在Defeon 2008国际网络安全技术大 跳地址为0,则采用数据报的源IPv6地址作为下一 会上,研究人员利用路由协议的漏洞进行网络攻击 跳地址. 的演示再次引起了人们对路由协议安全性的关 1.2 RIPng路由议安全性分析 注L4J.本文对吼路由协议的安全性做了分析并 RIPng对报文的合法性做了比较严格的检查: 通过实验进行了验证,同时,提出了几种切实可行的 对于非主动请求的响应报文,报文的源端口和目的 攻击模型及相应的防御措施. 端口必须为521;源II)必须为链路本地地址且不能 1 RIPng路由协议安全性分析 为路由器自身的地址;报文的跳数必须为最大值 255,保证了报文是相邻路由器发送来的(因为中间 1.1 路由协议概述 路由器转发报文的时候会对跳数做减1处理);下一 砒Png又称为下一代RIP协议,它是对原来的 跳RTE条目中,下一跳地址必须为链路本地地址. 网络中RIP-2协议的扩展,大多数RIP的概念 此外,R璐略没有单独设计安全验证机制,其安 都可以用于arPng.为了在IPv6网络中应用,吼 全性由IPv6的扩展AH和ESP头提供保障[5 】.从目 对原有的RIP协议做了一些修改,比如,使用UDP 前使用的情况来看,相对RIPvl和RIPv2而言,RIPng 的521端口发送和接收路由信息,使用FF02::9作 的安全性并没有得到明显提高. 为链路本地范围内的RIPng路由器组播地址,并由 虽然mPng相应的标准早在1997年便被制订 RFC 2080正式定义. 出来,但是对于使用者来说却是比较新的概念,其安 砌PIlg路由协议的首部包括命令字段和版本号 全方面的缺陷主要包括: 字段.同RIP一样,命令字段用来区分报文要实现的 (1)由于各设备生产厂商在协议的实现上的限 各种操作.其中命令号1表示请求部分或全部选路 制和密钥的管理与分发方面的问题,IPv6的安全选 信息,命令号2表示响应.版本号字段包含了协议的 项并不能保证被有效启用(至少在目前的实验用与 收稿日期:2010—07—25. 作者简介:李树军(1980一),男,讲师,从事计算机网络管理与网络安全技术研究. ・258・ 成都大学学报(自然科学版) <冀l,d1spl6y,p 6∞ut1ng R0u lng丁able: 【 st nat】0ns 7 I培st1nat10n: ./0 第29卷 试商用II)、r6环境里,IPv6的安全选项没有被广泛使 用),而Rll ̄ng本身缺乏验证机制,这对使用UDP方 式来进行信息交换的砌Png将是致命的威胁. (2)网络攻击者可以假冒路由器发送路由请求 报文给目标路由器,获得目标路由器的路由表,从而 勋uces Pz t。col Stati0 Pre£erence 68 C0st :O H t 口 IHterfB0e 2 ̄1Q1 矗g j0lD FF00 r 1 Vlan ̄l Des010atj锄: : l/120 Next.tlot ̄ Interf l : In工∞pO P∞t0c。l Direct P№f e, en∞ 0 C。s‘ :O 完成对目标网络的拓扑结构的探测. (3)网络攻击者可以发送欺骗数据包到其相邻 De,t han0h:2eOl D^e:iOlD.FFOO ,6t NextH。D ’2O01 胜8 10lD FF00‘2 Inte fa口e 。Vlan8l 图2 R1真实的 v6路由表 的路由器,修改路由表或者插人新的路由条目,进行 路由欺骗攻击. (4)在协议各功能模块的实现上,各生产厂商采 用的算法和对RlPng报文的处理上存在一些缺陷, 附带了不少安全方面的问题. 综上所述,RIPng路由协议在设计、实现和使用 过程中存在诸多不足,网络攻击者利用这些不足可 以很容易地进行网络攻击.其中较易实施且危害极 大的莫过于通过修改路由器的路由表来控制数据包 的流向,从而进一步进行拒绝服务、数据监听、网络 欺骗等攻击行为. 2 RIPng路由协议安全缺陷验证 Scapy是一个功能强大的交互式数据包处理程 序,支持常见网络协议,利用它可以很方便地构造各 种数据包用于安全测试. 2.1 Rl/Sag路由协议安全缺陷验证 RIPng路由协议安全缺陷验证用网络拓扑和设 备各接口IPv6地址如图1所示. PESq::20F E2FP:FETP:31tE6 2001:da8:l 01 d ffQ0::2/64 ? : ; r-可 …一…一 ———一, ', RI feB0::2Of:e2ff:fe7f:3 一L 2001:da8‘101d:ffOl::1 董一 、 fe80::2ll:l】ff:feO0:e8e 2001:dab:101d:ff01::2/64 PCl 图1 R g安全测试网络拓扑图 图1中,PC1与PC2的系统平台为Windows XP Sp3中文专业版,Rl与R2为H3C SW5510路由交换 机,Ⅵ (通用路由平台)版本为5.2O. 在验证中,各设备按照拓扑图进行连接并做 IPv6地址与PdPng相关配置后,完成实验环境的构 建.配置完成后Rl的路由表如图2所示(以re80开 头的为设备接口链路本地地址,由设备自动生成,不 需要配置). 测试1在PCl上发送欺骗数据包给R1,在R1 上添加一条新的路由条目2001:1:1:1::/64.注意数 据包的IPv6协议头的跳数必须设置成255,数据包 的目的地址为ttO2::9组播地址,源地址为链路本地 地址.如果要修改已经存在的路由条目,设置的met. dc值需要比原来的小.新添加到R1的路由条目会 被扩散到R2,从而影响Rl所在的整个AS(自治系 统).R1被修改后的路由表如图3所示. 《Rl>d10叠lay pv6 r0u“ng R0ut1ng T ble: C 0孳£Ina}i0ns 8 l uces.8 f懈t1n^t1 0n : t 0 P∞t0∞l :SI6tic xtH口p 2001.D五8.10lD FF00::1 PMte糟n∞ 60 Int tace : ian01 C∞t 。0 D盼t1haU0n : 1/128 Pr0to∞1 .Direct NextH0D : l P fe坤n。e・O Interfece Inh站口0 Ceo.t -O De墨I nati0n:20Ol l l’1:./64 Pr。to∞l RIPng He×tH口p :FE8O:31 l lU FE00 E8E Preferel啪 1O0 Interf^0e ‘Vjan9O C0st :1 De t1n6tlon 2001.D▲8 101D FF00.,6‘ Pr0“ i :Di e0t N xtttop 2001.D矗8:lO D FFO0.2 Pref曾r棚 ce O Int"h∞。 l∞8l C∞t n 图3 R1被修改后的IP、『6路由表 测试用Seapy命令如下: P:II ̄(sre="feB0::311:lift:leO0:eSC,dst: ttlY2:: ,hllm =255),UDP(即0n=521,dp0|t=521) px=mPng(c0Irm删d=2),mE(pF击x="2001:1:1:1::”) s ld(p,px) 测试2发送路由请求包,得到目标路由器的 路由表,从而得到网络拓扑相关信息. 测试用Seapy代码如下: P=IPv6(sre=”fegO::211:lift:leO0..es .d或="ttO2:: ) px=UDP( ̄ort=521。dP0n=521),mPrIg(o0ITⅡIl d=1),砌 (prefix= ::It。pl-en=0,memo=16) all¥=sr(p/px) 在测试1中,由于路由器对接收到的数据包的 跳数进行严格检查,所以不可能直接修改远程路由 器的路由表.网络攻击者在实际攻击时,可以在目标 路由器所在的网络寻找弱点主机作为跳板进行攻 击.在测试2中,目标路由器返回的路由表信息在变 量aIls里,要得到直观的结果还需进一步处理.此 外,我们在测试时还发现,发送大量的虚假路由信息 给目标路由器会使其路由表膨胀,会消耗掉其有限 的CPU和内存资源. 2.2分析 以上测试说明,吼路由协议的确存在安全 第3期 李树军,等:RItMg路由协议安全性分析与攻击模型研究 259‘ 方面的缺陷,其危害较大.而比较容易实施的莫过于 发送伪造的数据包给目标路由器,通过修改其路由 表来控制数据的流向.网络攻击者有可能利用这种 缺陷进行网络攻击. 上述4种攻击方式中,方式(3)需要对网络拓扑 结构进行详细的探测,实施攻击的难度相对大一些, 其余3种攻击方式很容易实施.和传统的拒绝服务 类攻击手段相比,上述攻击方式具有代价小,效果明 显的特点. 3.2利用类攻击模型 3利用RIPng路由协议的安全缺陷进 行网络攻击 不同于其他攻击方式,路由协议攻击需要攻击 者具有较高的专业技能,需要多种攻击手段相结合. 针对前述的RIPng路由协议安全缺陷的实验和分 析,我们可以构建如下两类攻击模型. 3.1拒绝服务类攻击模型 拒绝服务类攻击模型的拓扑结构如图4所示. 图4拒绝服务类攻击模型拓扑结构示意图 在这种攻击模型中,可以有如下4种攻击方式: (1)构造下一跳地址无效的路由表项. (2)构造路由环路.如在图4的网络环境中,假 设从PCA到网络x的数据需要经过R6一R1一R2一 R3这一路径,网络攻击者可以修改Rl中到网络X 的路由表项的下一跳地址为R6的地址,导致数据 包在Rl和R6之间往复循环,直到TrL值为0. (3)流量牵引,堵塞链路.在如图4的网络环境 里,有可能把Rl—R2一R3和Rl—R6一R7的流量 定向为Rl—R5一R4一R2一R3和Rl—R5一R6一 R7,从而干扰数据正常流向,R1一R5的有限带宽有 可能被全部消耗掉. (4)发送大量的欺骗包给网络里的路由器,让路 由器的路由表无限膨胀,消耗路由器的CPU和内存 资源.在测试中,我们也发现不少型号的路由器在处 理超过每秒6 000多个路由响应数据包的时候会宕 机. 利用类攻击模型的拓扑结构如图5所示. 图5利用类攻击模型拓扑结构示意图 在这种攻击模型中,结合其他技术手段,可以有 如下2种攻击方式. (1)欺骗攻击.在图5的网络环境里,网络攻击 者B可以发送欺骗包给R2,让R2把攻击者所在子 网里到DNS SERVER的流量传递给它,这样网络攻 击者就可以假冒DNS SERVER回复普通用户的DNS 查询,达到欺骗的目的.在此基础上,网络攻击者可 以进行网络钓鱼、网页挂载木马病毒等流行攻击方 式.此外,R2还会把虚假的路由传递给R4,进而影 响到其他网络.更简单的是,网络攻击者B可以直 接在网卡上添加需要假冒的主机II),然后提供虚假 的服务与访问者进行交互,这样的攻击更直接. (2)嗅探与中间人攻击.这种攻击需要2台攻击 主机进行配合.假设PCA对ServerA进行访问,网络 攻击者欺骗Rl,让R1把PCA发送给ServerA的数据 包转发给攻击者B,攻击者B收到数据包后对数据 二次打包,设置新的数据包的目的P为攻击者A, 攻击者A收到数据包后还原数据包并把数据包转 发给ServerA,如果仅仅需要嗅探上行数据,则攻击 者A转发给ServerA的数据包的源II)为PCA;如果 要对上行和下行的数据都进行嗅探或者进行中间人 攻击,则需要比较复杂的处理.首先,攻击者A需要 维护一个类似NAT的转换表,设置转发给ServerA ・260・ 成都大学学报(自然科学版) 第29卷 的数据包源II)为自己,ServerA收到数据包后把数据 包回复给攻击者A,攻击者A最后再把数据转发给 真实的访问者PCA. 上述2种攻击方式的危害显然是很大的,特别 5结语 可以看出,网络攻击者利用meng路由协议的 安全缺陷进行网络攻击是切实可行的,其危害也是 巨大的.此外,随着对吼的进一步研究,其更多 的安全问题将会暴露出来.可以预见,随着对这些攻 是第一种攻击方式,很容易实施,满足这种条件的网 络环境也很多,第二种方式难度大一些,而且需要较 好的软件实现,但这种攻击更难被发现. 4防御措施 针对砒PrIg路由协议的安全缺陷,我们提出如 下防御网络攻击的措施: (1)设置路由策略,禁止接收从用户端网络或者 非信任网络流人的路由响应报文. (2)边界路由的人口处配置适当的ACL,禁止源 击方式的完美实现,它将像ARP欺骗攻击一样流行 开来,并对网络安全带来严重的威胁.因此,作为网 络管理者,在使用RWng的过程中应该注意采用一 些辅助手段来加强其安全性;作为网络设备生产厂 商,在实现协议的时候除了遵循标准所规定的安全 规则外,还应该考虑各种可能的细节问题,从而提高 其产品的安全性. 地址为本地子网II)地址的数据包流入网络,防止来 自远程网络的欺骗数据包. (3)在边界网络的出口配置适当的ACL,禁止源 地址为非本地II'地址的数据包流出网络,防止网络 中的主机被黑客当作跳板来攻击别的网络. (4)在I1%6环境下,应对本地的IPv6地址进行 汇聚,配置类似RFC2827建议的网络过滤器来减少 IPv6的地址假冒. 参考文献: [1]Pei D,Massey D, , 臼 吣 L.De of Invalid Routing An一 Protocol[C J//IEEE Globecom 2OO3.San Franeiseo:—IEE—E Press.20o3. [2]Wilson C.Protecting N ̄vork lnfr ̄d b/p e 删 ferel蛇es,w 啊 e at the Protocd/eve/ Le 峨.doe. [EB/OL].[2OOO一12—15].http:Ilwww.∞.ucsb.edu,~se. [3]Humble.Spooinfg脚[EB/OL].[2OO4—0l一05].http:ll paeketstormseeurity.org/groupdhorlzon/ril ̄r.txt. (5)在支持的设备上配置路由容量.路由信 息通常是存储在路由器的内存中,当路由表规模不断 增大时,路由器的内存使用量也将不断增加,但路由 器的总内存大小并不会改变(除非进行硬件升级),当 设备内存被耗尽时,设备将不能正常工作.通过配置 合适的路由容量,可以防止设备因收到网络攻击 者发送的海量伪造路由信息而失去其工作能力. [4]史创明.RIP路由协议及其漏洞攻击防范[J].微计算机信 息,2006,23(6):7—9. [5]Malkin G S.肌 [6]] ̄llkln G.帆IPv6[EBIOL].[1997—01—01].ht・ tp://www.ietf.org/ffc/ffe2080.txt. Protoco/和 6 Statement[EB/OL]. [1997—01—05].http:Ilwww.ief.orgrfdrfe2081.txt. Research on Security Analysis and Attacking Models of RIPng Routing Protocol n Shujun,ZHU Licai (School of Information Science and Technology,Yangcheng Normal University,Ymeheng 224OO2,Chir ̄) Abstract:The security of RII)Ilg routing protocols was analyzed and veriifed after experiments.Several at- tacking models were proposed by nleans of proof-test.Diferent attacking me ̄ods of the models were ex。 pounded as wel1.At last,some solutions were given in the light ofdefending those attacking methods and a forecast f0.r the development of hits attack method Was als0 included in the article.The investigation is valu- able for efrerence with a certain degree to perform RIPng routig npmtocols practically and tO enhance net- work security. Key words: ;protocol analysis;RIP;network attack;network security
