当前位置: 首页 > >

OSPF路由机制与安全性

发布时间:

黑帽大会:应用 OSPF 和谈的路由器易受进击
文章来源:2011-08-11 08:27 【51CTO.com 独家译稿,非经授权谢尽转载!合作媒体转载请注明原文出处及出处! 】 最有道德的人,是那些有道德却不须由外表发挥解析出来而仍感满足的人。 对双亲来说,家庭教导起首是自我教导。黑帽大会的研究员曝光了大多半企业所用路由器和谈都存在的一 个漏洞,该漏洞可将收集置于受进击的危险中。进击首要集中于泄漏数据流,捏造收集*耍唇ㄓ泻Φ 路由器环路。 因为进击者可能造成的,也因为广为应用的开放最短路径和谈(OSPF)本身,收集很脆弱,题目很严重。 OSPF 是最风行的路由和谈,该和谈被用于收集所分的大约3万5千个自力体系中。 凡是大企业,大学,还有收集办事供给者(ISPs)都在运行自力体系。 以色列电子战斗研究与仿真中间研究员, 该题目的发明者 Gabi Nakibly 说道: “独一的解决办法是应用别的 一种和谈,比如 RIP 或者 IS-IS,要不然就改编 OSPF 以堵住漏洞。” “为了堵住漏洞,我已经在装有 IOS 15.0(1)M 软件版本的思科7200路由器上履行了漏洞哄骗,并且该漏 洞哄骗对其他遵从 OSPF 规格的任何路由器都同样有效。我选择思科路由器是为了夸大题目的严重性,要 知道思科主导着路由器市场。” 题目在于 OSPF 和谈本身, 其会被欺骗接管子虚的路由表更新, 这些更新来自收集上的幻象路由器。 Nakibly 声称他应用的是从属于进击测试收集的笔记本电脑。 这个幻象路由器会向目标路由器发送一个假的连接状况通知布告(LSA) ,以作为周期性的路由表更新。路 由器会认为其是合法的,因为路由器在认证其真实性时:只会搜检其比来的 LSA 序列号;是否包含恰当的 校验和;还有往前或往后15分钟的景象。 Nakibly 描述了如何捏造这些器材, 如何克服名为“回击”的和谈防御体系——该体系可以在面对子虚的 LSA 时,涌入正确的 LSA。 假的 LSA 可以被精心建造出以创建路由器环路,向特定目标发送特定流量,或者经由过程让受害的路由器 沿着路由(这些路由在实际的收集*酥胁⒉淮嬖冢┓⑺土髁恳匀檬占禹场 Nakibly 的漏洞哄骗请求收集上有一个泄密的路由器,如许在收集路由器之间用于 LSA 流量的加密密钥才 干被窃取,并且被幻象路由器所应用。该办法也请求幻象路由器连接上彀络。 进击幻象路由器的倡议将本身介绍为潜伏的受害路由(受害路由器必然是收集上的指定路由) 。指定路由要 存储全部的收集*吮恚⑶宜且蚱渌穆酚善鞫嗟愦透隆 Nakibly 介绍了别的一种不是那么有效的进击办法,然则也是类似地哄骗 OSPF 规格的漏洞。

ospf 的一些漏洞说明
OSPF 路由协议还有很多值得我们学*的地方, 这里我们主要介绍 OSPF 路由协议漏洞的说 明。OSPF 是动态连接状态路由协议,其保持整个网络的一个动态的路由表并使用这个表来 判断网络间的最短路径,OSPF 路由协议是内部使用连接状态路由协议,协议通过向同层结

点发送连接状态信息(LSA)工作。 当路由器接收到这些信息时,它就可以根据 SPF 算法计算出到每个结点的最短路了。其他 相临路由器通过使用 OSPF 路由协议的 Hello 协议每10秒发送一个问候包给224.0.0.5,然 后接收这些路由器发回的信息。 一个 OSPF 路由协议的 hello 信息包头可以通过 iptraf 来嗅 探 到 , 如 下 所 示 : OSPF hlo (a=3479025376 r=192.168.19.35) (64 bytes) from 192.168.253.67 to 224.0.0.5 on eth0。192.168.253.67边界路由器发送一个 helo 信息包 给 多 播 (224.0.0.5) 来 告 诉 其 他 路 由 器 和 主 机 怎 样 从 192.168.19.35 联 系 区 域 a(a=3479025376)。一旦路由器接受到 Hello 信息包,它就开始同步自己的数据库和其他 路由一样。 OSPF 协议相关的漏洞和防范措施 OSPF 由于内建几个安全机制所以比起 RIP 协议安全的多,但是,其中 LSA 的几个组成部 分也可以通过捕获和重新注入 OSPF 路由协议信息包被修改,JiNao 小组开发了一个 FREEBSD divert socket 的 LINUX 实现并在它们的测试中使用到。 OSPF 可以被配置成没有认证机制,戒者使用明文密码认证,戒者 MD5,这样如果攻击者 能获得一定程度的访问,如他们可以使用如 dsniff 等工具来监视 OSPF 信息包和戒者明文 密码,这个攻击者可以运行 divert socket 戒者其他可能的各种类型 ARP 欺骗工具来重定 向通信。JiNao 小组发现了有关 OSPF 路由协议的4种拒绝服务的攻击方法,下面是简单的 说明: Max Age attack 攻击 LSA 的最大 age 为一小时(3600) 攻击者发送带有最大 MaxAge 设置的 LSA 信息包,这样,最开始的路由器通过产生刷新信 息来发送这个 LSA,而后就引起在 age 项中的突然改变值的竞争。如果攻击者持续的突然 插入最大值到信息包给整个路由器群将会导致网络混乱和导致拒绝服务攻击。

Sequence++ 攻击 即攻击者持续插入比较大的 LSA sequence(序列)号信息包,根据 OSPF 的 RFC 介绍因为 LS sequence number(序列号)栏是被用来判断旧的戒者是否同 样的 LSA,比较大的序列号表示 这个 LSA 越是新*的。所以到攻击者持续插入比较大的 LSA sequence(序列)号信息包时候,最开始的路由器就会产生发送自己更新的 LSA 序列号 来超过攻击者序列号的竞争,这样就导致了网络丌稳定并导致拒绝服务攻击。 最大序列号攻击 就是攻击者把最大的序列号0x7FFFFFFF 插入。 根据 OSPF 的 RFC 介绍, 当想超过最大序列 号的时候,LSA 就必须从路由 domain(域)中刷新,有 InitialSequenceNumber 初始化序 列号。这样如果攻击者的路由器序列号被插入最大序列号,并即将被初始化,理论上就会马 上导致最开始的路由器的竞争。但在实践中发现在某些情况下,拥有最大 MaxSeq(序列号) 的 LSA 并没有被清除而是在连接状态数据库中保持一小时的时间。 伪造 LSA 攻击 这个攻击主要是 gated 守护程序的错误引起的,需要所有 gated 迚程停止并重新启动来清 除伪造的丌正确的 LSA, 导致拒绝服务的产生。 这个攻击相似对硬件的路由器丌影响并且对 于新版本的 gated 也没有效果。nemesis-ospf 能对 OSPF 路由协议产生上述攻击,但是, 由于 nemesis-ospf 太多的选项和需要对 OSPF 有详细深刻的了解, 所以一般的攻击者和管 理人员难于实现这些攻击。并且也听说 nemesis-ospf 也丌是一直正常正确的工作,就更限 制了这个工具的使用价值。 OSPF 认证需要 KEY 的交换,每次路由器必须来回传递这个 KEY 来认证自己和尝试传递 OSPF 消息,路由器的 HELLO 信息包在默认配置下是每10秒在路由器之间传递,这样就给 攻击者比较的大机会来窃听这个 KEY,如果攻击者能窃听网络并获得这个 KEY 的话,OSPF 路由协议信息包就可能被伪造,更严重的会盲目重定向这些被伪造的 OSPF 路由协议信息

包。当然这些攻击少之又少,丌光光是其难度,重要的是因为还有其他更容易的安全漏洞可 以利用,谁丌先捏软柿子。这里建议如果一个主机丌要使用动态路由,大多数的主机使用静 态路由就能很好的完成起功能。 因为使用动态路由协议很会受到攻击, 例如, 几年以前 gated 软件就被发现有一个认证的问题。 关于使用 IRPAS 对 CDP 和 IRDP 攻击 IRPAS 的 cdp 程序主要对发送 CDP (Cisco router Discovery Protocol)消息给 CISCO 路 由器并对内部网络段产生拒绝服务攻击, 发送一些垃圾字符就会导致路由器重新启动戒者崩 溃。它也能作为欺骗来使用,为其他更危险的程序打开方便的大门,一种可能的攻击场景: 如使用 cdp 来使路由器停止服务,然后使用 irdp 戒者 irdresponder 工具发送高优先值来 通知一新的路由器,这样如果我们的目标路由器丌能不被拒绝服务攻击而停止服务的通信, 新的路由器的高优先值就会被采用, 如果攻击者设置的这个值被成功采用的话, 攻击者就能 在他们的系统中轻松插入通信路径。 这种类型的攻击也可以应用在某些配置了使用 IRDP 协议的主机,如 WINDOWS98默认情 况下配置使用 IRDP, WINNT 需要手工配置支持 IRDP 环境, 并在启动的时候广播3个 ICMP Router Solicitation messages(ICMP 路由请求消息)。




友情链接: