网络安全员万万要注意这些网络攻击（针对路由）

针对 RIP 协议的攻击

RIP，即路由信息协议，是常见的网络安全问题，也是通过周期性（一般情况下为30S）的路由更新报文来维护路由表 的，一台运行RIP 路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它 就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信 息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。 这样如果一个攻击者向一台运行RIP 协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。

如果运行RIP 路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击。

针对 OSPF 路由协议的攻击

OSPF，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。

OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链 路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。

可以看出， 如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（LSA ，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。

当前版本的WINDOWS操作系统（ WIN 2K/XP等）都实现了OSPF 路由协议功能，因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。

跟 RIP 类似，如果OSPF启用了报文验证功能（HMAC验证），则可以从很大程度上避免这种攻击。

针对 IS-IS 路由协议的攻击

IS-IS 路由协议，即中间系统到中间系统，是ISO 提出来对ISO 的 CLNS 网络服务进行路由的一种协议， 这种协议也是基于链路状态的，原理与OSPF 类似。 IS-IS路由协议经过扩展， 可以运行在IP网络中，对IP报文进行选路。这种路由协议也是通过建立邻居关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比OSPF简单，而且也省略了OSPF特有的一些特性，使该协议简单明了，伸缩性更强。 

对该协议的攻击与OSPF 类似， 通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（LSP），可以导致整个网络路由器的链路状 态数据库不一致 （因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态）， 从而导致路由表与实际情况不符，致使网络中断。

与 OSPF 类似，如果运行该路由协议的路由器启用了IS-IS 协议单元（ PDU ）HMAC验证功能，则可以从很大程度上避免这种攻击。

了解更多资讯，就进入金睿教育官网www.jinruiedu.com