婷婷热中文字幕日韩在线_ “配置RIPv2的認證”課程筆記分享

配置RIPv2的認證

原理概述

配置協(xié)議的認證可以降低設備接受非法路由選擇更新消息的可能性，也可稱(chēng)為“驗證”。非法的更新消息可能來(lái)自試圖破壞網(wǎng)絡(luò )的攻擊者，或試圖通過(guò)欺騙路由器發(fā)送數據到錯誤的目的地址的方法來(lái)捕獲數據包.RIPv2協(xié)議能夠通過(guò)更新消息所包含的口令來(lái)驗證某個(gè)路由選擇消息源的合法性，有簡(jiǎn)單和MD5密文兩種驗證方式。

簡(jiǎn)單驗證是指在認證的消息當中所攜帶的認證口令是以明文傳輸的，可以通過(guò)抓包軟件抓取到數據包中的密碼。

MD5密文驗證是一種單向消息摘要(message digest)算法或安全散列函數(securehash function)，由RSA Date Security,Inc 提出。有時(shí)MD5也被作為-一個(gè)加密校驗和(cryptographic checksum)。MD5算法是通過(guò)一個(gè)隨意長(cháng)度的明文消息(例如,一個(gè)RIPv2的更新消息)和口令計算出一個(gè)128位的hash值。hash 值類(lèi)似“指紋”，這個(gè)"指紋”隨同消息一起傳送，擁有相同口令的接收者會(huì )計算它自己的hash值，如果消息的內容沒(méi)有被更改，接收者的hash值應該和消息發(fā)送者的hash值相匹配。

●●●案例分析

本實(shí)驗模擬企業(yè)網(wǎng)絡(luò )場(chǎng)景。某公司有兩臺路由器R1與R2，各自連接著(zhù)一臺主機，并且R1和R2之間配置RIPv2協(xié)議學(xué)習路由條目。R3模擬作為網(wǎng)絡(luò )中的攻擊者，竊取R1與R2間的路由信息，并發(fā)布了一些虛假路由，使R1和R2的相關(guān)路由的選路指向了R3，形成了路由欺騙。為了避免遭受攻擊，提高網(wǎng)絡(luò )安全性，網(wǎng)絡(luò )管理員將配置RIPv2認證。

●●●實(shí)驗拓撲

●●●實(shí)驗編址

●●●實(shí)驗拓撲

1.基本配置

根據實(shí)驗編址表進(jìn)行相應的基本配置，并使用ping命令檢測各直連鏈路的連通性。其中，R3上的兩個(gè)環(huán)回接口先不配置IP地址。

其余直連網(wǎng)段的連通性測試省略。

2.搭建RIP網(wǎng)絡(luò )

配置公司路由器R1和R2的RIPv2協(xié)議，并添加需要通告的網(wǎng)段。

配置完成后，檢查R1與R2的路由表。

可以觀(guān)察到，此時(shí)雙方已經(jīng)正常地獲得了RIP路由條目。

3.模擬網(wǎng)絡(luò )攻擊

配置路由器R3作為攻擊者，接入公司網(wǎng)絡(luò )。在基本配置中已經(jīng)將接口GE 0/0/0 地

址配置為10.0.12.3，與該公司路由器在同- -網(wǎng)段，并配置RIPv2協(xié)議，通告該網(wǎng)段，配

置完成后查看R3的路由表。

觀(guān)察發(fā)現R3已經(jīng)非法獲取了R1和R2.上用戶(hù)終端所在的兩個(gè)網(wǎng)段的路由信息。此時(shí)R3就可以向兩個(gè)網(wǎng)段發(fā)送大量的ping包，導致網(wǎng)絡(luò )鏈路擁塞，形成攻擊。

下面是R3模擬攻擊演示，發(fā)送10萬(wàn)個(gè)ping包給PC-1, 導致攻擊發(fā)生?？梢园?lt;Ctrl+C>組合鍵來(lái)終止該操作。

完成上述模擬后，在R3上分別配置兩個(gè)用于欺騙的環(huán)回接口，地址分別為192.168.10.1和192.168.20.1,即與公司網(wǎng)絡(luò )中兩個(gè)用戶(hù)的地址相同，并且在RIP協(xié)議中

通告這兩個(gè)欺騙的網(wǎng)段。

配置完成后，查看R1與R2的路由表。

可以觀(guān)察到R3發(fā)過(guò)來(lái)的路由更新。因為R2和R3發(fā)送RIP更新的cost都是1跳，所以在R1的路由表中，目的為192. 168.20.0網(wǎng)段形成了兩條等價(jià)負載均衡的路徑，下一跳分別是R2和R3。這樣會(huì )導致去往192.168.20.0 網(wǎng)段的數據包有部分轉發(fā)給了欺騙路由器R3，R2的路由表變化和R1同理。

4.配置RIPv2簡(jiǎn)單驗證

為了提升網(wǎng)絡(luò )安全性，避免發(fā)生上述攻擊和路由欺騙，網(wǎng)絡(luò )管理員可在R1和R2上配置RIP的簡(jiǎn)單驗證實(shí)現對網(wǎng)絡(luò )的保護。

在路由器R1和R2的GE0/0/1接口配置認證，使用簡(jiǎn)單驗證方式，密碼為huawei。注意，兩端的密碼必須保持一致，否則會(huì )導致認證失敗，從而使得RIP協(xié)議無(wú)法正常

運行。

配置完成后，等待- -段時(shí)間，再次查看R1和R2的路由表。

可以觀(guān)察到現在R1與R2的路由表恢復正常，R3發(fā)送的欺騙路由在路由表中消失。原因是R1和R2配置了RIP認證，就要求在RIP更新報文中包含認證密碼，如果密碼錯

誤或者不存在，將認為該路由非法并丟棄。

在路由器R1的GE 0/0/1接口上抓包，如圖7-3所示。

可以觀(guān)察到，此時(shí)R1與R2間發(fā)送的RIP報文中含authentication 字段，并且密碼是明文的huawei。

5.配置RIPv2MD5密文驗證

在上一步驟中，在R1和R2.上配置了簡(jiǎn)單驗證方式的認證后，成功地抵御了R3的路由欺騙和攻擊，且主機PC-1與PC-2可以正常通信。但是通過(guò)抓包能夠發(fā)現，簡(jiǎn)單驗證方式下的認證安全性非常差，攻擊者雖然無(wú)法直接攻擊網(wǎng)絡(luò )，但是可以通過(guò)抓取RIP協(xié)議數據包獲得明文密碼，因此建議使用MD5密文驗證方式進(jìn)行RIPv2的認證。

在R1和R2的GE 0/0/1接口上刪除上一步驟中的簡(jiǎn)單驗證配置，選擇使用MD5密文驗證方式配置。配置時(shí)可以選擇MD5密文驗證方式的報文格式，usual 參數表示使用通用報文格式; nonstandard 參數表示使用非標準報文格式(IETF 標準)，但是必須保證兩端的報文格式一致，這里選用通用標準格式。

配置完成后，查看R1和R2路由表。

可以觀(guān)察到R1與R2的路由表正常，R3發(fā)送的欺騙路由在路由表中消失，與配置簡(jiǎn)單驗證的效果一樣。

繼續抓取R1的GE 0/0/1接口，上的報文，如圖7-4所示。

抓包發(fā)現已經(jīng)無(wú)法看到配置的認證密碼，而看到的是一個(gè) 128位的hash值,這是一種單向的散列值，難以破解，這樣就能夠進(jìn)一步地保證網(wǎng)絡(luò )的安全性.

●●●思考

在本實(shí)驗中，R1和R2上配置了認證，R3沒(méi)有配置認證，根據分析，R1和R2不會(huì )再接收R3發(fā)送的不包含認證信息的RIP更新，那R3是否會(huì )接收R1和R2發(fā)送過(guò)來(lái)的帶有認證信息的RIP更新呢?為什么?

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久