论文部分内容阅读
摘 要: 计算机网络通信系统作为一个复杂的系统,路由器在每个网络中起到关键的作用,如果一方路由被破坏或者一方路由被成功的欺骗,网络的完整性将受到严重的破坏,存在着man-in-the-middle攻击、拒绝服务攻击、数据丢失、网络整体性破坏和信息被嗅探等攻击,很多公司的路由器都有自主开发的动态路由协议,而这些协议在网络通信中也有重要的作用,基于对这种路由协议的关注,路由和路由协议的漏洞是亟待解决的问题,如RIP(路由信息协议)、IGP(内部网关协议)、SPF(最短路径优先协议)。
关键词: 网络通信;动态路由;选择协议
中图分类号:TN915.08 文献标识码:A 文章编号:1671-7597(2011)1120150-01
1 常见的动态路由选择协议
路由分为静态路由和动态路由,其相应的路由表称为静态路由表和动态路由表。静态路由表由网络管理员在系统安装时根据网络的配置情况预先设定,动态路由随网络运行情况的变化而变化。
1.1 根据路由算法划分
1)距离向量路由协议基于Bellman-Ford算法,主要有RIP、IGRP。
2)链路状态路由协议基于Dijkstra算法,主要有最短优先路径算法(SPF)。
1.2 根据路由器在自治系统(AS)中的位置划分
1)内部网关协议 (Interior Gateway Protocol,IGP)。
2)边界网关协议 (Border Gateway Protocol ,BGP)。
2 网络通信中动态路由协议应用的比较
1)RIP(路由信息协议)是路由器生产商之间使用的第一个开放标准,在所有IP路由平台上都可以得到,一个测试者或者攻击者可以通过探测520 UDP端口来判断是否使用RIP。RIP有两个版本:RIPv1和RIPv2,RIPv1天生就有不安全因素,因为它没有使用认证机制并使用不可靠的UDP协议进行传输。RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串或者MD5签字。RIP的算法简单,但在路径较多时收敛速度慢,广播路由信息时占用的带宽资源较多,它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中,在大型网络中一般不适用RIP。
2)IGRP(内部网关路由协议)是一种动态的、长跨度的路由协议,使用度量来确定到达一个网络的最佳路由。路由器每隔90s更新一次路由信息,如果270s内没有收到某路由器的回应,则认为该路由器不可到达;如果630s内仍未收到应答,则IGRP进程将从路由表中删除该路由。此外,IGRP的分组格式中无空白字节,从而提高了IGRP的报文效率。但IGRP为Cisco公司专有,仅限于Cisco产品。
3)OSPF(开放式最短路径优先)是一种为IP网络开发的内部网关路由选择协议,OSPF能够在自己的链路状态数据库内表示整个网络,但配置相对复杂,由于网络区域划分和网路属性的复杂性,需要网络分析员具有较高的网络知识水平才能配置和管理OSPF网络,由于路由器的负载均衡能力较弱,虽然OSPF路由协议可以根据接口的速率自动生成接口路由优先级,但是在对于有着不同优先级的路由来说,OSPF只选择优先级较高的转发,同时也不能实现负载均衡,只有相同优先级的才能达到负载均衡的目的。
4)BGP(边界网关协议)协议执行的时候自主系统之间的路由,BGP使用TCP 179端口来进行通信,由于BGP使用了TCP的传输方式,它就会使BGP引起不少关于TCP方面的问题,如很普遍的SYN Flood攻击,另外BGP的community配置也会有某些类型的攻击,部分BGP的实现默认情况下没有使用任何的认证机制,这样假如认证方案不够强壮的话,攻击者发送UPDATE信息来修改路由表的远程攻击的机会就会增加许多,导致进一步的破坏扩大。
3 网络通信中动态路由协议存在着漏洞的防范措施
3.1 RIP协议漏洞的防范措施
1)记数无穷大:定义最大跳数为15,当跳数为16时,目标为不可达。
2)水平分割:从一个接口学习到的路由不会再广播回该接口。
3)触发更新:一旦检测到路由崩溃,立即广播路由刷新报文,而不等到下一刷新周期。
3.2 IGRP协议漏洞的防范措施
1)路由更新机制:由于RIP更新太快(默认30秒),而且是将路由表所有内容都全部广播或组播发出去,严重影响网络性能,IGRP增大了更新周期,在缺省情况下,IGRP每90秒发送一次路由信息广播,如果在3个周期内没有收到该路由的路由更新,则设置该路由为不可达,在7个周期内没收到,则从路由表中删除该路由。
2)负载均衡:和RIP一样,IGRP也支持最多六条用于负载均衡的等价路由,而且IGRP还扩展了负载均衡的概念。比RIP等价路由更先进的是,它还支持多条不等价路由,能够对那些在多条路径上流动、而对各自目的地又有不同度量的数据流做负载均衡,这样给负载均衡提供了更多的灵活性。
3)OSPF协议漏洞的防范措施:如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系,并向攻击路由器输入大量的链路状态广播(LSA,组成链路状态数据库的数据单元),就会引导路由器形成错误的网络拓扑结构,从而导致整个网络的路由表紊乱,使整个网络瘫痪。当前版本的Windows操作系统(Windows 2000/XP等)都实现了OSPF路由协议功能,因此,一个攻击者可以很容易的利用这些操作系统自带的路由功能模块来进行攻击。与RIP类似,如果OSPF启用了报文验证功能(HMAC验证),则可以从很大程度上避免这种攻击。
4)BGP协议漏洞的防范措施:BGP端口被过滤了,对攻击有一定的抵抗力。会话在点对点之间是通过一条单独的物理线路进行通信的,但在一定的环境,如在两AS系统通过交换机来连接则可能存TCP插入的攻击,在这样的网络中,攻击者在同一VLAN或者它有能力嗅探switch的通信,监视TCP序列号,插入修改的信息包或者使用工具如hunt的进行hi jack连接而获得成功。
4 动态路由选择协议在网络通信中的重要性
通过对网络通信中的动态路由选择协议系统进行合理的设计,主要采取主机监控的方式,获取用户的数据库操作信息,同时借助自身内置的路由算法识别违反用户定义和安全规则的危害网络通信的信息数据,在动态路由选择协议算法中可以有效发现攻击模式和其他的违规活动时,可以进行一系列的响应来实现对数据库的安全监控。
4.1 实现路由协议的主动报警行为
启动程序后,可以自动对主机数据库进行安全监控,主要包括对用户登录密码、本地服务器名和当前系统的操作结果等信息进行有效的监控。
同时将这些信息反馈到分析机中通过自身的安全机制进行核实和筛选,并且从这些大量的数据信息中分离出对数据库造成威胁和非法侵入的垃圾信息,最后通过控制子系统对主机发出警报同时对不安全的信息和数据进行阻隔命令,实现有效的拦截操作,实现对路由协议的保护。
4.2 实现命令的有效下发
位于整个网络通信系统顶层的控制字系统对分析机进行的处理工作进行有效的监控,并且对下层系统进行适时的维护更新和升级工作,控制台发出命令后,应向各个分机子系统通过路由算法进行及时的信息传达,并且保证各个分机子系统负责完成命令的模块能够迅速完成任务。在完成所有命令以后,各个分机子系统及时向控制台端口反馈完成命令的具体情况,保证下发命令的完成质量。
4.3 实现数据间的有效传递
从信息获取子系统获得相关的信息数据,并且进行第二次过滤,实现数据的完整性,然后根据数据的所属情况对各个分机子系统进行传递,分机子系统在完成相应的筛选和审核工作后,把正确的信息传达到控制台,对不良信息进行及时的拦截和处理。从而实现数据的有效传递。
4.4 实现终端信息的准确输出
从信息获取子系统到分机子系统最后再到控制系统,这一系列的数据信息传递都是非常重要的,在这个过程中不仅完成了数据信息的过滤、筛选、拦截和传递。同时还对有威胁的数据信息进行报警日志的下发,绝对阻止不良数据信息的进一步传递。最终需要把正确无误的数据信息完整的从端口输出,完成整个数据库中信息的传递过程。即便这样的过程有时候还不能完全保证数据的绝对正确性,还可以通过在输出端口设置再次过滤、筛选和拦截功能的安全监控系统,对数据库的信息进行再一次的检测,更好的保证了输出信息的可靠性和安全性。
5 结束语
随着互联网的迅猛发展,对网络通信的路由协议提出了更多更高的要求和挑战,动态路由协议也成为整体网络安全管理系统的基础部分。在今后的发展中要进一步深入研究动态路由协议,提供更多的监测功能,对网络行为进行更深入的分析。本文主要通过分析网络通信中动态路由选择协议的比较和应用,得出动态路由协议作为一个三层的网络设备路由器,必须具备良好的动态算法和方法。一个好的动态路由选择算法不仅可以增加网络宽带的利用率,还可以降低路由器的利用率同时可以优化网络通信的质量。所以网络通信动态路由选择协议的不断开发和完善是计算机网络的重要部分。动态路由协议的开发和不断完善是计算机网络的一个重要部分,也是提高网络通信的必要手段和方式。
参考文献:
[1]高伟,网络通信路由动态选择协议的检测和防范[J].北京师范学院学报,2010(3).
[2]吕庆聪,网络通信路由动态协议的探讨[J].信息安全技术学报,2009(8).
[3]巫喜红,网络通信动态路由协议技术及其对策分析[J].广东工业大学学报,2009(9).
[4]何龙涛,RIP路由信息协议配置和工作原理分析[J].计算机工程与应用,2008(10).
[5]王英龙,OSPF技术安全分析及其对策分析[J].计算机技术应用,2009(12).
关键词: 网络通信;动态路由;选择协议
中图分类号:TN915.08 文献标识码:A 文章编号:1671-7597(2011)1120150-01
1 常见的动态路由选择协议
路由分为静态路由和动态路由,其相应的路由表称为静态路由表和动态路由表。静态路由表由网络管理员在系统安装时根据网络的配置情况预先设定,动态路由随网络运行情况的变化而变化。
1.1 根据路由算法划分
1)距离向量路由协议基于Bellman-Ford算法,主要有RIP、IGRP。
2)链路状态路由协议基于Dijkstra算法,主要有最短优先路径算法(SPF)。
1.2 根据路由器在自治系统(AS)中的位置划分
1)内部网关协议 (Interior Gateway Protocol,IGP)。
2)边界网关协议 (Border Gateway Protocol ,BGP)。
2 网络通信中动态路由协议应用的比较
1)RIP(路由信息协议)是路由器生产商之间使用的第一个开放标准,在所有IP路由平台上都可以得到,一个测试者或者攻击者可以通过探测520 UDP端口来判断是否使用RIP。RIP有两个版本:RIPv1和RIPv2,RIPv1天生就有不安全因素,因为它没有使用认证机制并使用不可靠的UDP协议进行传输。RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串或者MD5签字。RIP的算法简单,但在路径较多时收敛速度慢,广播路由信息时占用的带宽资源较多,它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中,在大型网络中一般不适用RIP。
2)IGRP(内部网关路由协议)是一种动态的、长跨度的路由协议,使用度量来确定到达一个网络的最佳路由。路由器每隔90s更新一次路由信息,如果270s内没有收到某路由器的回应,则认为该路由器不可到达;如果630s内仍未收到应答,则IGRP进程将从路由表中删除该路由。此外,IGRP的分组格式中无空白字节,从而提高了IGRP的报文效率。但IGRP为Cisco公司专有,仅限于Cisco产品。
3)OSPF(开放式最短路径优先)是一种为IP网络开发的内部网关路由选择协议,OSPF能够在自己的链路状态数据库内表示整个网络,但配置相对复杂,由于网络区域划分和网路属性的复杂性,需要网络分析员具有较高的网络知识水平才能配置和管理OSPF网络,由于路由器的负载均衡能力较弱,虽然OSPF路由协议可以根据接口的速率自动生成接口路由优先级,但是在对于有着不同优先级的路由来说,OSPF只选择优先级较高的转发,同时也不能实现负载均衡,只有相同优先级的才能达到负载均衡的目的。
4)BGP(边界网关协议)协议执行的时候自主系统之间的路由,BGP使用TCP 179端口来进行通信,由于BGP使用了TCP的传输方式,它就会使BGP引起不少关于TCP方面的问题,如很普遍的SYN Flood攻击,另外BGP的community配置也会有某些类型的攻击,部分BGP的实现默认情况下没有使用任何的认证机制,这样假如认证方案不够强壮的话,攻击者发送UPDATE信息来修改路由表的远程攻击的机会就会增加许多,导致进一步的破坏扩大。
3 网络通信中动态路由协议存在着漏洞的防范措施
3.1 RIP协议漏洞的防范措施
1)记数无穷大:定义最大跳数为15,当跳数为16时,目标为不可达。
2)水平分割:从一个接口学习到的路由不会再广播回该接口。
3)触发更新:一旦检测到路由崩溃,立即广播路由刷新报文,而不等到下一刷新周期。
3.2 IGRP协议漏洞的防范措施
1)路由更新机制:由于RIP更新太快(默认30秒),而且是将路由表所有内容都全部广播或组播发出去,严重影响网络性能,IGRP增大了更新周期,在缺省情况下,IGRP每90秒发送一次路由信息广播,如果在3个周期内没有收到该路由的路由更新,则设置该路由为不可达,在7个周期内没收到,则从路由表中删除该路由。
2)负载均衡:和RIP一样,IGRP也支持最多六条用于负载均衡的等价路由,而且IGRP还扩展了负载均衡的概念。比RIP等价路由更先进的是,它还支持多条不等价路由,能够对那些在多条路径上流动、而对各自目的地又有不同度量的数据流做负载均衡,这样给负载均衡提供了更多的灵活性。
3)OSPF协议漏洞的防范措施:如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系,并向攻击路由器输入大量的链路状态广播(LSA,组成链路状态数据库的数据单元),就会引导路由器形成错误的网络拓扑结构,从而导致整个网络的路由表紊乱,使整个网络瘫痪。当前版本的Windows操作系统(Windows 2000/XP等)都实现了OSPF路由协议功能,因此,一个攻击者可以很容易的利用这些操作系统自带的路由功能模块来进行攻击。与RIP类似,如果OSPF启用了报文验证功能(HMAC验证),则可以从很大程度上避免这种攻击。
4)BGP协议漏洞的防范措施:BGP端口被过滤了,对攻击有一定的抵抗力。会话在点对点之间是通过一条单独的物理线路进行通信的,但在一定的环境,如在两AS系统通过交换机来连接则可能存TCP插入的攻击,在这样的网络中,攻击者在同一VLAN或者它有能力嗅探switch的通信,监视TCP序列号,插入修改的信息包或者使用工具如hunt的进行hi jack连接而获得成功。
4 动态路由选择协议在网络通信中的重要性
通过对网络通信中的动态路由选择协议系统进行合理的设计,主要采取主机监控的方式,获取用户的数据库操作信息,同时借助自身内置的路由算法识别违反用户定义和安全规则的危害网络通信的信息数据,在动态路由选择协议算法中可以有效发现攻击模式和其他的违规活动时,可以进行一系列的响应来实现对数据库的安全监控。
4.1 实现路由协议的主动报警行为
启动程序后,可以自动对主机数据库进行安全监控,主要包括对用户登录密码、本地服务器名和当前系统的操作结果等信息进行有效的监控。
同时将这些信息反馈到分析机中通过自身的安全机制进行核实和筛选,并且从这些大量的数据信息中分离出对数据库造成威胁和非法侵入的垃圾信息,最后通过控制子系统对主机发出警报同时对不安全的信息和数据进行阻隔命令,实现有效的拦截操作,实现对路由协议的保护。
4.2 实现命令的有效下发
位于整个网络通信系统顶层的控制字系统对分析机进行的处理工作进行有效的监控,并且对下层系统进行适时的维护更新和升级工作,控制台发出命令后,应向各个分机子系统通过路由算法进行及时的信息传达,并且保证各个分机子系统负责完成命令的模块能够迅速完成任务。在完成所有命令以后,各个分机子系统及时向控制台端口反馈完成命令的具体情况,保证下发命令的完成质量。
4.3 实现数据间的有效传递
从信息获取子系统获得相关的信息数据,并且进行第二次过滤,实现数据的完整性,然后根据数据的所属情况对各个分机子系统进行传递,分机子系统在完成相应的筛选和审核工作后,把正确的信息传达到控制台,对不良信息进行及时的拦截和处理。从而实现数据的有效传递。
4.4 实现终端信息的准确输出
从信息获取子系统到分机子系统最后再到控制系统,这一系列的数据信息传递都是非常重要的,在这个过程中不仅完成了数据信息的过滤、筛选、拦截和传递。同时还对有威胁的数据信息进行报警日志的下发,绝对阻止不良数据信息的进一步传递。最终需要把正确无误的数据信息完整的从端口输出,完成整个数据库中信息的传递过程。即便这样的过程有时候还不能完全保证数据的绝对正确性,还可以通过在输出端口设置再次过滤、筛选和拦截功能的安全监控系统,对数据库的信息进行再一次的检测,更好的保证了输出信息的可靠性和安全性。
5 结束语
随着互联网的迅猛发展,对网络通信的路由协议提出了更多更高的要求和挑战,动态路由协议也成为整体网络安全管理系统的基础部分。在今后的发展中要进一步深入研究动态路由协议,提供更多的监测功能,对网络行为进行更深入的分析。本文主要通过分析网络通信中动态路由选择协议的比较和应用,得出动态路由协议作为一个三层的网络设备路由器,必须具备良好的动态算法和方法。一个好的动态路由选择算法不仅可以增加网络宽带的利用率,还可以降低路由器的利用率同时可以优化网络通信的质量。所以网络通信动态路由选择协议的不断开发和完善是计算机网络的重要部分。动态路由协议的开发和不断完善是计算机网络的一个重要部分,也是提高网络通信的必要手段和方式。
参考文献:
[1]高伟,网络通信路由动态选择协议的检测和防范[J].北京师范学院学报,2010(3).
[2]吕庆聪,网络通信路由动态协议的探讨[J].信息安全技术学报,2009(8).
[3]巫喜红,网络通信动态路由协议技术及其对策分析[J].广东工业大学学报,2009(9).
[4]何龙涛,RIP路由信息协议配置和工作原理分析[J].计算机工程与应用,2008(10).
[5]王英龙,OSPF技术安全分析及其对策分析[J].计算机技术应用,2009(12).