看到?jīng)]有,到達(dá)222.222.222.0/24經(jīng)由192.168.1.254
Rprobe & srip--這個(gè)工具附帶在一篇關(guān)于RIP欺騙非常不錯(cuò)的指南文檔中(由humble寫),你可以在下面的地址找到這篇文章http://www.technotronic.com/horizon/ripar.txt.Rprobe工具會(huì)從一路由daemon(守護(hù)程序)中請求一RIP路由表的拷貝,使用Tcpdump或者其他任何嗅探工具可以用來捕獲這些結(jié)果。接下來,srip可以用來從任意源IP發(fā)送一偽造的RIPv1或者RIPv2消息,Srip可以插入新的路由和使當(dāng)前的路由無效,當(dāng)然攻擊者/滲透測試者需要知道命令行中使用什么參數(shù)。關(guān)于這些工具的介紹可參看Hacking Exposed 第二版Network Device節(jié)找到示例。
當(dāng)然還有其他工作與相關(guān)路由協(xié)議的工具可被攻擊者或者滲透測試者使用,如:Routed,gated, zebra, mrt, 和 gasp ,大家可以參看其他的文檔。
下面是有關(guān)各種協(xié)議的淺釋和相關(guān)漏洞及可以采用的防衛(wèi)措施
Routing Information Protocol (RIP,路由信息協(xié)議)
Routing Information Protocol (RIP,路由信息協(xié)議)是基于距離矢量的路由協(xié)議,其所有路由基于(hop)跳數(shù)來衡量。由Autonomous System (AS,自主系統(tǒng)) 來全面的管理整個(gè)由主機(jī),路由器和其他網(wǎng)絡(luò)設(shè)備組成的系統(tǒng)。RIP是作為一種內(nèi)部網(wǎng)關(guān)協(xié)議(interior gateway protocol),即在自治系統(tǒng)內(nèi)部執(zhí)行路由功能。相反的大家都知道外部網(wǎng)關(guān)路由協(xié)議(exterior gateway protocol),如邊緣網(wǎng)關(guān)協(xié)議(BGP),在不同的自治系統(tǒng)間進(jìn)行路由。RIP協(xié)議對大型網(wǎng)絡(luò)來說不是一個(gè)好的選擇,因?yàn)樗恢С?5跳,RIPv1而且只能通信自身相關(guān)的路由信息,反之RIPv2能對其他路由器進(jìn)行通信。RIP協(xié)議能和其他路由協(xié)議共同工作,依照Cisco,RIP協(xié)議經(jīng)常用來與OSPF協(xié)議相關(guān)聯(lián),雖然很多文蕩指出OSPF需代替RIP. 應(yīng)該知道經(jīng)由RIP更新提交的路由可以通過其他路由協(xié)議重新分配,這樣如果一攻擊者能通過RIP來欺騙路由到網(wǎng)絡(luò),然后再通過其他協(xié)議如OSPF或者不用驗(yàn)證的BGP協(xié)議來重新分配路由,這樣攻擊的范圍將可能擴(kuò)大。
RIP協(xié)議相關(guān)的漏洞和防范措施
一個(gè)測試者或者攻擊者可以通過探測520 UDP端口來判斷是否使用RIP,你可以使用熟悉的工具如nmap來進(jìn)行測試,如下所示,這個(gè)端口打開了并沒有使用任何訪問控制聯(lián)合任意類型的過濾:
[root@test]# nmap -sU -p 520 -v router.ip.address.2 |
掃描UDP520端口在網(wǎng)站http://www.dshield.org/的\"Top 10 Target Ports\"上被排列在第7位,你表明有許多人在掃描RIP,這當(dāng)然和一些路由工具工具的不斷增加有一定的關(guān)聯(lián)。
RIPv1 天生就有不安全因素,因?yàn)樗鼪]有使用認(rèn)證機(jī)制并使用不可靠的UDP協(xié)議進(jìn)行傳輸。RIPv2的分組格式中包含了一個(gè)選項(xiàng)可以設(shè)置16個(gè)字符的明文密碼字符串(表示可很容的被嗅探到)或者M(jìn)D5簽字。雖然RIP信息包可以很容易的偽造,但在RIPv2中你使用了MD5簽字將會(huì)使欺騙的操作難度大大提高。一個(gè)類似可以操作的工具就是nemesis項(xiàng)目中的RIP命令--nemesis-rip,但由于這個(gè)工具有很多的命令行選項(xiàng)和需要必備的知識(shí),所以nemesis-rip 比較難被script kiddies使用。想使用nemesis-rip成功進(jìn)行一次有效的RIP欺騙或者類似的工具需要很多和一定程度的相關(guān)知識(shí)。不過\"Hacking Exposed\"第二版第10章:Network Devices提到的有些工具組合可以比較容易的進(jìn)行RIP欺騙攻擊攻擊,這些工具是使用rprobe來獲得遠(yuǎn)程網(wǎng)絡(luò)RIP路由表,使用標(biāo)準(zhǔn)的tcpdump或者其他嗅探工具來查看路由表,srip來偽造RIP信息包(v1或者v2),再用fragrouter重定向路由來通過我們控制的主機(jī),并使用類似dsniff的工具來最后收集一些通信中的明文密碼。
盡管大家知道欺騙比較容易,但仍然存在一些大的網(wǎng)絡(luò)提供商仍舊依靠RIP來實(shí)現(xiàn)一些路由功能,雖然不知道他們是否采用來安全的措施。RIP顯然目前還是在使用,呵呵但希望很少人使用RIPv1,并且使用了采用MD5安全機(jī)制的RIPv2,或者已經(jīng)移植到了使用MD5認(rèn)證的OSPF來提高安全性。
Border Gateway Protocol (BGP,邊界網(wǎng)關(guān)協(xié)議)
BGP是Exterior Gateway Protocol (EGP,外部網(wǎng)關(guān)協(xié)議),此協(xié)議執(zhí)行的時(shí)候自主系統(tǒng)之間的路由,現(xiàn)在BGP4是最近的流行標(biāo)準(zhǔn),BGP使用幾種消息類型,其中這文章相關(guān)的最重要的消息是UPDATE消息類型,這個(gè)消息包含了路由表的更新信息,全球INTERNET大部分依靠BGP,因此一些安全問題必須很嚴(yán)肅的對待,L0pht幾年就宣稱過:他們能在很短的時(shí)間內(nèi)利用路由協(xié)議的安全如BGP來搞垮整個(gè)Internet.
BGP協(xié)議相關(guān)的漏洞和防范措施
BGP使用TCP 179端口來進(jìn)行通信,因此nmap必須探測TCP 179端口來判斷BGP的存在。
[root@test]# nmap -sS -p 179 -v router.ip.address.2 |
BGP端口被過濾了,對攻擊有一定的抵抗力。
由于BGP使用了TCP的傳輸方式,它就會(huì)使BGP引起不少關(guān)于TCP方面的問題,如很普遍的SYN Flood攻擊,序列號(hào)預(yù)測,一般拒絕服務(wù)攻擊等。BGP沒有使用它們自身的序列而依靠TCP的序列號(hào)來代替,因此,如果設(shè)備采用了可預(yù)測序列號(hào)方案的話,就存在這種類型的攻擊,幸好的是,運(yùn)行在Internet上大部分重要的路由器使用了Cisco設(shè)備,而其是沒有使用可預(yù)測序列號(hào)方案。
部分BGP的實(shí)現(xiàn)默認(rèn)情況下沒有使用任何的認(rèn)證機(jī)制,而有些可能存在和RIP同樣的問題就是使用了明文密碼。這樣假如認(rèn)證方案不夠強(qiáng)壯的話,攻擊者發(fā)送UPDATE信息來修改路由表的遠(yuǎn)程攻擊的機(jī)會(huì)就會(huì)增加許多,導(dǎo)致進(jìn)一步的破壞擴(kuò)大。
BGP也可以傳播偽造的路由信息,如果攻擊者能夠從一協(xié)議如RIP中修改或者插入路由信息并由BGP重新分配。這個(gè)缺陷是存在與信任模塊中而不是其協(xié)議本身。另外BGP的community 配置也會(huì)有某些類型的攻擊,原因是community name在某些情況下是作為信任token(標(biāo)志)可以被獲得。至于通過通過BGP的下層協(xié)議(TCP)對其攻擊看來是比較困難的,因?yàn)闀?huì)話在點(diǎn)對點(diǎn)之間是通過一條單獨(dú)的物理線路進(jìn)行通信的,但在一定環(huán)境如在兩AS系統(tǒng)通過交換機(jī)來連接則可能存在TCP插入的攻擊,在這樣的網(wǎng)絡(luò)中,攻擊者在同一VLAN或者他有能力嗅探switch的通信(如使用dsniff工具通過ARP欺騙來獲得),監(jiān)視TCP序列號(hào),插入修改的信息包或者使用工具如hunt的進(jìn)行hijack連接而獲得成功,但這種類型的攻擊一般只能在實(shí)驗(yàn)室環(huán)境中演示比較容易,而在實(shí)際的網(wǎng)絡(luò)中因?yàn)樘^復(fù)雜而很難成功。
要使BGP更安全,你最好對端口179采用訪問列表控制,使用MD5認(rèn)證,使用安全傳輸媒體進(jìn)行安全BGP通信和執(zhí)行路由過濾(你可以查看下面的文檔(see http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1cbgp.htm#40309)以及一些標(biāo)準(zhǔn)的路由安全設(shè)置過濾配置。
Open Shortest Path First (OSPF,開放最短路徑優(yōu)先協(xié)議)
OSPF是動(dòng)態(tài)連接狀態(tài)路由協(xié)議,其保持整個(gè)網(wǎng)絡(luò)的一個(gè)動(dòng)態(tài)的路由表并使用這個(gè)表來判斷網(wǎng)絡(luò)間的最短路徑,OSPF是內(nèi)部使用連接狀態(tài)路由協(xié)議,協(xié)議通過向同層結(jié)點(diǎn)發(fā)送連接狀態(tài)信息(LSA)工作,當(dāng)路由器接收到這些信息時(shí),它就可以根據(jù)SPF算法計(jì)算出到每個(gè)結(jié)點(diǎn)的最短路了。其他相臨路由器通過使用OSPF的Hello協(xié)議每10秒發(fā)送一個(gè)問候包給224.0.0.5,然后接收這些路由器發(fā)回的信息。一個(gè)OSPF的hello信息包頭可以通過iptraf來嗅探到,如下所示:
OSPF hlo (a=3479025376 r=192.168.19.35) (64 bytes) from 192.168.253.67 to 224.0.0.5 on eth0
192.168.253.67邊界路由器發(fā)送一個(gè)helo信息包給多播(224.0.0.5)來告訴其他路由器和主機(jī)怎樣
從192.168.19.35聯(lián)系區(qū)域a(a=3479025376).
一旦路由器接受到Hello信息包,它就開始同步自己的數(shù)據(jù)庫和其他路由一樣。
一個(gè)LAS頭包括以下幾個(gè)部分: LS age, option, LS type, Link state ID, Advertising Router ID,
LS sequence number, LS checksum, 和 length.
