RIP欺骗――企业内部网潜在的危险

摘要：路由器在每个网络中起到关键的作用，如果一旦路由器的路由表被成功的欺骗，并被攻击者修改了路由表，网络的完整性将受到严重的破坏，网络将陷于瘫痪，其中RIP协议在中小型网络，尤其是企业内部网络中使用较多，而RIP协议本身存在着较多的不安全因素，该文通过RIP的简介、RIP欺骗的原理、欺骗实验的验证和RIP欺骗的防范四个方面对RIP协议的不安全性进行分析。

关键词：RIP协议、UDP协议、IP协议、嗅探

中图分类号：TP309文献标识码：A文章编号：1009-3044(2008)32-1052-03

RIP Deception: Intranet Potentially Dangerous

CAO Jiong-qing

(Guizhou Vocational Technology College of Electronic & Information,Kaili 556000,China)

Abstract: Each router in the network play a key role,Once the router was successful deceived,and router table was modified by an attacker, Network integrity will be seriously damaged, the network will be paralysed,In small and medium-sized networks, which use more RIP protocol, especially in the internal network, Rip itself there are more factors of insecurity, By This Papers,Through brief introduction of RIP、the principle of RIP deception、the experimental verification、the guard against cheating,We will analyse Insecurity of RIP protocol.

Key words: rip protocol; UDP protocol; RIP protocol; sniffer

1 RIP简介

Routing Information Protocol (RIP，路由信息协议)是基于距离矢量的路由选择协议，RIP协议以到达目的网络的最小跳数作为路由选择的度量标准，而不是在链路的带宽和延迟的基础上进行选择，RIP是为小型网络而设计的，它的跳数计数限制为16跳，其网络花费开销较小，非常适合于在企业内部网络中使用。

RIP现有V1和V2两个版本，都是使用UDP协议的520端口进行路由信息的更新，数据封装结构基本一致（见图1），RIP周期进行路由更新，将路由表发送给邻居路由器，广播周期默认为30秒。

其中V1版本不支持子网掩码，而V2版本支持子网掩码，V1版本进行路由更新广播时的目的IP地址为255.255.255.255，而V2版本进行路由更新广播时的目的IP地址为224.0.0.9。

路由器的工作不外乎两个，一是路径选择，二是数据转发。进行数据转发相对容易一些，难的是如何判断到达目的网络的最佳路径。所以，路径选择就成了路由器最重要的工作。

许多路由协议可以完成路径选择的工作，常见的有RIP，OSPF，IGRP和 EIGRP协议等等。这些算法中，我们不能简单的说谁好谁坏，因为算法的优劣要依据使用的环境来判断。比如RIP协议，它有时不能准确地选择最优路径，收敛的时间也略显长了一些，但对于小规模的，没有专业人员维护的网络来说，它是首选的路由协议，我们看中的是它的简单性，尤其是在企业内部网络中。

2 RIP欺骗原理

RIP虽然简单方便，但RIP有许多不安全因素，安全性差，路由器会接受来自任何设备的路由更新，因为它没有使用认证机制并使用不可靠的UDP协议进行传输，也就是说，没有发出路由更新请求的路由器可以接收路由更新报文，这一点非常类似于前一段时间流行的ARP病毒。

如图2所示，我们来假想一下RIP欺骗攻击，假设企业路由正常接入internet所具有的路由表表目为缺省路由200.1.0.0/255.255.0.0，下一跳为211.1.1.1，企业内部网络中的攻击计算机伪造一个RIP路由更新消息，向企业路由器发送，伪造内容为目的网络200.1.0.0，子网掩码255.255.0.0，下一跳1.1.1.1，则企业路由器收到该路由更新消息后，修改企业路由器的路由表，造成整个企业内部网络对外通信瘫痪。

3 RIP欺骗实验实现

我们通过一个实验的过程，来验证RIP欺骗的可实现性。如图3。

1) RouterA上配置

配置路由器A的F0/0接口

RouterA_config#interface f 0/0

RouterA_config_f0/0#ip address 192.168.232.1 255.255.255.0

RouterA_config_f0/0#no shutdown

配置路由器A的S0/2接口

RouterA_config#interface s0/2

RouterA_config_s0/2#ip address 1.0.0.1 255.0.0.0

RouterA_config_s0/2#no shutdown

配置路由器A的s0/3接口

RouterA_config#interface s0/3

RouterA_config_s0/3#ip address 2.0.0.1 255.0.0.0

RouterA_config_s0/2#no shutdown

配置路由器A的RIP路由协议

RouterA_config#router rip

RouterA_config_rip#network 1.0.0.0 255.0.0.0

RouterA_config_rip#network 2.0.0.0 255.0.0.0

路由器A上的路由表内容为

RouterA# show ip route

C1.0.0.0/8is directly connected, Serial0/2

C2.0.0.0/8is directly connected, Serial0/3

C192.168.232.0/24is directly connected, FastEthernet0/0

R3.0.0.0/8[120，1] via 192.168.232.2（on FastEthernet0/0）

R4.0.0.0/8[120，1] via 192.168.232.2（on FastEthernet0/0）

2) RouterB上配置

配置路由器B的F0/0接口

RouterB_config#interface f 0/0

RouterB_config_f0/0#ip address 192.168.232.2 255.255.255.0

RouterB_config_f0/0#no shutdown

配置路由器B的S0/2接口

RouterB_config#interface s0/2

RouterB_config_s0/2#ip address 3.0.0.1 255.0.0.0

RouterB_config_s0/2#no shutdown

配置路由器B的s0/3接口

RouterB_config#interface s0/3

RouterB_config_s0/3#ip address 4.0.0.1 255.0.0.0

RouterB_config_s0/2#no shutdown

配置路由器B的RIP路由协议

RouterA_config#router rip

RouterA_config_rip#network 3.0.0.0 255.0.0.0

RouterA_config_rip#network 4.0.0.0 255.0.0.0

路由器B上的路由表内容为

RouterB# show ip route

C3.0.0.0/8is directly connected, Serial0/2

C4.0.0.0/8is directly connected, Serial0/3

C192.168.232.0/24is directly connected, FastEthernet0/0

R1.0.0.0/8[120，1] via 192.168.232.1（on FastEthernet0/0）

R2.0.0.0/8[120，1] via 192.168.232.1（on FastEthernet0/0）

3) Switch上配置

实现端口镜像，捕获RouterA发出的RIP路由更新报文

Switch(config)#monitor session 1 source interface ethernet 0/0/1

Switch (config)#monitor session 1 source interface ethernet 0/0/3

Switch (config)#monitor session 1 destination interface ethernet 0/0/6

4) 攻击机192.168.232.3捕获路由器A的路由更新报文

攻击机192.168.232.3安装sniffer软件

攻击机192.168.232.3配置sniffer的过滤器，如图4。

攻击机192.168.232.3启动sniffer捕获

5) 攻击机192.168.232.3修改路由器A的路由更新报文并进行欺骗

捕获的RIP路由更新报文如图5。

对捕获的路由更新报文进行修改，将子网掩码255.0.0.0修改为255.255.255.0，如图6。

修改UDP校验和，如不进行修改，进行欺骗时，目的主机会因为校验和值不符而丢弃该UDP报文，可进行相应运算（具体运算可参见有关资料），如图7。

再次发送路由更新报文，进行欺骗，如图8。

路由器B上欺骗结果查看

RouterB# show ip route

C 3.0.0.0/8is directly connected, Serial0/2

C 4.0.0.0/8is directly connected, Serial0/3

C 192.168.232.0/24is directly connected, FastEthernet0/0

R 1.0.0.0/24[120，1] via 192.168.232.1（on FastEthernet0/0）

R 2.0.0.0/8 [120，1] via 192.168.232.1（on FastEthernet0/0）

可以很清楚地看到，路由器B上1.0.0.0/8被欺骗修改为了1.0.0.0/24。

4 结论

从上面的实验中我们完成了对RIP协议的欺骗过程，并成功修改了路由器的路由表，由此可见在中小型网络中，尤其是企业内部网络对于企业接入路由器的攻击是完全可以实现的，类似于ARP病毒之类的病毒代码完全可以利用RIP协议本身的缺陷和漏洞，造成企业网对外接入的完全瘫痪，具体的防范措施可以有以下几个方面。

1) 将路由器的某些接口配置为被动接口，配置为被动接口后，该接口停止向该接口所在的网络广播路由更新消息。但是，允许继续在该接口接收路由更新广播消息。如图3中，可配置路由器A的F0/0为被动接口。

2) 配置ACL访问控制列表，只允许相应源IP地址的路由更新报文进入。如图3中，可配置路由器B只接收源IP为192.168.232.1的路由更新报文。

3) 在RIPV2中使用验证机制，RIPv1 天生就有不安全因素，因为它没有使用认证机制并使用不可靠的UDP协议进行传输。RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串(表示可很容的被嗅探到)或者MD5签字。虽然RIP信息包可以很容易的伪造，但在RIPv2中你使用了MD5签字将会使欺骗的操作难度大大提高。现在还只是为验证机制设计了一个简单的纯文本密码。但是，一些更安全的验证方法也可以很容易的组合进来。

4) 采用路由器之间数据链路层PPP的验证，采用PPP的PAP验证或Chap验证实现数据链路层的安全线路连接。

参考文献：

[1] （韩）李迈勇（Rhee.M.Y）.网络安全加密原理、算法与协议[M].北京:清华大学出版社,2007.

[2] Zalewski M.网络安全之道被动侦查和间接攻击实用指南[M].北京:中国水利水电出版社,2007.

[3] Kevin D, William L.入侵的艺术[M].北京:清华大学出版社,2007.

[4] Stallings W.密码编码学与网络安全[M].北京:电子工业出版社,2006.

[5] Kaspersky K.黑客调试技术揭秘[M].北京:电子工业出版社,2006.

[6] Bragg R, Rhodes-Ousley M.网络安全完全手册[M].北京:电子工业出版社,2005.