看到沒有,到達222.222.222.0/24經由192.168.1.254
Rprobe & srip--這個工具附帶在一篇關于RIP欺騙非常不錯的指南文檔中(由humble寫),你可以在下面的地址找到這篇文章http://www.technotronic.com/horizon/ripar.txt.Rprobe工具會從一路由daemon(守護程序)中請求一RIP路由表的拷貝,使用Tcpdump或者其他任何嗅探工具可以用來捕獲這些結果。接下來,srip可以用來從任意源IP發送一偽造的RIPv1或者RIPv2消息,Srip可以插入新的路由和使當前的路由無效,當然攻擊者/滲透測試者需要知道命令行中使用什么參數。關于這些工具的介紹可參看Hacking Exposed 第二版Network Device節找到示例。
當然還有其他工作與相關路由協議的工具可被攻擊者或者滲透測試者使用,如:Routed,gated, zebra, mrt, 和 gasp ,大家可以參看其他的文檔。
下面是有關各種協議的淺釋和相關漏洞及可以采用的防衛措施
Routing Information Protocol (RIP,路由信息協議)
Routing Information Protocol (RIP,路由信息協議)是基于距離矢量的路由協議,其所有路由基于(hop)跳數來衡量。由Autonomous System (AS,自主系統) 來全面的管理整個由主機,路由器和其他網絡設備組成的系統。RIP是作為一種內部網關協議(interior gateway protocol),即在自治系統內部執行路由功能。相反的大家都知道外部網關路由協議(exterior gateway protocol),如邊緣網關協議(BGP),在不同的自治系統間進行路由。RIP協議對大型網絡來說不是一個好的選擇,因為它只支持15跳,RIPv1而且只能通信自身相關的路由信息,反之RIPv2能對其他路由器進行通信。RIP協議能和其他路由協議共同工作,依照Cisco,RIP協議經常用來與OSPF協議相關聯,雖然很多文蕩指出OSPF需代替RIP. 應該知道經由RIP更新提交的路由可以通過其他路由協議重新分配,這樣如果一攻擊者能通過RIP來欺騙路由到網絡,然后再通過其他協議如OSPF或者不用驗證的BGP協議來重新分配路由,這樣攻擊的范圍將可能擴大。
RIP協議相關的漏洞和防范措施
一個測試者或者攻擊者可以通過探測520 UDP端口來判斷是否使用RIP,你可以使用熟悉的工具如nmap來進行測試,如下所示,這個端口打開了并沒有使用任何訪問控制聯合任意類型的過濾:
[root@test]# nmap -sU -p 520 -v router.ip.address.2 |
掃描UDP520端口在網站http://www.dshield.org/的\"Top 10 Target Ports\"上被排列在第7位,你表明有許多人在掃描RIP,這當然和一些路由工具工具的不斷增加有一定的關聯。
RIPv1 天生就有不安全因素,因為它沒有使用認證機制并使用不可靠的UDP協議進行傳輸。RIPv2的分組格式中包含了一個選項可以設置16個字符的明文密碼字符串(表示可很容的被嗅探到)或者MD5簽字。雖然RIP信息包可以很容易的偽造,但在RIPv2中你使用了MD5簽字將會使欺騙的操作難度大大提高。一個類似可以操作的工具就是nemesis項目中的RIP命令--nemesis-rip,但由于這個工具有很多的命令行選項和需要必備的知識,所以nemesis-rip 比較難被script kiddies使用。想使用nemesis-rip成功進行一次有效的RIP欺騙或者類似的工具需要很多和一定程度的相關知識。不過\"Hacking Exposed\"第二版第10章:Network Devices提到的有些工具組合可以比較容易的進行RIP欺騙攻擊攻擊,這些工具是使用rprobe來獲得遠程網絡RIP路由表,使用標準的tcpdump或者其他嗅探工具來查看路由表,srip來偽造RIP信息包(v1或者v2),再用fragrouter重定向路由來通過我們控制的主機,并使用類似dsniff的工具來最后收集一些通信中的明文密碼。
盡管大家知道欺騙比較容易,但仍然存在一些大的網絡提供商仍舊依靠RIP來實現一些路由功能,雖然不知道他們是否采用來安全的措施。RIP顯然目前還是在使用,呵呵但希望很少人使用RIPv1,并且使用了采用MD5安全機制的RIPv2,或者已經移植到了使用MD5認證的OSPF來提高安全性。
Border Gateway Protocol (BGP,邊界網關協議)
BGP是Exterior Gateway Protocol (EGP,外部網關協議),此協議執行的時候自主系統之間的路由,現在BGP4是最近的流行標準,BGP使用幾種消息類型,其中這文章相關的最重要的消息是UPDATE消息類型,這個消息包含了路由表的更新信息,全球INTERNET大部分依靠BGP,因此一些安全問題必須很嚴肅的對待,L0pht幾年就宣稱過:他們能在很短的時間內利用路由協議的安全如BGP來搞垮整個Internet.
BGP協議相關的漏洞和防范措施
BGP使用TCP 179端口來進行通信,因此nmap必須探測TCP 179端口來判斷BGP的存在。
[root@test]# nmap -sS -p 179 -v router.ip.address.2 |
BGP端口被過濾了,對攻擊有一定的抵抗力。
由于BGP使用了TCP的傳輸方式,它就會使BGP引起不少關于TCP方面的問題,如很普遍的SYN Flood攻擊,序列號預測,一般拒絕服務攻擊等。BGP沒有使用它們自身的序列而依靠TCP的序列號來代替,因此,如果設備采用了可預測序列號方案的話,就存在這種類型的攻擊,幸好的是,運行在Internet上大部分重要的路由器使用了Cisco設備,而其是沒有使用可預測序列號方案。
部分BGP的實現默認情況下沒有使用任何的認證機制,而有些可能存在和RIP同樣的問題就是使用了明文密碼。這樣假如認證方案不夠強壯的話,攻擊者發送UPDATE信息來修改路由表的遠程攻擊的機會就會增加許多,導致進一步的破壞擴大。
BGP也可以傳播偽造的路由信息,如果攻擊者能夠從一協議如RIP中修改或者插入路由信息并由BGP重新分配。這個缺陷是存在與信任模塊中而不是其協議本身。另外BGP的community 配置也會有某些類型的攻擊,原因是community name在某些情況下是作為信任token(標志)可以被獲得。至于通過通過BGP的下層協議(TCP)對其攻擊看來是比較困難的,因為會話在點對點之間是通過一條單獨的物理線路進行通信的,但在一定環境如在兩AS系統通過交換機來連接則可能存在TCP插入的攻擊,在這樣的網絡中,攻擊者在同一VLAN或者他有能力嗅探switch的通信(如使用dsniff工具通過ARP欺騙來獲得),監視TCP序列號,插入修改的信息包或者使用工具如hunt的進行hijack連接而獲得成功,但這種類型的攻擊一般只能在實驗室環境中演示比較容易,而在實際的網絡中因為太過復雜而很難成功。
要使BGP更安全,你最好對端口179采用訪問列表控制,使用MD5認證,使用安全傳輸媒體進行安全BGP通信和執行路由過濾(你可以查看下面的文檔(see http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1cbgp.htm#40309)以及一些標準的路由安全設置過濾配置。
Open Shortest Path First (OSPF,開放最短路徑優先協議)
OSPF是動態連接狀態路由協議,其保持整個網絡的一個動態的路由表并使用這個表來判斷網絡間的最短路徑,OSPF是內部使用連接狀態路由協議,協議通過向同層結點發送連接狀態信息(LSA)工作,當路由器接收到這些信息時,它就可以根據SPF算法計算出到每個結點的最短路了。其他相臨路由器通過使用OSPF的Hello協議每10秒發送一個問候包給224.0.0.5,然后接收這些路由器發回的信息。一個OSPF的hello信息包頭可以通過iptraf來嗅探到,如下所示:
OSPF hlo (a=3479025376 r=192.168.19.35) (64 bytes) from 192.168.253.67 to 224.0.0.5 on eth0
192.168.253.67邊界路由器發送一個helo信息包給多播(224.0.0.5)來告訴其他路由器和主機怎樣
從192.168.19.35聯系區域a(a=3479025376).
一旦路由器接受到Hello信息包,它就開始同步自己的數據庫和其他路由一樣。
一個LAS頭包括以下幾個部分: LS age, option, LS type, Link state ID, Advertising Router ID,
LS sequence number, LS checksum, 和 length.
