路由器在网络中的角色很关键,因此它们通常是网络攻击的目标。 网络管理员必须意识到,正如终端用户系统一样,路由器可很能会遭受攻击。

一般来说,中断路由对等设备,或篡改路由协议内所传输的信息,都是攻击路由协议的方法。 篡改路由信息通常会导致系统间相互传输错误的消息(撒谎),或导致拒绝服务 (DoS) 攻击,或导致流量通过正常情况下不会采用的路径进行传输。 篡改路由信息所造成的后果如下:

单击动画中的“播放”按钮,查看会形成路由环路的攻击的示例。 攻击者可以直接连接到路由器 R1 和 R2 之间的链路。 攻击者仅对路由器 R1 发出虚假的路由信息,指出 R2 是 192.168.10.10/32 主机路由上的首选目的地。 尽管 R1 的路由表中包含直接连接到 192.168.10.0/24 网络的条目,但由于虚假信息的子网掩码更长,所以它还是会将该虚假路由加入到路由表中。 具有更长匹配子网掩码的路由优先级高于匹配子网掩码更短的路由。 结果当路由器接收到数据包时,它会选择更长的子网掩码,因为该路由可以更准确地到达目的地。

当 PC3 将数据包发送到 PC1 (192.168.10.10/24) 时,R1 没有将数据包转发到 PC1 主机。 相反,因为到达 192.168.10.10/32 的最佳路径很明显是通过 R2,所以它将数据包路由到路由器 R2。 当 R2 接收到数据包时,它会在路由表并进行查看将数据包转发回 R1,从而导致环路。

要缓解路由协议攻击,请配置 OSPF 身份验证。