路由协议身份验证

网络管理员必须意识到路由器正如终端用户设备一样,可能遭受攻击。 任何使用数据包嗅探器(例如 Wireshark)的用户都能够读取路由器之间传播的信息。 通常情况下,可以通过断开对等设备或篡改路由信息来攻击路由系统。

对等点断开是两种攻击中危险程度较低的一种,因为路由协议可以自我恢复,使得在攻击之后网络中断仅持续较短的一段时间。

篡改路由信息是一种更精确的攻击,它以路由协议内传播的信息作为攻击的目标。 路由信息被篡改会造成如下后果:

保护网络中路由信息的办法是使用消息摘要 5 (MD5) 算法来对路由协议数据包进行身份验证。 MD5 允许路由器通过比较签名(应该完全相同)来确认其来自可靠的来源。

此类系统包括以下三个组件:

在图中,请单击“播放”按钮来观看关于每台路由器如何验证路由信息的动画。 通常情况下,路由信息的发送方根据密钥和将要发送的路由数据,利用加密算法生成签名。 然后接收路由数据的路由器便可重复这个过程,即使用相同的密钥和它所收到的相同的路由数据来计算签名。 如果接收方所计算的签名等同于发送方所计算的签名,那么更新就经过了验证并被视为可靠。

路由协议(如 RIPv2、EIGRP、OSPF、IS-IS 和 BGP)都支持各种形式的 MD5 验证。