配置协议的认证可以降低设备接受非法路由选择更新消息的可能性,也称为“验证”。非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕捉数据包。RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性,有简单和MD5密文两种验证方式。
简单验证是指在认证的消息中所携带的认证口令是以明文传输的,可以通过抓包软件抓取到数据包中的密码。MD5密文验证是通过一个随意长度的明文消息和口令计算出一个128位的hash值。接受者的hash值应该和发送者的hash值相匹配。
1、按照图示配置PC和路由器的接口地址,就不阐述了。
2、在R1 R2开启rip
R1配置:
[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 192.168.10.0
[R1-rip-1]network 10.0.0.0
R2配置:
[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.20.0
[R2-rip-1]network 10.0.0.0
R3配置。之前配置的环回地址与网段中PC地址一样,可以在RIP协议中通告这两个欺骗的网段。
[R3]rip 1
[R3-rip-1]vers
[R3-rip-1]version 2
[R3-rip-1]network 192.168.10.0
[R3-rip-1]network 192.168.20.0
3、查看R1或者R2的路由表。举例R1,到192.168.20.0网段有两条等价负载均衡的路径,下一跳分别是R2 R3 ,这样会导致去往20网段的数据包有部分转发给了欺骗路由器R3。
4、配置RIPv2简单验证
为了提升网络安全性,避免发生上述攻击和路由器欺骗,可以在R1 R2上配置RIP的简单验证实现多网络的保护。R1 R2的GigabitEthernet0/0/1接口配置认证,密码位huawei,两端的密码必须一致,否则会认证失败。
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]rip authentication-mode simple huawei
等待较长时间后,再次查看路由表,R3发送的欺骗路由消失了。原因是R2 R2配置了RIP认证,要求在RIP更新报文中包含认证密码,如果密码错误或者不存在,将认为路由非法并丢弃。
在R1-GigabitEthernet0/0/1抓包,可以看到RIP报文中含有authentication字段,密码为明文的huawei。
5、配置RIPv2的MD5密文验证
上一步配置的简单验证后,可以抵御R3的路由器欺骗和攻击,但是可以抓取RIP协议中的明文密码,认证安全性很差。usual表示通用报文格式,nonstandard表示非标准报文格式,但必须两端报文格式一致。配置完成后查看路由表,R3发送的欺骗路由也不存在。
[R1-GigabitEthernet0/0/1]undo rip authentication-mode
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei
[R2-GigabitEthernet0/0/1]undo rip authentication-mode
[R2-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei
抓包发现无法看到配置的认证密码,而看得到的是128位的hash值。
网友评论