實驗1. OSPF路由項欺騙攻擊和防御實驗

一、實驗目的

1. 驗證路由器OSPF配置過程。
2. 驗證OSPF建立動態路由項過程。
3. 驗證OSPF路由項欺騙攻擊過程。
4. 驗證OSPF源端鑒別功能的配置過程。
5. 驗證OSPF防路由項欺騙攻擊功能的實現過程。

二、實驗任務

1. 使用自己的語言簡述該實驗原理。

如圖1所示的網絡拓撲中，三臺路由器連接了四個不同的網絡段。終端PC0到終端PC1之間的IP傳輸路徑由OSPF協議動態生成，以實現有效的IP分組路由。當入侵路由器將Router3接入到網絡地址為192.1.2.0/24的以太網中，并且偽造了一個表示其直接連接至192.1.4.0/24網絡的虛假路由項時，這誤導了Router0，導致它更新了其路由表。這一操作改變了原本從PC0到PC1的數據包傳輸路徑，使得原本應直接或通過正常路徑發送給PC1的數據包被Router0錯誤地轉發給了入侵路由器Router3，從而達到了欺騙的目的。

圖 1 OSPF網絡拓撲圖

為抵御上述攻擊，需要在相鄰路由器中配置共享秘鑰，從而達到對鄰接路由器的身份鑒別，只與授權路由器建立鄰接關系；對相互交換的鏈路狀態信息進行完整性檢測，只接收和處理通過檢查的信息；利用序列號來防止重放攻擊。具體流程如下圖2所示，在源端對路由消息使用共享秘鑰進行HMAC，計算出MAC值附在消息尾部。接收端接收后，使用共享秘鑰進行相同的HMAC運算，與附在消息中的MAC進行對比，若一致則身份驗證通過，接收處理路由消息。

?（a）源端流程

（b）接收端流程

圖 2 路由器消息源端鑒別和完整性檢測過程

??????

1. 實驗步驟

（根據教材或老師給的詳細資料，使用自己的語言描述搭實驗步驟，在文字描述的同時，盡量多截圖說明）

1. 搭建正常情況下的網絡拓撲圖，如圖3所示。

圖 3 正常情況下的網絡拓撲圖

1.配置各個路由器的各個接口的IP地址和子網掩碼，Router0、Router1、Router2的具體配置如圖4a、b、c所示。 ??????

?

（a）

?????????????

?（b）

（c）

圖 4各個路由器的各個接口的IP地址和子網掩碼配置

1. 對各個路由器進行OSPF配置，Router0、Router1、Router2具體配置如圖5a、b、c所示。

（a）

（b）

（c）

圖 5 各個路由器進行OSPF配置

1. 查看路由器Router0的路由轉發表，如圖6所示。

圖 6 Router0的路由轉發表

1. 配置PC0與PC1的IP地址、子網掩碼和默認網關，PC0與PC1具體配置如圖7a、b所示。

（a）

（b）

圖 7 PC0與PC1的IP地址、子網掩碼和默認網關

1. 在PC0與PC1之間，啟動ICMP報文傳輸，對PC0與PC1之間是否存在IP傳輸路徑進行驗證，結果如圖8所示，驗證成功，PC0與PC1之間存在IP傳輸路徑。

圖 8 PC0與PC1之間ICMP報文傳輸

1. 加入路由器Router4作為入侵路由器，搭建入侵網絡拓撲圖，如圖9所示。

圖 9 加入入侵路由器的網絡拓撲圖

1. 對Router3進行配置，具體配置如圖10所示，其中一個接口連接網絡192.1.2.0/24，分配IP地址為192.1.2.27 /24；一個接口分配IP地址192.1.4.37 /24，作為偽造的192.1.4.0/24的直連接口。

???????? 圖 10 Router3配置

9.對Router3進行OSPF配置，具體配置如圖11所示，并且向路由器Router0發送表明與網絡192.1.4.0/2直連的路由消息。此時欺騙路由器Router0修改路由表,將<192.1.4.0/24 ,192.1.2.253>改為<192.1.4.0/24 ， 192.1.2.37>，如圖12所示。

???????? 圖 11

圖 12 Router3 OSPF配置

10.切換至模擬操作模式，在PC0和PC1之間啟動IP分組傳輸，如13所示，路由器將Router0將IP分組轉發給路由器Router3，被入侵路由器所截獲，IP分組無法到達PC1。

圖 13 攻擊后PC0至PC2的ICMP報文路徑

11.對路由器Router0、Router1和Router2進行源端鑒別與完整性檢測的配置，Router0、Router1和Router2具體配置如圖14a、b、c所示，相鄰的路由器接口設置相同的密鑰。

圖 14 源端鑒別與完整性檢測配置

12.再次查看Router0的路由表，如如15所示，表項中192.1.4.0/24重新變成Router1所連接的192.1.2.0/24的網絡接口，證明加入MAC認證后，抵御了欺騙。

圖 15 Router0的路由表

三、思考與總結

1. 實驗過程中你遇到什么問題，如何解決的？通過該實驗有何收獲？

問題：

?? 在配置Router0的完整性認證和設置共享密鑰時，出行如圖16的錯誤。

圖 16 沖突錯誤

解決：

?? 此錯誤是關停OSPF錯誤，進行排查后，如圖17所示，是Router2的配置與Router0的配置沖突，修改配置后解決。

圖 17 問題原因

收獲：

通過本次實驗，我深刻理解了OSPF路由協議的配置和動態路由生成過程，并實際體驗了如何通過配置共享密鑰和使用HMAC進行身份驗證和完整性檢測來防御OSPF路由項欺騙攻擊。此外，我也學到了在網絡中加入入侵路由器并偽造路由信息對網絡通信的影響，以及如何通過安全配置來抵御此類攻擊。在配置Router0的完整性認證和設置共享密鑰時，出現了關停OSPF的錯誤。經過排查，發現是Router2的配置與Router0的配置沖突，修改配置后解決了問題。這個實驗不僅增強了我的網絡配置技能，也提高了我對網絡安全性的認識和處理能力。

???

1. 這個實驗為什么不使用RIP協議的路由消息源端鑒別功能，而使用的是OSPF協議的路由消息源端鑒別功能？

答：

在本次實驗中選擇OSPF協議而非RIP來驗證路由消息源端鑒別功能，因為OSPF提供了更為強大的安全性，支持包括MD5在內的多種認證方式，能有效防止未經授權的路由器發送偽造的路由信息，相比之下RIP的安全機制較為簡單。

實驗2. 策略路由項實驗

一、實驗目的

1. 驗證RIP生成動態路由項的過程。
2. 驗證最長前綴匹配過程。
3. 驗證靜態路由項改變IP分組傳輸路徑的過程。
4. 驗證基于安全理由規避特定路由器的過程。

二、實驗任務

1. ?使用自己的語言簡述該實驗原理。

在如圖18所示的網絡結構中，根據最短路徑原則，RIP生成的的從路由器Router1通往PC2的傳輸路徑為Router1-> Router5-> Router4->NET2->PC2。但是若不允許通往PC2的信息經過Router5，則需要再Router1中進行靜態路由配置，將通往PC2的傳輸路徑的下一跳設置為Router2，靜態路由的優先級較高，實現策略。

具體的是通過路由表的策略實現的，如圖19所示，在網絡中晚餐各個路由器的配置后，會自動生成完整的路由表一，此時的路由表由直連路由項和RIP生成的動態路由項組成，表中的類型C表示直連路由項，類型R便是RIP生成的動態路由項。在表中設置靜態路由項，用S進行表示，條目內容為IP PC2/32，表示下一跳是路由器Router2的靜態路由項，形成完整的路由表二，當接收到IP地址是PC2的IP分組時，路由表進行匹配，根據最長前綴匹配原則，IP PC2的前綴大于NET2的網絡前綴，于是按照IP PC2/32的策略進行轉發給路由器Router2.

圖 18 網絡拓撲示意圖

圖 19 Router1的路由表

1. 實驗步驟

1. 由于Router1和Router4需要三個以太網接口，但是默認狀態下只有兩個因特網接口，如圖20所示，為Router1和Router4添加一個以太網接口。

圖 20 添加以太網接口

1. 搭建如圖21所示的網絡拓撲圖。

圖 21 ?網絡拓撲圖

1. 對各個路由器進行IP地址、子網掩碼的配置，具體配置如圖22所示。

?? 圖 22 路由器IP地址、子網掩碼的配置

1. 對各個路由器進行RIP配置，使得將各個網段連接起來，具體配置過程如圖23所示。

?

?

圖 23 路由器RIP配置

1. 完成各個路由表的配置后，各路由表完成完整路由表的生成，在Router1中查看路由表，如圖23所示，通往192.1.5.0/24的傳輸路徑中，下一跳為路由器Router5的IP地址192.1.6.253。

   

圖 24 Router1路由表一

1. 對PC0、PC1和PC2進行IP地址和子網掩碼配置，具體配置如圖25所示。

圖 25 PC0、PC1和PC2的IP地址和子網掩碼配置

1. 由PC0發送ICMP報文，該報文被轉發至Router5路線，如圖26所示。

圖 26 轉發至Router5

1. 在路由器Router1中進行靜態路由配置，如圖27所示，將目的地址為192.1.5.2 /32的IP分組的下一跳設置為Router2的IP地址192.1.2.253。

圖 27 路由器Router1中靜態路由配置

1. 再次在Router1中查看路由表，如圖28所示，此時的目的地址為192.1.5.2 /32的IP分組的下一跳為Router2的IP地址192.1.2.253。

圖 28 Router1路由表二

1. 再次從PC0發送ICMP報文給PC2，此時可以觀察到該報文轉發給了路由器Router2，如圖29所示。

圖 29 PC0至PC2的ICMP報文路徑

1. 從PC0發送報文給PC1，可觀察到該報文被轉發給了路由器Router5，如圖30所示。

圖 30 PC0至PC1的ICMP報文路徑

三、思考與總結

1. 實驗過程中還遇到什么問題，如何解決的？通過該實驗有何收獲？

問題：

?? 在自己的實驗過程中并未發現問題，在同學實驗過程中，PC0向PC1發出的ICMP報文到達集線器后就停止發送。

解決：

?? 在排查了轉發表和路徑連通性后，并未發現問題。由于直接在PC0終端就顯示接收成功，猜測將PC1的地址設置成了PC0的地址，檢查后發現確實如此，修改后解決。

收獲：

?? 通過這次實驗，我深刻理解了策略路由在網絡通信中的重要性和應用。實驗模擬了如何在路由器上配置靜態和動態路由項，我如何根據特定的網絡需求調整傳輸路徑。在遇到PC0向PC1發送ICMP報文時遇到的問題，進一步加深了我對網絡配置細節的關注，如地址沖突等常見問題的排查。此外，通過實際觀察ICMP報文的轉發過程，我對最長前綴匹配原則和路由表的配置有了更加直觀的理解。