对于路由相信大家并不陌生,TCP/TP网络中,IP包的传输路径完全由路由表决定。那么关于路由欺骗可能有些朋友就会一头雾水了,设想若攻击者通过各种手段改变路由表,使目标主机发送的IP包到达攻击者能控制的主机或路由器,就可以完成侦听,篡改等攻击方式,这便是所谓的路由欺骗。那么路由欺骗有几种方式呢?
1.RIP路由欺骗
RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者可以声称他所控制的路由器A可以最快的到达某一站点B,从而诱使发往B的数据包由A中转。由于A受攻击者控制,攻击者可侦听、篡改数据。
RIP路由欺骗的防范措施主要有:路由器在接受新路由前应先验证其是否可达。这可以大大降低受此类攻击的概率。但是RIP的有些实现并不进行验证,使一些假路由信息也能够广泛流传。由于路由信息在网上可见,随着假路由信息在网上的传播范围扩大,它被发现的可能性也在增大。所以,对于系统管理员而言,经常检查日志文件会有助于发现此类问题。
2.IP源路由欺骗
IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。
主机A(假设IP地址是192.168.100.11)是主机B(假设IP地址为192.168.100.1)的被信任主机,主机X想冒充主机A从主机B获得某些服务。首先,攻击者修改距离X最近的路由器G2,使用到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗(把数据包的源地址改为192.168.100.11)向主机B发送带有源路由选项(指定最近的G2)的数据包。当B回送数据包时,按收到数据包的源路由选项反转使用源路由,传送到被更改过的路由器G2。由于G2路由表已被修改,收到B的数据包时,G2根据路由表把数据包发送到X所在的网络,X可在其局域网内较方便地进行侦听,收取此数据包。
防范IP源路由欺骗的好方法主要有:
1.配置好路由器,使它抛弃那些由外部网进来的、声称是内部主机的报文;
2.关闭主机和路由器上的源路由功能。
相关阅读