常用动态路由协议安全性分析

1、 题 目 常用动态路由协议安全性分析 声声 明明 本人郑重声明：所呈交的毕业论文，是本人在指导教师的指导本人郑重声明：所呈交的毕业论文，是本人在指导教师的指导 下，独立进行研究所取得的成果。除文中已经注明引用的内容外，下，独立进行研究所取得的成果。除文中已经注明引用的内容外， 本论文不包含任何其他个人或集体已经发表或撰写过的科研成果，本论文不包含任何其他个人或集体已经发表或撰写过的科研成果， 也不包含为获得其他教育机构的学位或证书而使用过的材料。我承也不包含为获得其他教育机构的学位或证书而使用过的材料。我承 诺，论文中的所有内容均真实、可信。本论文的成果属于云南警官诺，论文中的所有内容均真实、

2、可信。本论文的成果属于云南警官 学院所有。学院所有。 论文（设计）作者签名论文（设计）作者签名： 李世悦李世悦 20162016 年年 6 6 月月 1515 日日 目录 第一章前言 .3 第二章路由器 .5 2.1 路由器的概念.5 2.2 路由器的作用和功能.5 第三章动态路由概述 .6 第四章 RIP OSPF BGP-4 三个协议的使用情况.9 4.1 路由信息协议 RIP.9 4.2OSPF 协议.10 4.3BGP-4 协议.11 第五章安全性分析 .14 5.1RIP 协议的安全性分析.14 5.2OSPF 协议的安全性分析.14 5.3BGP-45.3BGP-4 协议的安全性分

3、析协议的安全性分析.19 第六章总结.19 小结 .21 致谢 .22 常用动态路由协议安全性分析 计算机科学专业与技术 学生：李世悦 指导老师：王铁 【摘摘 要要】：动态路由协议的应用越来越广泛。针对路由协议的攻击在实际应用中经常发生，所以路由 协议的安全性备受关注，而在生活中，为了保护网络安全而选择适合的路由协议是非常有必要的。本 文分析了路由协议安全性原理并解析了路由协议的实际应用，以指导人们选择适合的路由协议，达到 保护网络安全的目的。 【关键字关键字】：动态路由协议，安全性，路由器 【 abstract 】 : Router;Dynamic Routing Protocol;Rout

4、er 【 key words 】 : The application of dynamic routing protocol is increasingly wider and wider. As a result, the attack on dynamic routing protocols occurs constantly, so there is much focus on the safety of this protocol. In life, it is necessary for people to chose proper protocols to protect netw

5、ork security. This paper is going to analyze the principles that secure the safety of dynamic routing protocols and the practical use of these protocols, to help people chose the proper protocols in their life and protect network security. 第一章选题原因 在二十一世纪信息已经成为重要的开发性资源，随着计算机网络的不断发展，路由 技术在网络中变为至关重要，路由

6、器也成为重要的网络设备，用户的需求推动着路由技 术的发展。所以，研究网络，解决网络发展中的重要问题是计算机科学与技术科学的重 要任务。本论文研究常用动态路由协议安全性。以直观，简洁，方便的形式展现，让人 们更好的了解网络。 近几年来，人们都在广泛运用计算机技术。计算机网络对人们的生活，工作和学习 产生着重要影响，在网络发达的时代，掌握网络，安全的使用计算机能带给人们无限的 好处。 网络时代的到来给教育带来了前景。通过研究网络技术使我们不断进步。跟上时 代发展的脚步。 第二章路由器 2.1 路由器的概念 路由器又称路径器，它是计算机网络设备的一种，它将各种各样的数据传送至目的地这个过程就 称为路

7、由。路由器就是连接两个以上各别网络的设备，路由工作是在网络层。1 路由器是连接因特网中各局域网、广域网的设备，它是根据信道的情况自动选择和设定路由，以 最佳的路径按照前后顺序发送信号。 路由器是互联网络的枢纽。目前各个行业已经广泛应用路由器， 各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务 的关键。路由器依靠转发网络层数据包来实现网络互联。路由器首先在接口上按照物理层协议得到比 特流，然后按照数据链路层协议成帧，在数据帧中得到网络层包后根据网络层地址以及路由信息来转 发数据包。发送数据包则需要根据发送端口链路层协议成帧，然后根据发送端口物理层协议将比特

8、流 流出，路由器的路由信息可以通过手工输入或者通过运行路由协议从相邻路由器获取。 图 2.1 路由器 2.2 路由器的作用和功能 2.2.12.2.1 连通不同的网络连通不同的网络 换个角度来分析，拿过滤网络流量来说，路由器的功能和交换机与网桥较相似。路 由器主要用于互联局域网和广域网、实现不同网络间的通信。而路由器与工作在网络物 理层从物理上划分网段的交换机不一样，路由器对网络进行划分主要是使用专门的软件 协议从逻辑上进行操作。例如，可以把网络划分成多个子网段的支持 IP 协议的路由器， 1 可以通过路由器的只有指向特殊 IP 地址的网络流量。对于每一个接收到的数据包，他们 的校验值都会被路

9、由器重新计算，并且写入新的物理地址。所以，使用路由器转发和过 滤数据的速度通常要慢于仅仅查看数据包物理地址的交换机。然而，就部分结构复杂的 网络来说，使用路由器可以扩大网络的整体效率。自动过滤网络广播是路由器的另外一 个显著优势。总的来说，即插即用的交换机要比在网络中添加路由器的整个安装过程要 容易很多。 2.2.2 选择信息传送的线路选择信息传送的线路 部分路由器只支持单一协议，但是大部分路由器能够支持多种协议的传输，也就是 多协议路由器。因为每一种协议都有自己单独的规则，所以降低路由器的性能的原因之 一就有在一个路由器中完成多种协议的算法。为经过路由器的每个数据帧找寻一条最佳 传输路径是路

10、由器的主要工作，并将该数据有效地传送到目的站点。所以，路由器算法 的关键在于选择最佳路径的策略。为了完成这项工作，在路由器中存在者很多数据是关 于传输路径的即路径表，它是用来供路由选择使用。子网的标志信息、网上路由器的个 数和下一个路由器的名字等内容保存在路径表中。路径表可以从以下几方面操作：1、是 由系统管理员固定设置；2、由系统动态修改；3、由路由器自动调整；4、由主机控制。 静态路径表是由系统管理员事先设置好固定的路径表，通常是在系统安装时就根据网络 的配置情况预先设定的，静态路径表不会因为未来网络结构的变化而改变。动态路径表 是路由器根据网络系统的运行情况而自动调整的路径表。依据路由选

11、择协议提供的功能， 路由器能自动学习和记忆网络运行的情况。 第三章动态路由概述 把数据从一个地方传送到另外一个地方的这个过程称为路由。动态路由是指网络中的 路由器相互之间的通信，传递路由信息和利用收到的路由信息然后再更新路由表的过程 。这个过程它能够快速，准确地适应网络结构的变化。动态路由要基于某种路由协议实 现。假如路由更新信息一旦表明发生了相关的网络变化，路由选择软件就会重新计算路 由，并且随之发出新的路由更新信息。这些信息就会通过各个网络使得各路由器重新启 动其路由算法，然后更新各自的路由表。动态地反映网络拓扑变化。网络规模大、网络 拓扑复杂的网络比较合适使用动态路由。各种各样的动态路由

12、协议会对网络带宽和 CPU 资源产生不同程度的占用。可以自动建立自己路由表并且能够依据实际情况的变化适当 地进行整改的即动态路由。动态路由器上的路由表项交换彼此的信息是通过路由器之间 的相互连接进行的，接下来按照一定的算法优化出来；为了应对反复变化的网络，路由 信息必须在时间间隙里不断更新、变化，以此来随时获得最佳的寻路效果。 常用的动态路由协议有 RIP,OSPF,BGP。RIP，OSPF 运行在自治系统内称为域内路由协 议。而 BGP 路由协议运行在自治系统间 第四章 RIP OSPF BGP-4 三个协议使用情况 4.1 路由信息协议 RIP 4.1.1 路由信息协议概述 路由信息协议（

13、RIP）是一种内部网关协议。它是一种最著名，历史最悠久的内部网关 协议动态路由协议。并且还属于距离向量协议。路由信息协议是由施乐公司在 PUB 和 XNS 路由协议基础上发展而来的。路由信息协议最早就是由施乐研究出来的。后来因 为加州大学在许多局域网上采用了 RIP 协议，路由信息协议在 UNIX 上也得到了普遍实 现。这样一来就推动了路由信息的广泛应用。对路由信息的推广起到了非常大的促进作 用。虽然路由信息协议最早为局域网设计，但是现在路由信息协议已经被应用到城域网 甚至广域网中。所以说现在路由信息协议的应用范围已经不仅仅局限在局域网，路由信 息协议是因特网协议的重要组成部分，它是一种简单的

14、路由协议。并且在英特网中最早 得到了广泛的应用。路由信息协议是链路状态的路由议，它被设计为用于单一自治系统 的内部。而每一个路由器都维护一个描述自治系统拓扑的相同数据库。而最短路径树计 算路由的方法就是路由器根据上述描述拓扑的数据库构造。 路由信息协议在 1986 年被 IETE 标准化为 RFC1058。该协议是开放标准，适用于小网 络内部网关协议。 4.1.2 路由信息协议 RIP 工作原理 运行路由信息协议的路由器定期的将路由表发送给相邻的路由器，路由器在收到相邻 路由器发送的路由表之后就将每个路由的距离加 1 然后和自身路由表中的信息进行对比， 如果得到的距离大于和等于自身路由表中路由

15、的距离则忽略收到的路由最后再刷新该路 由条目，如果得到的距离小于自身路由表中路由的距离或者自身路由表中没有所比较的 路由的话就将收到的路由信息写入路由表，距离为原距离增加 1 且下一跳为发送该路由 信息的路由器，当距离为 16 时认为路由不可达，运行 RIP 的网络规模有限，路径最长距 离为 15.路由器定期清除长时间未刷新过的路由条目以防止某路由器死机后产生的路由黑 洞。网络中所有运行 RIP 的路由器不了解整个网络中的拓扑结构，简单的相信能从某一 个相邻路由器然后经过某一个特定距离能够到达目标网络。 4.2OSPF 协议 4.2.1OSPF 协议概述 OSPF 是一个内部网关协议，它是对链

16、路状态路由协议的一种实现运作于自治系统的 内部。随着当今科学技术的快速进步和网络规模的不断壮大，距离向量协议的各种缺陷 随之凸显。所以进行了链路状态协议的尝试，链路就是指路由器之间的链接，而状态就 是指路由器之间连接的时延，可用性和带宽等属性。和其它大多数路由协议不同的是 OSPF 协议不依赖于传输层协议提供数据传输，错误检查和恢复服务，数据包直接封装在 网关协议内传输。OSPF 最初是在 RFC1131 中被规范，之后很快的就被 RFC1247 替代 了，RFC2178 和 RFC2328 制定出来了之后，OSPF 也得到了进一步的完善，目前 RFC2328 是被广泛实现的最新版本。 OSP

17、F 协议被设计使用在单一的自治系统内部，它是链路状态的路由协议。描述自治 系统拓扑的相同数据库都被每一个路由器来维护；OSPF 不能被用作为其它协议的路由。 OSPF 协议专门为 IP 所设计。OSPF 协议使用 IP 数据包头中的 IP 地址来计算路径。另 外 OSPF 消息不需要 UDP 或 TCP 等传输层协议承载，都直接在 IP 包中直接发送。相同 开销的多条路径可以得到 OSPF 的支持，同时 OSPF 也支持将自治系统划分区域通过分 层管理来减少路由协议带宽开销，此外 OSPF 协议还支持认证。 4.2.2OSPF 协议主要优点协议主要优点 1、OSPF 是真正的 LOOP- FR

18、EE 路由协议。源自其算法链路状态及最短路径树算法 的优点。 2、OSPF 的收敛速度快，它将路由变化传递到整个自治系统的所用时间非常短。 3、由于区域划分概念的提出。自治系统被划分为不同区域后，通过区域之间对路由 信息的摘要，从而减少了需传递的路由信息数量。同时也保证了路由信息不会因为网络 规模的扩大而产生急剧膨胀。 4、由于 NSSA 区域的概念被提出，从而使得 NSSA 区域内不再传播引入的 ASE 路 由。 5、在区域边界路由器（ABR）上支持路由聚合，能够大大减少了区域间的路由信息 传递。 6、OSPF 通过严格的划分得出了路由的四个级别，为路由选择提供了可信的保障。 7、OSPF

19、支持基于接口的明文及 MD5 的验证，它具有良好的安全性。 8、OSPF 能够适应于各种各样规模的网络，最多甚至可以达到数千台。 4.3BGP-4 协议 4.3.1BGP-4 协议概述 BGP 是运行在自治系统之间的路由协议，自治系统内部的路由选择由域内路由协议决 定，自治系统之间以自治系统为单位路径的路径则由 BGP 决定，BGP 运行在 TCP 之上， 这一点与 OSPF,ISIS,RIP 都不同。BGP 由外部网关协议发展而来 BGP 在 1989 年标准化成 BGP-1，到 1993 年定型称为 BGP-4.BGP-4 是目前最广泛 使用的 BGP 版本。能够设计处理因特网的大小的协议

20、只有 BGP 一种协议。同时 BGP 协 议也是唯一一种能够妥善处理好非路由主机多路连接的协议。这个过程是通过 EGP 来 实现的。和其他的 BGP 系统交换网络可达信息是 BGP 交互系统最主要的功能。可达信 息经过的自治系统（AS）清单上的信息能够有效地构造 AS 互联的图像并由此清除路由 环路，同时在 AS 级别上实施了策略决策。 BGP-4 为支持无类域间路由提供了一套新的机制。支持网络前缀的广播、取消 BGP 网络中“类”的概念都属于这些机制。同时 BGP-4 还引入机制支持路由聚合，包括 AS 路 径的聚合。这些改变为建议的超网方案提供了支持。 第五章安全性分析 5.1RIP 协议

21、安全性分析 网络中路由器之间的相互通信、传递路由信息和利用收到的路由信息更新路由表的过 程就称之为动态路由协议。动态路由协议它是一个过程。它能够及时的适应网络结构的 变化。常用的动态路由协议主要有：RIP V2 协议、OSPF 协议、BGP 协议。 5.1.1RIP 协议的优缺点： RIP 协议最合适用于小规模网络，它配置简单。RIP 协议的 缺点包括: 1 大量广播：RIP 每隔 30 秒就会向所有邻居广播一次完整的路由表,这样一来就会占 用宝贵的带宽资源,如果广域网链路较慢就会出现很多问题 2RIP 缺乏成本概念：网络延迟和链路成本的概念在 RIP 中没有体现当采用 RIP 时,路 由/转

22、发只是由跳线决定,所以往往很容易导致无法选择出最佳路由例如,一条链路拥有较 高的带宽,但是由于跳数较多,从而导致难以选择 3RIP 支持的网络规模有限:RIP 只能适用于规模较少的网络因为 RIP 协议最多只能支 持 16 个步跳,一旦超过 16 个步跳时,网络将认为无法到达。 5.1.2RIP V2 的应用 RIP 协议有着简单、可靠，便于配置的优点。它是一种使用广泛的内部网关协议。不足 的是 RIP 只适用于小型的同构网络，其它的网络就不能适用。由于 RIP 协议允许的最大 站点数是 15，所以只要超过 15 个站点的目的地都不会被标记。造成网络的广播风暴的主 要原因之一也就是每隔 30

23、秒一次的路由信息广播。 5.1.3RIP V2 的安全性分析 RIP V2 协议模拟攻击过程：由于 RIP 协议是通过 UDP 协议固定端口 520- vrouter.ip.address.2 来扫描 520 端口，从而来确认该网络是否使用 RIP 协议，然后通过 sniffer 来嗅探路由更新包，然后可以篡改路由更新包从而改变路由信息，这样就可以让原 先的路由协议失效。RIP V2 和 RIP V1 都是使用 UDP 协议进行传输，UDP 协议不可靠。 但 RIPV2 提供两种认证机制。一种是明文认证机制另一种是密文认证机制。明文机制和 密文机制相比较由于明文机制更容易被嗅探到，所以通常采用

24、密文加密。RIP 协议加密是 采用通用的 MD5 认证，加密的同时使用的是 RFC1723 标准的报文格式。 RIP 密文认证过程：R1 能接受 R2 发送过来的路由，否则就不能接受 R2 发送过来的路 由。RIP 的认证是单向的，由于 RIP 密文认证过程发送的报文都是经过 MD5 加密，因此 不会被破解，从而起到了保护作用，而那些由于没有认证过的路由器发送过来的路由信 息就会被丢弃掉，这样就可以防止路由信息通过被篡改过的报文而被更新。而且所有起 用 RIP 协议的路由器必须配置相同的密码才能进行路由更新，这样使路由器起用 RIP 协 议时避免受到攻击。 5.2OSPF 协议的安全性分析 5

25、.2.1 OSPF 协议的应用： OSPF 是当前应用最广泛的内部网关路由协议（Interior Gateway Protocol，IGP）， 主要提供自治系统（Autonomous System，AS）内的动态选择路由。OSPF 的三个内建安全 机制对于 OSPF 协议的安全运行是极其重要的。以下是 OSPF 的三个内建安全机制： 1 可靠泛洪和 OSPF 自反击：OSPF 通过泛洪来进行链路状态通告的传播，通过一种类似 TCP 的确认重传机制 OSPF 保证所进行的泛洪是可靠的，可靠泛洪机制确保同一区域内的 路由器有同样的拓扑数据库。OSPF 自反击是一种防止攻击 OSPF 的有效机制，它

26、将使攻击 者费尽心机伪造的 LSA 很难真正达到被其它路由器利用从而影响路由选择的实效。 2 层次路由和信息隐藏：层次路由机制的设计是为了解决路由的可扩展性问题，即减 少路由表大小、带宽、路由计算的资源，增强稳定性等等，使 OSPF 更安全。OSPF 通过将 区域划分为骨干区和非骨干区的方式使得 OSPF 成为一个基于两个层次的路由协议在进行 通告的时候，可以设置相应的策略不通告或只通告汇聚的路由信息等方式隐藏要被通告 的区域中的某些重要的信息。 3 程序性检验及约束：OSPF 报文的接收要经过严格的检验过程，分三个阶段：IP 头、 OSPF 协议包头和 OSPF 具体协议报文头的检验。OSP

27、F 报文的这种常规性检验是必要的， 它可以减少协议运行的错误，并增加了攻击的难度。 5.2.2 OSPF 安全性分析： OSPF 整个运行机制相对比较复杂，其运行过程中的很多环节都有可能被攻击者开发为 对 OSPF 的攻击，造成不同程度的危害，主要以下 3 种攻击方式： 1 利用 Hello 报文的攻击：OSPF 路由器定期向外发送 Hello 报文，用以发现邻居和维 护邻接节点关系。Hello 报文中的区域 ID、Hello 间隔等参数错误，会使该 Hello 报文被 邻居路由器丢弃，造成邻居 Down，直接在链路上阻绝 Hello 报文当然也可以造成这种危 害。如果 OSPF 没有进行加密

28、或者攻击者攻破了 OSPF 的验证体系，攻击者就可以修改报 文中的某些参数来达到攻击的效果。 2 利用 Update 报文的攻击：为修改 LSA 参数，使 OSPF 朝着利于攻击者的方向运转， 攻击者必须能成功的注入虚假 LSA。因此攻击者必须能够侵入或者假扮成一个 OSPF 路由 器来和其它的路由器达到 Exchange 或者更高的状态，以使两者间可以传送 LSA，而且此 时攻击者显然必须至少占有一条链路的密钥或者该链路根本就不需要验证。然后，攻击 者就可以通过注入虚假 LSA 来达到攻击的目的了，例如不间断的发送大量 Maxage 的 LSA 进行 Maxage 攻击等，这些攻击方式都很可

29、能造成 OSPF 路由域的混乱。攻击者还可以通 过修改 LSA 的花费、链路描述等信息来诱使 OSPF 路由器计算出错误的路由，导致信息被 传送至不安全的网络。 3 资源消耗攻击：通过不间断的大量发送各种类型的 OSPF 报文，很可能造成被攻击实 体的资源耗竭，而无法正常工作。例如向 OSPF 的邻居发送包含过长邻居列表的超大 Hello 报文，邻居路由器将需为邻居列表上的每个邻居创建邻居结构，而消耗大量的资源， 使资源枯竭。 OSPF 路由协议并不足够安全，因此建议对 OSPF 采用积极的主动防护和检测机制来保证 其安全。 1 验证： 验证是 OSPF 保护的第一环，因此对 OSPF 路由域

30、内的所有 OSPF 路由器都采用有效的加 密认证机制是非常必要的，尽管我们仍需开发更安全有效的加密认证机制。 2 入侵检测系统： 设计适当的入侵检测系统也是很有帮助的，它可以帮助发现很多针对 OSPF 的攻击为对 OSPF 的攻击往往会因为 OSPF 的自反击机制在路由域中产生很多的冲突信息。 首先是路由器层面，我们需保证操作系统的安全，路由器上其它所有协议的安全，路 由器的物理安全等。 其次是路由域层面，这需要考虑所有边缘接入实体和所有链路的安全。 最后我们要强调的是人的层面，应更多地对网络进行监控和取证，积极立法，保护网 络安全运行。 5.2.3OSPF 协议主要缺点如下: OSPF 配置

31、相对复杂由于网络区域划分和网络属性的复杂性,需要网络分析员有较高的 网络知识水平才能配置和管理 OSPF 网络路由负载均衡能力较弱OSPF 虽然能根据接口的 速率连接可靠性等信息,自动生成接口路由优先级,但在通往同一目的的不同优先级路由 中,OSPF 只选择优先级较高的转发,不同优先级的路由中,不能实现负载分担只有相同优 先级的,才能达到负载均衡的目的,不像 EIGRP 那样可以根据优先级不同,自动匹配流量 5.3BGP-4 协议的安全性分析 5.3.1BGP 协议的应用： 在 BGP 网络中，可以将一根网络分成多个自治系统。自治系统间使用 eBGP 广播路由， 自制系统内使用 iBGP 在自

32、己的网络内广播路由。BGP 的作用主要是在自治系统间自动交 换无环路的路由信息，通过交换带有自治系统号（AS）序列属性的路径可达信息，来构 造自治区域的拓扑图，从而消除路由环路并且实施用户配置的路由策略。 5.3.2BGP 协议的安全性分析： Internet 由多个互相连接的商业网络组成。每个企业网络或 ISP 必须定义一个自治系 统号（ASN）。这些系统号由 IANA 分配。共有 65535 个可用的自治系统号，其中 65512- 65535 为私用保留。当共享路由信息时，这个号码也允许以层的方式进行维护。BGP 使用 可靠的会话管理，TCP 中的 179 端口用于触发 update 和

33、Keepalive 信息到它的邻居，以 传播和更新 BGP 路由表。但是，由于 BGP 使用了 TCP 的传输方式，它就会使 BGP 引起不 少关于 TCP 方面的问题，如 SYN Flood 攻击，序列号预测，一般拒绝服务攻击等。BGP 没 有使用它们自身的序列而依靠 TCP 的序列号来代替，因此，如果设备采用了可预测序列 号方案的话，就存在这种类型的攻击。幸好，运行在 Internet 上大部分重要的路由器使 用了 Cisco 设备，而其是没有使用预测序列号方案。部分 BGP 的实现默认情况下没有使 用任何的认证机制，而有些可能存在和 RIP 同样问题的就是使用了明文密码，将导致被 攻击的

34、可能性增大。 BGP 协议在实际应用中还会受到类似 OSPF 协议一样的伪造报文攻击等，但 BGP 协议一般 都是应用在核心网的出口并且配置密码认证，BGP 协议的认证只有密文认证，安全性相对 较好。 由于 BGP 使用了 TCP 的传输方式，它就会使 BGP 引起不少关于 TCP 方面的问题，如 很普遍的 SYN Flood 攻击，序列号预测，一般拒绝服务攻击等。BGP 没有使用它们自身的 序列而依靠 TCP 的序列号来代替，因此，如果设备采用了可预测序列号方案的话，就存 在这种类型的攻击，幸好的是，运行在 Internet 上大部分重要的路由器使用了 Cisco 设 备，而其是没有使用可预测序列号方案。部分 BGP 的实现默认情况下没有使用任何的认 证机制，而有些可能存在和 RIP 同样的问题就是使用了明文密码。这样假如认证方案不 够强壮的话，攻击者发送 UPDATE 信息来修改路由表的远程攻击的机会就会增加许多，导 致进一步的破坏扩大。 BGP 也可以传播伪造的路由信息，如果攻击者能够从一协议如 RIP 中修改或者插入路 由信息并由 BGP 重新分配。这个缺陷是存在与信任模块中而不是其 BGP 路由协议本身。 另外 BGP 的 community 配置也会有某些类型的攻击，原因是 community