福建信息技术职业学院-OSPF路由协议的研究.doc

OSPF路由协议的研究 张尚韬（福建信息职业技术学院 福州，350003）摘 要：目前路由器在网络上扮演着越来越重要的角色，而在大型的网络中链路状态路由协议被广泛使用。OSPF路由协议又被称为开放式最短路径优先路由协议，它是典型的链路状态路由协议。OSPF路由协议就是利用其它路由器传送过来的链路状态来建立路由表的。本文重点讨论OSPF路由协议，具体包括：路由器怎样根据OSPF路由协议来学习路由拓扑图和路由表以及OSPF路由协议安全性的研究。关键词：OSPF；路由；LSA；安全1 OSPF路由协议OSPF是一种路由更新方式的路由协议，它会根据三种不同的方式来建立整个网络的拓扑图，以便建立路由器所需要的路由表。此三种不同的方式依次为：1.1 相邻关系的建立：一个启用OSPF路由协议的路由器会定时的发送所谓的Hello数据包，用来发现与它相邻的路由器。而这种Hello数据包主要包含了三个栏目：Hello interval：用来说明它送Hello数据包的频率；Router dead interval：用来指定路由器无法使用的时间；Neighbor list：用来描述路由器已经知道邻居路由器的列表。当路由器之间利用Hello数据包建立了彼此之间相邻的关系后，他们会进行彼此之间资料库内容的交换，这样能让彼此之间的资料库同步，资料这样才能相同。1.2 通过LSA（链路状态通告）来实现信息分享的功能：一个具有OSPF路由协议的路由器会根据当时与它相邻的路由器连线情况发出所谓的LSA，以期能告诉它的路由器关于此项信息。而收到LSA的路由器会再将其丢到网络中去，来让其他的路由器也有机会能知道此项信息。1.3 最短路径的计算：一个路由器收到它所需要的数据时，便开始利用Dijkstrk算法来计算得到从它自己到达所有路由器的一个最短路径树。如此，它就可以用此最短路径树来建立所需要的路由表，以便能将资料往正确的路径发出。为了减少路由器在运行过程中传送流量、平衡数据的负担以及减少网络拓扑结构信息库的大小，OSPF路由协议选择了两种阶层的路由架构。第一种为区域路由架构，第二种为骨干路由架构。这两种架构都存在于网络的同一自治系统。而在OSPF系统中所谓的区域是一群网络、设备、路由器的集合，每一个区域都维持自己区域的连接状态。区域内部的路由器并不知道区域外部的网络拓扑，相对的区域外部的路由器也不知道区域内部的网络拓扑。这样的机制不仅仅减少选择路由时所需的传送流量、平衡数据的负担，以及减少网络拓扑结构信息库的大小，更能将网络架构受到的攻击限制在一个区域内的路由器上，而不会影响其他区域路由器的运行。所谓的骨干也可能是一群网络、设备、路由器的集合，但是骨干还具有帮助自治系统内其他区域路由器将数据包传送给另一个区域或另一个自治系统的功能。2 OSPF路由协议封装数据包的型态OSPF路由协议定义了5种包封装的型态。Hello封装数据包用来维护相连路由器的关系与找寻相邻的路由器。Datebase Description 用来让两个路由器的网络拓扑数据库的的数据同步。Link State Request 封装数据包是当两个路由器拓扑结构数据库同步后，仍然有一些数据无法得知时，则运用此封装数据包要求得到这些数据。Link State Update是用来发送更新的LSA信息给其他路由器。Link State Acknowledge 是当路由器收到更新的LSA后回应给产生LSA更新的路由器。3 链路状态通告（LSA）安全方面的考虑 一个OSPF的Link State Update 封装数据包通常包含了一个或多个的LSA来描述网络上的一条或多条连接情况。LSA的表头主要有8部分，其表头如图一，为提高OSPF网络的安全性，我们将对其中两个可能遭受攻击的位进行说明。（图1）LSA的Age位：该位用来指示该LSA经过多长时间或是该LSA要被删除了。产生该LSA的路由器，会将Age位设置为“0”。而每当经过一个路由器时，该路由器会将LSA的Age位加“1”后再往其他路由器发送。LSA的Age位会一直增加到一个最大值3600，此时收到LSA的Age位为最大值的路由器会根据收到的LSA将LSA从路由器自己的网络拓扑数据库中移除掉。因此，路由器若想把某个由自己产生的LSA从自己的数据库与其他在相同区域的路由器数据库移除的话，只要送出一个一小时最大值的LSA即可以将该LSA从区域中的所有路由器数据库中移除掉。而这样的行为即可以保持区域内所有路由器的数据库一致性的特质。 LSA的Sequence Number 位：这是当一个路由器收到多份相同的LSA时，可用来判断哪一个LSA是比较新的版本。LSA的Sequence Number 位的最小值为0x80000001，最大值为0x7FFFFFFF。而0x80000000这个值由OSPF保留起来。当路由器产生一个比较新的LSA 时，会根据之前产生的相同的LSA的Sequence Number 再加一。这样一来当一个路由器收到多份相同的LSA 时，可利用Sequence Number 的值来判断哪个LSA 是比较新的版本。而当Sequence Number 的值到达最大值0x7FFFFFFF时，产生该LSA的路由器若想再继续产生新的LSA时，会先针对该LSA发出Max Age的LSA ，来让区域内所有的路由器先消除该LSA ，之后再由最小值开始发出新的LSA。4 OSPF的安全性OSPF具备了两种主要安全性。第一种为Flooding与信息最小相依性，第二种为分层式的路由方法和信息隐藏。因为Flooding可以确保在同一区域的路由器所保存的网络拓扑结构数据库是一致的。假设一个路由器坏了或是一个攻击者假造、更改其他路由器的LSA所携带的相关信息，当原来产生该LSA的路由器也收到该项被更改或者假造的LSA时，它会发出一个新的LSA来更正该项错误。这就是OSPF所谓的Fight-Back的功能。而信息最小相依性是指所有的信息都是由原来路由器产生的原来的信息，并不是使用由邻居的路由器所提供给它的信息。例如：RIP路由协议是利用邻居的路由器所提供的信息来得到其他路由器的信息。这样的方式主要有两种隐忧，一是这样的方式很难去验证它所得到的信息是否正确；二是这样的方式即使路由器知道它所得到的信息是不正确的，仍然没有办法去判断到底是哪一个路由器更改了这项信息。因此，OSPF所使用的网络拓扑数据便是由原来路由器产生的原来的信息。这种方式有两个主要的好处，一是只要路由器旁边的相邻路由器有一个是好的，它就能得到所有网络架构的网络拓扑，也能够将自己的信息传给其它的路由器；二是这样的方式可提供路由器之间加上认证码来验证它所收到的信息是否由原来的路由器送出。分层式的路由方法是指如之前提到的OSPF分为区域与骨干两种层次。因此OSPF的路由方式即分为两种，一是区域内部的路由方式，二是区域间的路由方式。而区域连上骨干区域的方式是利用所谓的区域边界路由器来完成连接的，也因此可以由三种方向来考虑OSPF分层式路由方式所提供信息的隐藏与安全。4.1对于区域内部的路由器而言：由于区域内部的路由器所发出的LSA只会在区域内部中传送，因此，区域内部的网络拓扑信息并不会传送到外面去。相对的外部区域的网络拓扑信息也不会传送到内部来。所以当一个区域网络遭受到攻击时并不会影响到其他区域。4.2对区域边界路由器而言：若一个区域只有一个区域边界路由器负责对外界沟通时，那个区域内部的路由器只能完全接受区域边界路由器。因此，若该区域边界路由器对区域内传送错误信息，区域内部的路由器只能接受，而若区域边界路由器对区域外传诵区域内的错误信息，区域外的路由器也不知道。但是真正受到影响的区域仍是维持在一个区域中。若一个区域有多个区域边界路由器负责对外界沟通时，则区域边界路由器所传送到内部的信息与传送到外部的信息就能够被侦测出冲突的情形发生。因而，可以侦测出哪一个路由器发生问题。4.3对自治系统边界路由器而言：OSPF利用自治系统边界路由器来接收从外部输入的路由信息，并将此路由信息传送到自治系统中。对于安全性而言，自治系统边界路由器是一个安全上的漏洞。因为，自治系统边界路由器并没有办法去辨别由其他自治系统所送过来的路由信息是否正确。若当一个攻击者一直传送一些垃圾般的路由信息给自治系统边界路由器时，自治系统边界路由器只能全盘接受。此时很可能会造成自治系统边界路由器数据溢出（Database Overflow）的问题。而我们只能利用一些对Database Overflow的攻击来进行保护措施。虽然OSPF会有这样的攻击漏洞，但是这样的攻击并不会影响到自治系统内部的传输流量。所以，OSPF对于自治系统内的保护仍有很大的帮助。而且，目前已有针对自治系统之间的路由协议（如：BGP），发展出一种安全认证的机制来保护自治系统传输路由信息的安全性。5 结束语以上文章是针对OSPF路由协议做出的研究，其中也涉及到OSPF安全方面的内容，OSPF的即时更新链路状态通告（L