1. 路由协议攻击概述:攻击类型分类、攻击面分析、攻击生命周期模型
大家好,我是你们的老朋友。今天咱们聊聊路由协议攻击。说实话,这玩意儿在网络安全里属于「基础但致命」的一类。我见过太多团队,防火墙配得固若金汤,结果路由协议被人捅了个窟窿,整个网络直接裸奔。嗯,咱们先从根儿上把这事儿捋清楚。
1.1 攻击类型分类:三大流派
路由协议攻击,说白了就是冲着「路由器之间怎么交换信息」下黑手。我个人习惯把它们分成三大类,你记好这个框架,后面分析案例会轻松很多。
核心观点:路由攻击的本质,是破坏或操纵路由信息的真实性、完整性、可用性。
1.1.1 欺骗与注入类
这类攻击最直接。攻击者伪造路由更新报文,往邻居路由器里塞假路由。我在项目中遇到过一起典型的OSPF LSA注入攻击——攻击者伪造了一条指向他控制服务器的默认路由,结果全网流量都被引流过去,数据包被截获得一干二净。
- 路由欺骗:伪造源IP,发送虚假路由更新
- 路由注入:在合法邻居之间插入恶意路由条目
- 重放攻击:捕获并重放合法的路由更新报文
1.1.2 拒绝服务类
这类攻击的目标不是窃取数据,而是让网络瘫痪。你想想看,路由器CPU被路由更新报文撑爆了,整个网络不就成死局了?
- 路由表洪水:发送海量虚假路由,撑爆路由表
- 邻居状态震荡:反复建立和拆除邻居关系,消耗CPU
- BGP会话重置:伪造TCP RST包,中断BGP对等体连接
1.1.3 中间人劫持类
这是最隐蔽的一类。攻击者不直接破坏路由,而是把自己「插」到合法路径中间。我记得有一次应急响应,客户说「网络没断,但延迟忽高忽低」。查到最后,发现是有人在AS路径里插了一个自己的AS号,流量绕了大半个地球。
- 路径篡改:修改AS_PATH或Metric,改变流量走向
- 隧道劫持:在路由协议之上建立隐蔽隧道
- BGP劫持:宣布不属于自己的IP前缀,窃取流量
1.2 攻击面分析:哪里最容易被捅刀子
攻击面,说白了就是「敌人能从哪些地方下手」。我画了一张图,帮你把整个攻击面串起来。
从这张图你能看到,攻击者至少有五个切入点。我重点说说最常见的两个:
- 控制平面:这是最脆弱的。路由协议进程直接暴露在网络中,一个精心构造的BGP OPEN报文就能让路由器CPU飙到100%。我曾经处理过一个案例,攻击者就靠每秒发200个伪造的OSPF Hello包,让核心路由器的路由进程反复重启。
- 邻居关系:很多工程师觉得「只要配了MD5认证就安全了」。其实不然。我记得有一次,攻击者通过ARP欺骗截获了邻居之间的路由更新,然后原封不动地重放——MD5认证根本防不住重放攻击。
实战小贴士:我个人习惯在部署路由协议时,先问自己三个问题:1)这个协议报文能被伪造吗?2)邻居关系能被欺骗吗?3)路由表能被撑爆吗?三个问题里只要有一个答案是「能」,就得加固。
1.3 攻击生命周期模型:从侦察到收尾
搞清楚了攻击类型和攻击面,咱们再看看攻击者到底是怎么一步步得手的。我总结了一个五阶段模型,你对照着看,以后做应急响应就知道该在哪个环节掐断攻击链。
| 阶段 | 攻击者行为 | 典型手法 | 检测指标 |
|---|---|---|---|
| 1. 侦察 | 收集网络拓扑、路由协议类型、邻居信息 | 发送探测报文、分析路由表、抓包 | 异常ICMP/TTL探测、未知源地址的Hello包 |
| 2. 渗透 | 建立邻居关系或注入恶意路由 | 伪造源IP、重放认证报文、利用协议漏洞 | 邻居状态异常变化、路由表条目突增 |
| 3. 驻留 | 维持恶意路由的存活,避免被清除 | 定期发送更新、隐藏恶意路由、利用路由聚合 | 路由更新时间异常、路由优先级被篡改 |
| 4. 行动 | 窃取流量、篡改数据、发起DDoS | 流量重定向、中间人攻击、路由黑洞 | 流量路径异常、延迟抖动、丢包率上升 |
| 5. 收尾 | 清除痕迹、恢复原始路由 | 撤回恶意路由、清除日志、重置邻居 | 路由表突然恢复、邻居关系重建、日志缺失 |
这个模型我用了好多年,每次应急响应都按这个框架来排查。举个例子,有一次客户说「网络突然变慢」,我一看路由表,发现多了几条指向内网IP的默认路由——这明显是渗透阶段已经完成了。再查邻居状态,发现有个邻居的Router ID跟实际设备对不上。嗯,侦察阶段留下的尾巴。
注意:很多攻击者在「驻留」阶段会利用路由协议的收敛机制。比如OSPF的LSA老化时间默认是3600秒,攻击者只要在老化前刷新恶意LSA,就能一直赖在路由表里。我曾经见过一个案例,攻击者靠这个手法在目标网络里潜伏了整整三个月。
1.4 小结:你得记住的三件事
好了,这一章的内容差不多就这些。我帮你划个重点:
- 攻击类型就三类:欺骗注入、拒绝服务、中间人劫持。别被花里胡哨的名字搞晕了。
- 攻击面有五个:控制平面、数据平面、管理平面、邻居关系、传输层。其中控制平面和邻居关系是最容易被捅刀子的地方。
- 生命周期分五步:侦察→渗透→驻留→行动→收尾。你只要在任意一步掐断它,攻击就失败了。
我个人觉得,理解攻击生命周期比背攻击类型更重要。因为攻击类型会变,但攻击者的行为模式不会变。你只要掌握了这个模型,不管遇到什么新花样,都能快速定位到「他现在走到哪一步了」。
下一章咱们会深入具体的攻击手法,比如BGP劫持到底是怎么实现的、OSPF的LSA注入怎么防御。到时候我会拿几个真实案例出来拆解,保证让你看完就能用上。
公众号:蓝海资料掘金营,微信deep3321