一、路由安全概述:路由协议面临的威胁、安全审计的重要性、常见攻击类型
大家好,我是老周。干网络安全这行十几年了,路由安全这块,说实话,是很多人的盲区。
很多人觉得,路由协议嘛,不就是跑个OSPF、BGP,能出啥问题?
嗯,我以前也这么想。直到有一次,我帮一个客户做内网排查,发现核心交换机上的BGP路由表里,莫名其妙多了一条指向境外IP的/0路由。你想想看,这意味着什么?整个公司的出流量,全被人悄悄劫持了。要不是发现得早,数据早就被扒光了。
从那以后,我养成了一个习惯:每接手一个新网络,第一件事就是做路由安全审计。
1.1 路由协议面临的威胁
路由协议,说白了就是网络设备之间交换路径信息的“语言”。但问题是,这种语言天生就不安全。
我给大家列几个最常见的威胁:
- 路由欺骗:攻击者伪造路由更新消息,把流量引到自己的设备上。我在项目中遇到过,有人用一台普通Linux服务器,跑了个Quagga软件,就能向核心路由器注入虚假路由。
- 路由表污染:通过注入大量无效路由,让路由器内存耗尽、CPU飙升。说白了就是“路由层面的DDoS”。
- 中间人攻击:攻击者截获并篡改路由协议报文,比如修改AS_PATH、METRIC等属性,让流量绕道。
- 重放攻击:抓取合法的路由更新包,稍加修改后重新发送,让路由器接受过时的路由信息。
⚠️ 避坑指南: 我曾经见过一个案例,某公司内部OSPF网络频繁震荡,查了三天没结果。最后发现是一台新上架的交换机,默认开启了OSPF,而且area配置错了。就这么一个小疏忽,导致全网路由表反复刷新,业务中断了整整一个下午。
1.2 安全审计的重要性
为什么要做路由安全审计?我个人的理解是:路由是网络的“交通指挥系统”,一旦出问题,整个网络都会瘫痪。
审计的核心目的有三个:
- 发现配置漏洞:比如明文传输的MD5认证、未关闭的路由协议、不合理的路由策略。
- 验证路由策略:检查路由过滤、前缀列表、AS_PATH过滤是否生效。
- 检测异常行为:比如路由表条目数量异常、路由更新频率异常、邻居关系异常。
我建议,每个季度至少做一次路由安全审计。别嫌麻烦,真出了事,代价比审计成本高得多。
1.3 常见攻击类型
这里我整理了一张表,把常见的路由攻击类型、攻击手法和影响范围列出来,方便大家对照:
| 攻击类型 | 攻击手法 | 影响范围 | 典型协议 |
|---|---|---|---|
| 路由劫持 | 伪造BGP UPDATE,宣告不属于自己的前缀 | 跨域、互联网 | BGP |
| 路由重放 | 抓取合法路由报文,重新注入网络 | 域内、域间 | OSPF、IS-IS |
| 邻居欺骗 | 伪造源IP,建立虚假邻居关系 | 域内 | OSPF、EIGRP |
| 路由震荡 | 反复撤销/宣告路由,导致路由表频繁刷新 | 全网 | BGP、OSPF |
| 黑洞路由 | 注入指向空接口的路由,导致流量丢失 | 特定网段 | 静态路由、BGP |
为什么会这样?说白了,路由协议在设计之初,更多考虑的是“连通性”和“收敛速度”,安全性是后来才补的课。像BGP的RPKI、OSPF的认证加密,都是后来打上的补丁。
1.4 路由安全知识体系
为了让大家更直观地理解路由安全的全貌,我画了一张图:
💡 核心观点: 路由安全不是某一个点的问题,而是一个体系。威胁识别是前提,安全审计是手段,攻击防御是保障。三者缺一不可。
1.5 我的实战建议
最后,给大家几个我这些年总结出来的实战建议:
- 别信默认配置:很多路由协议默认是关闭认证的。我见过太多人,设备上架后直接启用OSPF,连MD5密码都没设。这等于把家门钥匙挂在门上。
- 日志一定要开:路由协议的日志,比如邻居状态变化、路由更新记录,是排查问题的第一手资料。我曾经靠一条BGP日志,揪出了一个潜伏半年的内部攻击。
- 定期做基线对比:把正常状态下的路由表、邻居表、接口状态保存下来。一旦发现异常,对比基线就能快速定位问题。
📌 小技巧: 做路由审计时,我习惯先用脚本批量抓取所有设备的running-config,然后用diff工具对比。重点关注那些“不应该出现”的路由条目和邻居关系。效率比一台台登录看高得多。
好了,这一章的内容就到这里。路由安全是个大话题,后面我们会一步步深入。记住一句话:路由安全,防患于未然。