配置协议的认证有很多的好处!例如:可以降低设备接受非法路由选择更新消息的可靠性,非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕获数据包。**RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性,其方式有两种:简单认证、MD5密文认证方式。
**简单认证:**指在认证的消息中携带的认证口令是以明文传输的,可以通过抓包软件抓取到数据包中的密码。
**MD5密文验证:**是一种单向消息摘要算法或安全散列函数,由RSA Date Security,Inc提出。有时MD5会被作为一个加密校验和。MD5算法是一个通过一个随意长度的明文消息和口令计算出一个128为的Hash值。Hash值会随着消息一同传送,拥有相同口令的接收者会计算它自己的Hash值,如果消息的内容没有被更改,接收者的hash值应该和消息发送者的hash值相匹配。
拓扑图
实验操作
1.基本配置
AR1先不配置,先将其他的配置好。
AR2的配置如下:
<Huawei>sys
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.0.12.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.10.1 24
[Huawei-GigabitEthernet0/0/1]rip
[Huawei-rip-1]version 2 //采用rip2版本,默认是rip1
//虽然子网掩码是24位,但是这个地址还是A类地址,因此网络号仍然为10.0.0.0
[Huawei-rip-1]network 10.0.0.0
[Huawei-rip-1]network 192.168.10.0
AR3的配置如下:
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.0.12.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.20.1 24
[Huawei-GigabitEthernet0/0/1]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]network 10.0.0.0
[Huawei-rip-1]network 192.168.20.0
PC1:
PC2:
2. 搭建RIP网络
AR2和AR3的路由表如下所示:
可以看出,现在的路由表都是正确的。
3.模拟网络攻击
对AR1的配置如下:
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.0.12.3 24
[Huawei-GigabitEthernet0/0/0]int l0
[Huawei-LoopBack0]ip add 192.168.10.1 24
[Huawei-LoopBack0]int l1
[Huawei-LoopBack1]ip add 192.168.20.1 24
[Huawei-LoopBack1]quit
[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]network 10.0.0.0
[Huawei-rip-1]network 192.168.10.0
[Huawei-rip-1]network 192.168.20.0
配置完以后,
可以看出AR2和AR3的路由表中在去往相邻网络的路径中多了一条错误的路径。
4.配置RIP2的简单验证
现在在路由器AR2和AR3上的GE0/0/0接口配置认证(注意接口),使用简单的验证方式,密码设为123456(可自定义)。命令为 rip authentication-mode simple ********* 。**注意:两端的密码必须保持一致,否则会导致该认证失败,使得RIP协议无法正常的运行。
在AR2中:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]rip authentication-mode simple 123456
在AR3中:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]rip authentication-mode simple 123456
过一段时间以后,路由表如下:
可以看出,路由表已经恢复正常。因为AR2和AR3上配置RIP认证,就要求在RIP更新报文中包含认证密码,若密码错误或者不存在,就会认为这个路由时非法的将其丢弃。
再看看对AR2的GE0/0/0接口上的抓包情况:
此时的AR2与AR3之间发送的RIP报文中包含了authentication字段,而且它的密码是明文的123456。
5.配置RIP2的MD5密文验证
简单的验证方式下的认证的安全性是非常差的,攻击者虽然无法直接攻击网络,但是可以通过抓取RIP协议数据包来获得明文密码,所以我们可以使用MD5 密文验证的方式来进行RIPv2的认证。
在AR2和AR3上的GE0/0/0接口上使用undo rip authentication-mode命令,删除上一步中的简单验证的配置,选择使用MD5密文验证方式来配置。配置的时候可以选用MD5密文验证的方式的报文格式,usual参数:表示使用通用报文格式;nonstandard参数:表示使用非标准报文格式(IETF标准),但是必须保证两端的报文格式相一致。
AR2配置如下:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]undo rip authentication-mode
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual huawei
AR3配置如下:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]undo rip authentication-mode
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual huawei
对AR2的GE0/0/0抓包情况如下:
可以看出没有显示密码内容。