Статья опубликована в рамках: Научного журнала «Студенческий» № 26(322)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): Сборник статей конференции, скачать журнал часть 2, скачать журнал часть 3
АТАКИ НА ПРОТОКОЛ OSPF V3. ТЕХНОЛОГИИ ЗАЩИТЫ
ATTACKS ON OSPF V3 PROTOCOL. SECURITY TECHNOLOGIES
Goncharova Oksana Aleksandrovna
Student, Faculty of Integrated Security of the Fuel and Energy Complex, Gubkin Russian State University of Oil and Gas (NIU),
Russia, Moscow
Osminkina Elena Andreevna
Student, Faculty of Integrated Security of the Fuel and Energy Complex, Gubkin Russian State University of Oil and Gas (NIU),
Russia, Moscow
Pavlovsky Vladimir
Scientific supervisor, teacher Faculty of Integrated Security of the Fuel and Energy Complex, Gubkin Russian State University of Oil and Gas (NIU),
Russia, Moscow
АННОТАЦИЯ
В данной статье были рассмотрены методики тестирования и защиты STP протокола. OSPFv3 (Open Shortest Path First, версия 3) — это протокол динамической маршрутизации, который является аналогом OSPFv2 для сетей IPv6. Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328 (1998 год). В современном мире роль сетевых процессов недооценивается большинством, глубина и трудность такой науки отпугивает обычных обывателей, которые не задумываются о важности этой сферы в повседневной жизни. Социальные организации, больницы, городские учреждения – все повсеместно нуждаются в тех основополагающих вещах, о которых будет речь в данной статье. Примером станет вышеупомянутый протокол OSPFv3, роль которого крайне важна в организации работ сетей всех предприятий, что подтверждает важность исследования данной проблемы. Атакb представляют собой угрозу для сетей, так как они могут привести к значительным сбоям в работе. Знание о том, как работает протокол OSPFv3, как и какими методами проводится атака, поможет будущим специалистам избежать подобных ситуаций. Это подчеркивает важность и полезность данной стать.
ABSTRACT
In this article, the methods of testing and protecting the STP protocol were considered. OSPFv3 (Open Shortest Path First, version 3) is a dynamic routing protocol that is an analog of OSPFv2 for IPv6 networks. The OSPF protocol was developed by the IETF in 1988. The latest version of the protocol is provided in RFC 2328 (1998). In the modern world, the role of network processes is underestimated by most, the depth and difficulty of such science scares off ordinary people who do not think about the importance of this area in everyday life. Social organizations, hospitals, urban institutions – all everywhere need those fundamental things that will be discussed in this article. An example would be the aforementioned OSPFv3 protocol, whose role is extremely important in organizing the networks of all enterprises, which confirms the importance of investigating this problem. Attacks pose a threat to networks, as they can lead to significant disruptions. Knowing how the OSPFv3 protocol works, how and by what methods the attack is carried out, will help future specialists avoid such situations. This highlights the importance and usefulness of this article.
Ключевые слова: OSPFv3, IPv6, Эксперимент «Тихий сброс соседа».
Keywords: OSPFv3, IPv6, experiment 'Quiet Neighbor Drop'.
В данной статье представлен комплексный анализ, включающий теоретическое исследование выбранной темы, экспериментальную часть и детальное описание полученных результатов.
Изучение атак на протокол OSPFv3 и методов защиты проводилось с использованием комплексного подхода, сочетающего лабораторные эксперименты и анализ реальных случаев эксплуатации уязвимостей.
В нашем эксперименте использовались 3 маршрутизатора (Cisco (R1), Eltex (R2) и Mikrotik (R3)) и коммутатор (Cisco(SW1)), и все поддерживали протоколы OSPFv3 и IPv6, и были настроены для участия в стандартном процессе установления соседства и обмена маршрутной информацией. PC1 выполнял роль злоумышленника и был оснащен необходимым программным обеспечением для генерации и отправки пакетов, имитирующих атаку "Тихий сброс соседа".
Ниже представлена таблица 2, в которой указаны методы для оценки эффективности атаки и её влияния на стабильность сети использовались следующие методы сбора данных:
Таблица 1
Методы оценки эффективности атаки и её влияния на стабильность сети
|
№ |
Метод |
Информация о нем |
|
1 |
Мониторинг состояния соседства OSPFv3 |
Отслеживание статуса соседних маршрутизаторов на R1, R2 и R3 с использованием команд CLI операционной системы. |
|
2 |
Анализ маршрутной информации |
Мониторинг таблиц маршрутизации IPv6 на всех маршрутизаторах (R1, R2, R3). |
|
3 |
Анализ сетевого трафика |
Захват и анализ сетевого трафика на интерфейсе PC1 (атакующего компьютера) и на интерфейсах маршрутизаторов, участвующих в соседстве, с использованием анализатора трафика Wireshark. |
Для защиты от атак на протокол OSPFv3 используются различные механизмы и лучшие практики. В таблице 3 представлены технологии защиты OSPFv3.
Таблица 2
Технологии защиты OSPFv3
|
№ |
Механизмы |
Практики |
Описание |
|
1 |
Аутентификация OSPFv3 |
IPsec Authentication Header (AH) |
Использование AH гарантирует, что пакет не был подделан и отправлен авторизованным источником. |
|
IPsec Encapsulating Security Payload (ESP) |
Помимо аутентификации, ESP может обеспечить конфиденциальность OSPFv3-трафика путем шифрования его содержимого, что предотвращает перехват и анализ маршрутной информации. |
||
|
Authentication Trailer (RFC 6506) |
Authentication Trailer добавляет специальный блок аутентификации в конец OSPFv3-пакетов |
||
|
2 |
Фильтрация и контроль соседских связей |
Пассивная маршрутизация (Passive Interface) |
В некоторых случаях следует настроить пассивный режим, чтобы предотвратить отправку и прием Hello-пакетов. |
|
Контроль диапазона IP-адресов соседей |
На некоторых платформах можно настроить списки контроля доступа (ACL) . |
||
|
Установка разумных таймеров Hello и Dead Interval |
Слишком короткие таймеры могут привести к нестабильности соседских связей, а слишком длинные могут увеличить время обнаружения сбоев. |
||
|
3 |
Защита от атак на LSA |
Фильтрация LSA |
На границах областей OSPFv3 и автономных систем можно настроить фильтры для контроля типов и содержимого распространяемых LSA, предотвращая распространение некорректной информации. |
|
Ограничение скорости генерации LSA |
Маршрутизаторы обычно имеют встроенные механизмы для предотвращения чрезмерной генерации LSA, что может быть использовано злоумышленником для DoS-атак. |
||
|
Мониторинг LSDB |
Системы мониторинга сети должны отслеживать изменения в LSDB и оповещать администраторов о подозрительных обновлениях.
|
||
|
4 |
Защита инфраструктуры маршрутизаторов |
Использование механизмов защиты от DoS |
Внедрение систем обнаружения и предотвращения вторжений (IDS/IPS) и использование функций защиты от DoS на самих маршрутизаторах. |
При выполнении эксперимента «Тихий сброс соседа», вы использовали 5 устройств, а именно: атакующий компьютер (PC1), коммутатор Cisco (SW1), маршрутизатор Cisco (R1), маршрутизатор Eltex (R2) и маршрутизатор Mikrotik (R3). Каждое из устройств подключим к коммутатору согласно топологии, указанной на рисунке1.
Рисунок 1. Схема сети
На рисунках 2-4 представлено кабельное подключение к маршрутизатору к коммутатору.
Рисунок 2. Подключение на маршрутизаторе Cisco
Рисунок 3. Подключение на маршрутизаторе Eltex
Рисунок 4. Подключение на маршрутизаторе Mikrotik
Далее мы приступили к настройке OSPF. На всех трех маршрутизаторах (Cisco, Eltex, Mikrotik) была выполнена настройка. В режиме конфигурации был создан VLAN 10, которому был присвоен IPv6 адрес и указана зона OSPF area 0. На рисунках 5 – 7 представлены команды, написанные на каждом маршрутизаторе.
Рисунок 5. Команды на маршрутизаторе Cisco
Рисунок 6. Команды на маршрутизаторе Eltex
Рисунок 7. Команды на маршрутизаторе Mikrotik
На рисунке 8 представлены команды, написанные для настройки коммутатора Cisco.
Рисунок 8. Команды на маршрутизаторе Cisco
Затем каждом маршрутизаторе был настроен интерфейс, подключенный к коммутатору Cisco, и этот интерфейс был привязан к VLAN 10.
Таким образом, была создана OSPF сеть, работающая в VLAN 10.
Так мы закончили с настройкой и далее приступили к атаке.
Атака проводится с атакующего компьютера (Kali Linux), подключенного к коммутатору Cisco. Атакующий компьютер отправляет маршрутизатору Cisco вредоносный OSPF hello-пакет, который имитирует сообщение от маршрутизатора Eltex, но с неправильным TTL (Time to live). Маршрутизатор Cisco, получив этот пакет, интерпретирует его как признак нестабильности или отказа маршрутизатора Eltex и прекращает с ним OSPF соединение. Это приводит к разрыву связи между этими двумя маршрутизаторами в OSPF сети. Цель атаки - разорвать связь между двумя конкретными устройствами.
На рисунке 9 – 10 представлен код, реализующий атаку, написанный на языке Python.
Рисунок 9. Код на PC1
Рисунок 10. Код на PC1
Подведем итоги эксперимента.
До атаки команда show ip ospf на каждом маршрутизаторе показывала наличие двух соседних маршрутизаторов в OSPF сети.
После успешной атаки, на маршрутизаторе Cisco команда show ip ospf показывает только одного соседа (маршрутизатор Mikrotik), а маршрутизатор Eltex больше не отображается.
Маршрутизатор Cisco выдает диагностическое сообщение, указывающее на обнаружение вредоносного пакета и разрыв связи с маршрутизатором Eltex.
Таким образом, атака успешно разрывает связь между маршрутизаторами Cisco и Eltex в OSPF сети.
Рисунок 11. Результат атаки
В ходе проведённого эксперимента были рассмотрены основные аспекты протокола OSPFv3, включая его роль в сетевой инфраструктуре и уязвимости. В процессе исследования, в экспериментальной среде была проведена атака, путём отправки поддельного hello-пакета, результаты и последствия атаки были описаны и продемонстрированы в данной статье. Было доказано, что при атаке OSPFv3: последствием становится потеря одного из устройств. Отметим, что протокол OSPFv3 – неотъемлемая часть сети, знания о которой должны быть у любого специалиста в области сетей и базы данных.
Список литературы:
- Воробьёв С. Защита промышленных протоколов: часть 1 / С. Воробьёв // СТА. — 2018. — № 3. — С. 22–23.
- Дудышев В. Ю. Лабораторный практикум по дисциплине "Организация, принципы построения и функционирования компьютерных сетей" / В. Ю. Дудышев. — Котовск: Тамбовское областное государственное бюджетное образовательное учреждение среднего профессионального образования "Котовский индустриальный техникум", 2015. — [Б. с.].
- Иванов Ю. Б. Сетевые атаки на уровне сетевого доступа модели TCP/IP / Ю. Б. Иванов, И. А. Чубуткин // Cifra. Информационные технологии и телекоммуникации. — 2025.
- Клаченков В. А. Анализ атак на локально-вычислительную сеть / В. А. Клаченков, О. Н. Минюк. — [Б. г.]. — [Б. м.]. — [Б. и.].
- Платунова, С. М. Ethernet switches L2&L3. Проектирование, настройка, диагностика сетей передачи данных: учебное пособие / С. М. Платунова, И. В. Елисеев, Е. Ю. Авксентьева. — СПб.: НИУ ИТМО, 2018. — 87 с.
- Семигузов Д. А. Программа вступительных испытаний на направление подготовки 09.04.01 "Информатика и вычислительная техника": Магистерская образовательная программа «Технология разработки программных систем» / Д. А. Семигузов. — Чита, 2020. — [Б. с.].
- Уймин, А. Г. Сетевое и системное администрирование. Демонстрационный экзамен КОД 1.1 : учебно-методическое пособие для СПО / А. Г. Уймин. – 3-е издание, стереотипное. – Санкт-Петербург : Издательство "Лань", 2022. – 480 с. – ISBN 978-5-8114-9255-8.
Оставить комментарий