目录
主要命令
原理概述
实验目的
实验内容
实验拓扑
实验编址
实验步骤
1、基本配置
2、搭建RIP网络
3、模拟网络攻击
4、配置RIPv2简单验证
5、配置RIPv2 MD5密文验证
需要eNSP各种配置命令的点击链接自取:华为eNSP各种设备配置命令大全PDF版_ensp配置命令大全资源-CSDN文库
主要命令
配置简单认证
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei配置MD5密文验证
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei
原理概述
配置协议的认证可以降低设备接受非法路由选择更新消息的可能性,也可称为“验证”。非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕获数据包。RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性,有简单和MD5密文两种验证方式。
简单验证是指在认证的消息当中所携带的认证口令是以明文传输的,可以通过抓包软件抓取到数据包中的密码。
MD5密文验证是一种单向消息摘要(message digest)算法或安全散列函数(secure
hash function),由 RSA Date Security,Inc提出。有时MD5也被作为一个加密校验和( cryptographic checksum)。MD5算法是通过一个随意长度的明文消息(例如,一个RIPv2的更新消息)和口令计算出一个128位的hash 值。hash值类似“指纹”,这个“指纹”随同消息一起传送,拥有相同口令的接收者会计算它自己的 hash值,如果消息的内容没有被更改,接收者的hash值应该和消息发送者的hash值相匹配。
实验目的
1、理解配置RIPv2认证的场景和意义;
2、掌握配置RIPv2简单认证的方法;
3、掌握测试RIPv2简单验证的配置结果的方法;
4、掌握配置RIPv2 MD5密文验证的方法;
5、掌握测试RIPv2 MD5密文验证的配置结果的方法。
实验内容
本实验模拟企业网络场景。某公司有两台路由器R1与R2,各自连接着一台主机,并且R1和R2之间配置RIPv2协议学习路由条目。R3模拟作为网络中的攻击者,窃取R1与R2间的路由信息,并发布了一些虚假路由,使R1和R2的相关路由的选路指向了R3,形成了路由欺骗。为了避免遭受攻击,提高网络安全性,网络管理员将配置RIPv2认证。
实验拓扑
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
| PC1 | Ethernet 0/0/1 | 192.168.10.10 | 255.255.255.0 | 192.168.10.1 |
| PC2 | Ethernet 0/0/1 | 192.168.20.20 | 255.255.255.0 | 192.168.20.1 |
| R1(AR2220) | GE 0/0/0 | 192.168.10.1 | 255.255.255.0 | N/A |
| GE 0/0/1 | 192.168.12.1 | 255.255.255.0 | N/A | |
| R2 | GE 0/0/0 | 192.168.20.1 | 255.255.255.0 | N/A |
| GE 0/0/1 | 192.168.12.2 | 255.255.255.0 | N/A | |
| R3 | GE 0/0/0 | 192.168.12.3 | 255.255.255.0 | N/A |
| Loopback 0 | 192.168.10.1 | 255.255.255.0 | N/A | |
| Loopback 1 | 192.168.20.1 | 255.255.255.0 | N/A |
实验步骤
1、基本配置
根据实验编址进行相应的配置(R3的环回接口先不配置),使用ping命令测试直连链路之间的连通性。
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.10.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.12.1 24[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.20.1 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.12.2 24[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.12.3 24
其余直连网段的连通性测试省略。
2、搭建RIP网络
配置公司路由器R1和R2的 RIPv2协议,并添加需要通告的网段。
[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 192.168.10.0
[R1-rip-1]network 192.168.12.0[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.20.0
[R2-rip-1]network 192.168.12.0配置完成后,检查R1与R2的路由表。
可以观察到,此时双方都已经正常地获得了RIP路由条目。
3、模拟网络攻击
配置路由器R3作为攻击者,接入公司网络。在基本配置中已经将接口GE 0/0/0地址配置为192.168.12.3,与该公司路由器在同一网段,并配置RIPv2协议,通告该网段,配置完成后查看R3的路由表。
[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 192.168.12.0
观察发现R3已经非法获取了R1和R2上用户终端所在的两个网段的路由信息。此时R3就可以向两个网段发送大量的ping包,导致网络链路拥塞,形成攻击。
下面是R3模拟攻击演示,发送10万个ping包给PC-1,导致攻击发生。可以按<Ctrl+C>组合键来终止该操作。
完成上述模拟后,在 R3上分别配置两个用于欺骗的环回接口,地址分别为192.168.10.1和192.168.20.1,即与公司网络中两个用户的地址相同,并且在RIP协议中通告这两个欺骗的网段。
[R3]int loopback 0
[R3-LoopBack0]ip add 192.168.10.1 24
[R3-LoopBack0]int loopback 1
[R3-LoopBack1]ip add 192.168.20.1 24
[R3-LoopBack1]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 192.168.10.0
[R3-rip-1]network 192.168.20.0配置完成后,查看R1、R2的路由表。
可以观察到R3发过来的路由更新。因为R2和R3发送RIP更新的cost都是1跳,所以在R1的路由表中,目的为192.168.20.0网段形成了两条等价负载均衡的路径,下一跳分别是R2和R3。这样会导致去往192.168.20.0网段的数据包有部分转发给了欺骗路由器R3,R2的路由表变化和R1同理。
4、配置RIPv2简单验证
为了提升网络安全性,避免发生上述攻击和路由欺骗,网络管理员可在R1和R2上配置RIP的简单验证实现对网络的保护。
在路由器R1和R2的GE 0/0/1接口配置认证,使用简单验证方式,密码为 huawei。注意,两端的密码必须保持一致,否则会导致认证失败,从而使得RIP协议无法正常运行。
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]rip authentication-mode simple huawei
配置完成后,稍等一会儿,再次查看R1、R2的路由表。
可以观察到现在R1与R2的路由表恢复正常,R3发送的欺骗路由在路由表中消失。原因是R1和R2配置了RIP认证,就要求在RIP更新报文中包含认证密码,如果密码错误或者不存在,将认为该路由非法并丢弃。
在路由器R1的GE 0/0/1接口上抓包,如下图所示。
可以看到,此时R1与R2之间发送的RIP报文中含有authentication字段,并且密码是明文。
5、配置RIPv2 MD5密文验证
在上一步骤中,在R1和R2上配置了简单验证方式的认证后,成功地抵御了R3的路由欺骗和攻击,且主机PC-1与PC-2可以正常通信。但是通过抓包能够发现,简单验证方式下的认证安全性非常差,攻击者虽然无法直接攻击网络,但是可以通过抓取 RIP协议数据包获得明文密码,因此建议使用MD5密文验证方式进行RIPv2的认证。
在R1和R2的GE 0/0/1接口上删除上一步骤中的简单验证配置,选择使用MD5密文验证方式配置。配置时可以选择MDS密文验证方式的报文格式,usual参数表示使用通用报文格式;nonstandard参数表示使用非标准报文格式(IETF标准),但是必须保证两端的报文格式一致,这里选用通用标准格式。
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]undo rip authentication-mode
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]undo rip authentication-mode
[R2-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei配置完成后,查看R1与R2的路由表。
可以观察到R1与R2的路由表正常,R3发送的欺骗路由在路由表中消失,与配置简单验证的效果一样。
继续抓取R1的GE 0/0/1接口上的报文就会发现抓包已经无法看到配置的认证密码,而是看到一个128位的hash值,这是一种单向的散列值,难以破解。
