eNSP模拟实验-RIPv2的认证
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了eNSP模拟实验-RIPv2的认证相关的知识,希望对你有一定的参考价值。
参考技术A 配置协议的认证可以降低设备接受非法路由选择更新消息的可能性,也称为“验证”。非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕捉数据包。RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性,有简单和MD5密文两种验证方式。简单验证是指在认证的消息中所携带的认证口令是以明文传输的,可以通过抓包软件抓取到数据包中的密码。MD5密文验证是通过一个随意长度的明文消息和口令计算出一个128位的hash值。接受者的hash值应该和发送者的hash值相匹配。
1、按照图示配置PC和路由器的接口地址,就不阐述了。
2、在R1 R2开启rip
R1配置:
[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 192.168.10.0
[R1-rip-1]network 10.0.0.0
R2配置:
[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.20.0
[R2-rip-1]network 10.0.0.0
R3配置。之前配置的环回地址与网段中PC地址一样,可以在RIP协议中通告这两个欺骗的网段。
[R3]rip 1
[R3-rip-1]vers
[R3-rip-1]version 2
[R3-rip-1]network 192.168.10.0
[R3-rip-1]network 192.168.20.0
3、查看R1或者R2的路由表。举例R1,到192.168.20.0网段有两条等价负载均衡的路径,下一跳分别是R2 R3 ,这样会导致去往20网段的数据包有部分转发给了欺骗路由器R3。
4、配置RIPv2简单验证
为了提升网络安全性,避免发生上述攻击和路由器欺骗,可以在R1 R2上配置RIP的简单验证实现多网络的保护。R1 R2的GigabitEthernet0/0/1接口配置认证,密码位huawei,两端的密码必须一致,否则会认证失败。
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]rip authentication-mode simple huawei
等待较长时间后,再次查看路由表,R3发送的欺骗路由消失了。原因是R2 R2配置了RIP认证,要求在RIP更新报文中包含认证密码,如果密码错误或者不存在,将认为路由非法并丢弃。
在R1-GigabitEthernet0/0/1抓包,可以看到RIP报文中含有authentication字段,密码为明文的huawei。
5、配置RIPv2的MD5密文验证
上一步配置的简单验证后,可以抵御R3的路由器欺骗和攻击,但是可以抓取RIP协议中的明文密码,认证安全性很差。usual表示通用报文格式,nonstandard表示非标准报文格式,但必须两端报文格式一致。配置完成后查看路由表,R3发送的欺骗路由也不存在。
[R1-GigabitEthernet0/0/1]undo rip authentication-mode
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei
[R2-GigabitEthernet0/0/1]undo rip authentication-mode
[R2-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei
抓包发现无法看到配置的认证密码,而看得到的是128位的hash值。
在ensp上配置RIPv2的认证
原理
实验模拟
实验拓扑
测试连通性
搭建rip网络
查看路由表
R3模拟攻击首先把在自己的的ip通告网段
配置完成后查看一下路由表
可以看到已经非法获取R1R2的网段信息,那么现在我们R3可以向两个网段发送大量的ping包,导致网络拥塞,形成攻击
接下来我们配置环回接口,地址分别是192.168.10.254 192.168.20.254,并在RIP协议中通告这两个欺骗的网段
再看R1路由表的时候就发现,形成了两条负载均衡的路径,这将会导致数据包转发给欺骗路由器R3
下面我们进行RIP的验证,俩边设置密码要一样
过一会我们再看R1路由表,发现恢复正常
我们在G0/0/2抓包,可以发现包里已经有了明文密码
我们再来加强一下,设置MD5认证,查看路由表和简单密码一样
这时候我们抓包也看不到密码了
记得save
以上是关于eNSP模拟实验-RIPv2的认证的主要内容,如果未能解决你的问题,请参考以下文章