网络工程师教程
跟慌老湿学网络技术

抓包分析OSPF路由协议明文和密文认证的工作机制

OSPF路由协议有明文和密文两种认证方案,本篇着重讲一下路由协议这两种认证的区别。

如果你是初学者,还无法区分认证和加密,那你可以先了解一下认证与加密的区别

 

为什么需要对路由协议做认证

先来看看下面一个工作场景:

OSPF认证

OSPF认证

  • 你管理你们公司一台路由器,它在北京;
  • 你们天津分公司也有一台路由器,由天津的网络工程师维护;
  • 两个公司要连起来运行OSPF路由协议互通,公司决定拉一条4M专线互联北京和天津公司;
  • 你心里没底,你不知道专线另一端是不是天津的一台合法的设备;
  • 于是你打了一个电话给天津的网络工程师,跟他沟通了一下,决定启用OSPF认证,这样的话,两边的认证一致,就可以正常的发送和接收路由。如果两边认证不一样,就不是合法设备,就无法处理路由。

所以对路由协议做认证的目的,就是确保路由传到了一台合法的设备上,这两台设备上应该都要有相同的认证账号、密码才能通过认证。

 

明文认证与密文认证的区别

基本所有的路由协议默认都没有做认证,如果一台OSPF路由器对端连了一台非法的设备,它配置在同一个网段,启用相同的OSPF区域,是可以很容易破坏现有路由网络的。

下面是OSPF没有做认证时的抓包截图:

可以看到抓包中Auth Data中数据都是0,意思就是没有密码。

OSPF没有启用认证的Hello包

OSPF没有启用认证的Hello包

 

OSPF明文认证

OSPF明文认证是一种传输密码原文的认证方案,它会在OSPF的LSA头部中将Authentication Type字段设置为1,在Authentication Data字段加入认证的密码,然后传输出去。

明文认证是没办法避免中间人攻击的,这个密码在传输的过程中如果被其他人抓包,解码出来后是可以很方便看到里面的密码的,因为密码是明文的。

OSPF明文认证的过程:

  • Router A:你好,我的认证密码是bossfang
  • Router B:我看看,对~我的认证密码也是bossfang
  • 通过认证

OSPF明文认证抓包截图:

可以看到Auth Data中数据是bossfang,这个就是设置的明文密码意思就是没有密码。

OSPF启用明文认证的Hello包

OSPF启用明文认证的Hello包

 

OSPF密文认证

OSPF密文认证是一种更安全的方式,它能有效防止中间人攻击,因为它不会直接传输原始密码,而是会先对密码文件使用md5算法做一下hash处理,再将hash值发给对方。

OSPF密文认证会将OSPF的LSA头部中Authentication Type字段设置为2,在Authentication Data字段加入hash值。

OSPF密文认证的过程:

  • Router A:我的认证密码是bossfang,我怕别人破解啊。先把bossfang用MD5算法处理下,得到MD5值xoxoxo
  • Router B:我也是md5认证,我的认证密码也是bossfang,我也用MD5处理下bossfang,相同的密码和相同的处理算法,所以B的MD5值也是xoxoxo
  • Router A:你好,我的密码md5值是xoxoxo(注意,不发密码bossfang了,发的是MD5值)
  • Router B:啊哈,我的密码md5值也是xoxoxo(B的这个MD5值也是由密码算出来的)
  • 通过认证

OSPF密文认证抓包截图:

OSPF启用密文认证的Hello包

OSPF启用密文认证的Hello包

赞(4)
未经允许不得转载:跟慌老湿学网络技术 » 抓包分析OSPF路由协议明文和密文认证的工作机制
分享到: 更多 (0)
慌老湿CCNA课程

慌老湿CCNA课程(限时免费)

进入课程