泛洪路由协议(一)

O SPF路由机制与安全性研究陈凤雏(长江大学文理学院，湖北荆州434020)喃要】O SPF是_种基于链路状态的内部网关路由协议。

本文介绍了O SPF路由协议，分析了其链路状态数据瘁及其形成与维护，最后对OSPF的安金机‘帝J进行了探讨和研究。

c关键词】O SPF；状态数据库；漏洞1oSP F路由机制概述0S PF(O pen S h or t es t P at h Fi r st)作为目前互联网络应用最为广泛的内部网关路由协议，主要提供自治系统(A ut onom ous Sys t em，A S)内的动态选择路由。

它是一种典型的链路状态协议，不同于距离向量协议(如RIP等)。

2链路状态数据库及其形成与维护在一个区域内，所有的0S PF路由器都需要维护一个相同的链路状态数据库，这个数据库其实是一张X-T-这个区域的网络拓扑图，图中的每一条边都有—个相应的权值，表示向该方向传输数据的代价。

在这张图的基础上路由器就可以通过D i j ks t r a算法来计算到每一个目的地的最短路径，从而生成路由表。

从另一个方面讲，路由器上的链路状态数据库也是一个L SA的集合，链路状态数据库是路由器在综合其它路由器的L SA后生成的。

在链路状态路由算法中，保持所有路由器的链路状态数据同步是—项重要的事情。

所有的路由器的同步都是建立在以下四个条件的基础之上的：1)动态发现邻居；2)确认邻居间的双向链接关系；3)维持与邻居之间的邻接关系；4)指派与备份指派路由器的选举产生。

这四个条件的产生都是Hel l o t,扪,Y．作用的结果，路由器发送H el l o 报文让其它路由器发现它的存在，然后通过双向发送H e l l o报文来确立双向链接的邻居关系和保持邻接关系。

指派路由器和备份指派路由器的选举则需要前三者作为先行条件。

在路由器开始尝试邻接关系建立之时，链路状态数据便开始了同步的进程。

这一发送和接收数据库描述分组的过程被称作“数据库交换进程”。

链路状态路由协议百科名片链路状态路由选择协议又称为最短路径优先协议，它基于Edsger Dijkstra的最短路径优先（SPF）算法。

它比距离矢量路由协议复杂得多，但基本功能和配置却很简单，甚至算法也容易理解。

路由器的链路状态的信息称为链路状态，包括：接口的IP地址和子网掩码、网络类型（如以太网链路或串行点对点链路）、该链路的开销、该链路上的所有的相邻路由器。

链路状态路由协议链路状态路由协议是层次式的，网络中的路由器并不向邻居传递“路由项”，而是通告给邻居一些链路状态。

与距离矢量路由协议相比，链路状态协议对路由的计算方法有本质的差别。

距离矢量协议是平面式的，所有的路由学习完全依靠邻居，交换的是路由项。

链路状态协议只是通告给邻居一些链路状态。

运行该路由协议的路由器不是简单地从相邻的路由器学习路由，而是把路由器分成区域，收集区域的所有的路由器的链路状态信息，根据状态信息生成网络拓扑结构，每一个路由器再根据拓扑结构计算出路由。

编辑本段链路状态的工作过程1、了解直连网络每台路由器了解其自身的链路（即与其直连的网络）。

这通过检测哪些接口处于工作状态（包括第3层地址）来完成。

对于链路状态路由协议来说，直连链路就是路由器上的一个接口，与距离矢量协议和静态路由一样，链路状态路由协议也需要下列条件才能了解直连链路：正确配置了接口IP地址和子网掩码并激活接口，并将接口包括在一条network 语句中。

2、向邻居发送Hello数据包每台路由器负责“问候”直连网络中的相邻路由器。

与EIGRP路由器相似，链路状态路由器通过直连网络中的其他链路状态路由器互换Hello数据包来达到此目的。

路由器使用Hello协议来发现其链路上的所有邻居，形成一种邻接关系，这里的邻居是指启用了相同的链路状态路由协议的其他任何路由器。

这些小型Hello数据包持续在两个邻接的邻居之间互换，以此实现“保持激活”功能来监控邻居的状态。

如果路由器不再收到某邻居的Hello数据包，则认为该邻居已无法到达，该邻接关系破裂。

ospf的实施方案OSPF的实施方案OSPF（Open Shortest Path First）是一种开放式最短路径优先的路由协议，它是一种基于链路状态的路由协议，具有快速收敛、路由泛洪域小、支持VLSM等特点，被广泛应用于大型企业网络和互联网中。

本文将介绍OSPF的实施方案，旨在帮助网络管理员更好地理解和实施OSPF协议。

一、网络拓扑设计在实施OSPF之前，首先需要进行网络拓扑设计。

网络拓扑设计是整个网络规划的基础，它直接影响到OSPF的实施效果。

在设计网络拓扑时，需要考虑网络的规模、结构、业务需求等因素，合理划分网络区域，确定各个区域的边界路由器，保证网络的稳定性和可扩展性。

二、路由器的配置在网络拓扑设计确定后，接下来需要对路由器进行配置。

首先，需要配置每台路由器的OSPF进程，包括进程ID、路由器ID等基本信息。

然后，配置各个接口的IP地址和子网掩码，并将这些接口划分到相应的OSPF区域中。

此外，还需要配置OSPF邻居关系，确保邻居关系的建立和维护。

三、路由器的优化为了提高OSPF的实施效果，还需要对路由器进行一些优化。

首先，可以通过调整OSPF的路由优先级来影响路由器的路由选择。

其次，可以通过调整OSPF的Hello和Dead Interval来优化邻居关系的建立和维护。

此外，还可以通过调整OSPF的路由汇总和过滤来减少路由表的规模，提高网络的收敛速度。

四、故障排除与监控在实施OSPF之后，需要对网络进行故障排除与监控。

通过监控OSPF邻居关系、路由表、链路状态数据库等信息，及时发现和解决网络故障，保证网络的稳定运行。

同时，可以通过配置OSPF的调试和日志功能，记录网络的运行状态，为日后的故障排除和网络优化提供依据。

五、安全性配置最后，为了保证网络的安全性，还需要对OSPF进行安全性配置。

可以通过配置OSPF的认证功能，对OSPF报文进行加密和认证，防止恶意攻击和报文篡改。

同时，还可以通过配置访问控制列表（ACL）来限制OSPF协议的传播范围，保护网络的安全。

OSPF里几个特殊区域（stub、Totally stubby、NSSA、Totally NSSA）总结(2012-02-16 01:12:44)转载▼分类：IT标签：it首先，不管什么stub，其区域内所有router都要设成对应stub，否则邻居down，因为配置为末节区域的路由器上所有接口发出的Hello包中都会有末节标签。

对于所有的末节区域，ABR总是过滤掉5类LSA。

绝对末节区域和绝对NSSA里ABR还将3类LSA过滤掉。

普通末节区域和NSSA会正常通行3类LSA。

区域间路由汇总必须在ABR上完成Area 1 range 1.1.4.0 255.255.252.0外部路由汇总必须在ASBR上完成Summary-address 4.4.0.0 255.255.252.0Router LSA 1类路由LSA show ip ospf database routerNetwork LSA 2类网络LSA show ip ospf database networkNetwork Summary LSA 3类网络汇总LSA show ip ospf database summaryASBR Summary LSA 4类ASBR汇总LSA show ip ospf database asbr-summaryAS External LSA 5类AS外部LSA show ip ospf database externalGroup Membership LSA 6类组成员LSANSSA External LSA 7类NSSA外部LSA show ip ospf database nssa-externalExternal Attributes LSA 8类外部属性LSA9 10 11 Opaque LSAstub area:命令：area area-id stub特点：过滤外部路由，不接受外部AS的LSA（即5类LSA），3类LSA正常通行ABR上可设默认度量值：area area-id default-metric metric默认值为1.只有一个出口，无虚链路经过，不是主干区域，无ASBR（except that the ABRs may also be ASBRs），最好只有一个ABR，多个ABR可能导致次优路由。

攻击源利用TCP漏洞向服务器发出攻击，使得服务器(靶机)网络资源被耗尽，观察攻击的过程。

备注：需开启连接windows和linux靶机，在linux运行synflood.py对windows进行攻击，并通过观察浏览网页发现问题（工具在root->gongfang->synflood->synflood.py）。

洪泛攻击是拒绝服务攻击中最有效、最常见的方式，在很多时候这两个概念甚至可以互换。

该攻击方式几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。

要引起注意的是，许多黑客乐意把他们开发的DoS攻击软件放在互联网上供各种感兴趣的人免费下载，任何一个上网都能够轻松的从Internet上获得这些工具，从某种意义上说，任何一个上网者都可能构成网络安全的潜在威胁。

DoS攻击给飞速发展的互联网络安全带来重大的威胁。

就目前而言，DoS 攻击永远不会消失而且从技术上目前没有根本的解决办法。

1、掌握泛洪攻击的基本原理；2、思考防范泛洪攻击的手段；泛洪攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。

在服务器与客户端之间传输数据时，先建立tcp连接是必须的，在传送tcp数据时，必须建立一个虚电路，即tcp连接。

服务器与客户端建立tcp连接的标准过程被称为三次握手。

SYN 洪泛攻击通过故意不完成三次握手过程，造成连接一方的资源耗尽。

攻击者向靶机发送一个SYN报文后就拒接返回报文，这样靶机在发出SYN +ACK 应答报文后是无法收到客户端的ACK报文的，这样第三次握手就无法完成，这种情况下，靶机即被攻击的服务器端一般会重试再发送SYN+ACK给客户端，并等待一段时间后丢弃这个未完成的连接，这段时间称为SYN Timeout，一般来说这个时间大约为1分钟。

CCNP OSPF协议详解/1192852/278415OSPF（Open Shortest Path Fitst，ospf）开放最短路径优先协议,是由Internet 工程任务组开发的路由选择协议，公用协议，任何厂家的设备。

链路状态路由协议（也可以说OSPF）工作原理：每台路由器通过使用Hello报文与它的邻居之间建立邻接关系每台路由器向每个邻居发送链路状态通告(LSA),有时叫链路状态报文(LSP). 每个邻居在收到LSP之后要依次向它的邻居转发这些LSP(泛洪)每台路由器要在数据库中保存一份它所收到的LSA的备份，所有路由器的数据库应该相同依照拓扑数据库每台路由器使用Dijkstra算法（SPF算法）计算出到每个网络的最短路径，并将结果输出到路由选择表中OSPF的简化原理：发Hello报文——建立邻接关系——形成链路状态数据库——SPF算法——形成路由表。

几个概念：OSPF的特征：1.快速适应网络变化2.在网络发生变化时,发送触发更新3.以较低的频率(每30分钟)发送定期更新,这被称为链路状态刷新4.支持不连续子网和CIDR5.支持手动路由汇总6.收敛时间短7.采用Cost作为度量值8.使用区域概念,这可有效的减少协议对路由器的CPU和内存的占用.9.有路由验证功能,支持等价负载均衡运行OSPF的路由器需要一个能够唯一标示自己的Router IDOSPF的网络类型：广播型网络, 比如以太网,Token Ring和FDDI,这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为224.0.0.5,运载这些OSPF包的帧的目标MAC地址为0100.5E00.0005;而除了DR/BDR以外的OSPF包的目标地址为224.0.0.6,这个地址叫AllDRoutersNBMA网络, 比如X.25,Frame Relay,和ATM,不具备广播的能力,在这样的网络上要选举DR和BDR,因此邻居要人工来指定点到多点网络，是NBMA网络的一个特殊配置,可以看成是点到点链路的集合. 在这样的网络上不选举DR和BDR点到点网络,比如T1线路,是连接单独的一对路由器的网络,点到点网络上的有效邻居总是可以形成邻接关系的,在这种网络上,OSPF包的目标地址使用的是224.0.0.5,这个组播地址称为AllSPFRouters虚链接，它被认为是没有编号的点到点网络的一种特殊配置.OSPF报文以单播方式发送OSPF的DR（指定路由）与BDR（备份路由）：通过组播发送Hello报文具有最高OSPF优先级的路由器会被选为DR（255最高）如果OSPF优先级相同具有最高路由器ID，路由器会被选为DRDR与BDR的选举过程？1. 在和邻居建立双向通信之后,检查邻居的Hello包中Priority,DR和BDR字段,列出所有可以参与DR/BDR选举的邻居.所有的路由器声明它们自己就是DR/BDR(Hello包中DR字段的值就是它们自己的接口地址;BDR字段的值就是它们自己的接口地址)2. 从这个有参与选举DR/BDR权的列表中,创建一组没有声明自己就是DR的路由器的子集(声明自己是DR的路由器将不会被选举为BDR)3. 如果在这个子集里,不管有没有宣称自己就是BDR,只要在Hello包中BDR字段就等于自己接口的地址,优先级最高的就被选举为BDR;如果优先级都一样,RID最高的选举为BDR4. 如果在Hello包中DR字段就等于自己接口的地址,优先级最高的就被选举为DR;如果优先级都一样,RID最高的选举为DR;如果没有路由器宣称自己就是DR,那么新选举的BDR就成为DR5. 要注意的是,当网络中已经选举了DR/BDR后,又出现了1台新的优先级更高的路由器,DR/BDR是不会重新选举的6. DR/BDR选举完成后,其他Rother只和DR/BDR形成邻接关系.所有的路由器将组播Hello包到224.0.0.5,以便它们能跟踪其他邻居的信息.其他Rother只组播update packet到224.0.0.6,只有DR/BDR监听这个地址 .一旦出问题,反过来,DR将使用224.0.0.5泛洪更新到其他路由器OSPF路由器在完全邻接之前,所经过的几个状态:1.Down: 初始化状态2.Attempt: 只适于NBMA网络,在NBMA网络中邻居是手动指定的,在该状态下,路由器将使用HelloInterval取代PollInterval来发送Hello包3.Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然没有建立起来4.two-way: 双向会话建立5.ExStart: 信息交换初始状态,在这个状态下,本地路由器和邻居将建立Master/Slave关系,并确定DD Sequence Number,接口等级高的的成为Master6.Exchange: 信息交换状态,本地路由器向邻居发送数据库描述包,并且会发送LSR用于请求新的LSA7.Loading: 信息加载状态,本地路由器向邻居发送LSR用于请求新的LSA8.Full: 完全邻接状态,这种邻接出现在Router LSA和Network LSA中在OSPF协议的环境下，区域(Area)是一组逻辑上的OSPF路由器和链路，区域是通过一个32位的区域ID(Area ID)来识别的OSPF的区域：在一个区域内的路由器将不需要了解它们所在区域外部的拓扑细节。

电力专网中的自组网路由协议选取摘要：随着电力专网中应急通信，智能巡检等业务日益增多，自组网（Ad-hoc）技术在电力专网中也得到广泛的应用。

与固定数据网中成熟使用的路由协议不同，自组网中特别是移动自组网（MANET）的路由协议因其应用场景的特殊性，吸引了各方研究人员关注，发展出了多种不同特点的路由协议。

本文针对目前主要应用的几种协议在关键指标上进行对比，讨论适合电力专网的自组网路由协议。

关键词：Ad-hoc自组网；AODV；按需式路由协议；1. Ad-hoc自组网介绍Ad-hoc自组网是不依赖于预定义基础设施的自治网络，可以随时随地快速建立网络连接。

网络中每个节点单独充当移动路由器，与网络中其它节点随机构成邻接关系。

移动自组网MANET是集合了部分基础设施（固定节点）并通过无线介质连接的移动节点形成快速变化的拓扑结构。

无线自组织网络由于没有中心路由器进行转发，在网络中的每一个主机既是信息的发送者也是信息的接受者，还要充当路由器的功能，将收到的信息再转发出去，所以其路由协议更加复杂，实现功能也增加了挑战性。

与此同时无线自组织网络结构远没有传统网络的拓扑结构稳定，随时加入和退出的主机都可能会改变路由线路，这就会导致路由表的更新频率远远增大。

2.路由协议无线自组织网络路由协议主要分为两类：表驱动（也称先验式或主动式路由）和按需路由（也称反应式或被动式路由）。

在表驱动的路由协议中，每个节点维护一张包含到达其他路由信息的路由表。

而在按需路由中，路由仅在源主机需要时创建。

此外，根据路由协议结构也可以大致分为混合型和分层型。

下面将简要说明所有这四种分类及其示例。

2.1反应式路由协议反应式路由协议通过向节点发送路由请求 (RREQ) 数据包来按需查找路由。

在反应式路由协议中，仅当节点需要将数据发送到未知目的地时才会计算路由。

因此，仅在需要时才启动路由发现。

只有在有数据要传输时才确定路由。

这些协议具有较长的延迟和较低的路由开销。