OSPF路由協定

開放式最短路徑優先（Open Shortest Path First，OSPF）是目前廣泛使用的一種動態路由協定，它屬於鏈路狀態路由協定，具有路由變化收斂速度快、無路由環路、支持變長子網掩碼（VLSM）和匯總、層次區域劃分等優點。在網路中使用OSPF協定後，大部分路由將由OSPF協定自行計算和生成，無須網路管理員人工配置，當網路拓撲發生變化時，協定可以自動計算、更正路由，極大地方便了網路管理。但如果使用時不結合具體網路套用環境，不做好細緻的規劃，OSPF協定的使用效果會大打折扣，甚至引發故障。

OSPF協定是一種鏈路狀態協定。每個路由器負責發現、維護與鄰居的關係，並將已知的鄰居列表和鏈路費用LSU(Link State Update)報文描述，通過可靠的泛洪與自治系統AS(Autonomous System)內的其他路由器周期性互動，學習到整個自治系統的網路拓撲結構;並通過自治系統邊界的路由器注入其他AS的路由信息，從而得到整個Internet的路由信息。每隔一個特定時間或當鏈路狀態發生變化時，重新生成LSA，路由器通過泛洪機制將新LSA通告出去，以便實現路由的實時更新。

1、初始化形成連線埠初始信息：在路由器初始化或網路結構發生變化(如鏈路發生變化，路由器新增或損壞)時，相關路由器會產生鏈路狀態廣播數據包LSA，該數據包里包含路由器上所有相連鏈路，也即為所有連線埠的狀態信息。

2、路由器間通過泛洪(Floodingl機制交換鏈路狀態信息：各路由器一方面將其LSA數據包傳送給所有與其相鄰的OSPF路由器，另一方面接收其相鄰的OSPF路由器傳來的LSA數據包，根據其更新自己的資料庫。

3、形成穩定的區域拓撲結構資料庫：OSPF路由協定通過泛洪法逐漸收斂，形成該區域拓撲結構的資料庫，這時所有的路由器均保留了該資料庫的一個副本。

4、形成路由表：所有的路由器根據其區域拓撲結構資料庫副本採用最短路徑法計算形成各自的路由表。

OSPF協定依靠五種不同類型的分組來建立鄰接關係和交換路由信息，即問候分組、資料庫描述分組、鏈路狀態請求分組、鏈路狀態更新分組和鏈路狀態確認分組。

1、問候(Hello)分組

OSPF使用Hello分組建立和維護鄰接關係。在一個路由器能夠給其他路由器分發它的鄰居信息前，必須先問候它的鄰居們。

2、資料庫描述(Data base Description，DBD)分組

DBD分組不包含完整的“鏈路狀態資料庫”信息，只包含資料庫中每個條目的概要。當一個路由器首次連入網路，或者剛剛從故障中恢復時，它需要完整的“鏈路狀態資料庫”信息。此時，該路由器首先通過hello分組與鄰居們建立雙向通信關係，然後將會收到每個鄰居反饋的DBD分組。新連入的這個路由器會檢查所有概要，然後傳送一個或多個鏈路狀態請求分組，取回完整的條目信息。

3、鏈路狀態請求(Link State Request，LSR)分組

LSR分組用來請求鄰居傳送其鏈路狀態資料庫中某些條目的詳細信息。當一個路由器與鄰居交換了資料庫描述分組後，如果發現它的鏈路狀態資料庫缺少某些條目或某些條目已過期，就使用LSR分組來取得鄰居鏈路狀態資料庫中較新的部分。

4、鏈路狀態更新(Link State Update，LSU)分組

LSU分組被用來應答鏈路狀態請求分組，也可以在鏈路狀態發生變化時實現洪泛(flooding)。在網路運行過程中，只要一個路由器的鏈路狀態發生變化，該路由器就要使用LSU，用洪泛法向全網更新鏈路狀態。

5、鏈路狀態確認(Link State Acknowledgment，LSAck)分組

LSAck分組被用來應答鏈路狀態更新分組，對其進行確認，從而使得鏈路狀態更新分組採用的洪泛法變得可靠。

（1）OSPF適合在大範圍的網路：OSPF協定當中對於路由的跳數，它是沒有限制的，所以OSPF協定能用在許多場合，同時也支持更加廣泛的網路規模。只要是在組播的網路中，OSPF協定能夠支持數十台路由器一起運作。

（2）組播觸髮式更新：OSPF協定在收斂完成後，會以觸發方式傳送拓撲變化的信息給其他路由器，這樣就可以減少網路寬頻的利用率；同時，可以減小干擾，特別是在使用組播網路結構，對外發出信息時，它對其他設備不構成其他影響

（3）收斂速度快：如果網路結構出現改變，OSPF協定的系統會以最快的速度發出新的報文，從而使新的拓撲情況很快擴散到整個網路；而且，OSPF採用周期較短的HELLO報文來維護鄰居狀態。

（4）以開銷作為度量值：OSPF協定在設計時，就考慮到了鏈路頻寬對路由度量值的影響。OSPF協定是以開銷值作為標準，而鏈路開銷和鏈路頻寬，正好形成了反比的關係，頻寬越是高，開銷就會越小，這樣一來，OSPF選路主要基於頻寬因素。

（5）OSPF協定的設計是為了避免路由環路：在使用最短路徑的算法下，收到路由中的鏈路狀態，然後生成路徑，這樣不會產生環路。

（6）套用廣泛：目前廣泛的套用在網際網路上，其他會有大量的套用實例。證明這是使用最廣泛的IPG之一。

（1）OSPF協定的配置對於技術水平要求很高，配置比較複雜的。因為網路會根據具體的參數，給整個網路劃分區域或者標註某個屬性，所以各種情況都會非常複雜，這就要求網路分析員對OSPF協定的配置要相當了解，不但要求具有普通的網路知識技術，還要有更深層的技術理解，只有具備這樣的人員，才能完成OSPF協定的配置和日常維護。

（2）路由其自身的負載分擔能力是很低的。OSPF路由協定會根據幾個主要的因素，生成優先權不同的接口。然而在同一個區域內，路由協定只會通過優先權最高的那個接口。只要是接口優先權低於最高優先權，那么路由就不會通過。在這個基礎上，不同等級的路由，無法相互承擔負載，只能獨自運行。

（一）通過驗證漏洞進行攻擊

無驗證：由於交換信息時不需要驗證，攻擊者可以直接獲取信息。簡單口令驗證:因為在傳輸過程中OSPF數據包括其口令都是以明文形式傳輸的，所以攻擊者可以用線路分析儀從網路上竊取口令。密碼驗證:信息—摘要算法MD5(Message—Digest Algorithm 5)是OSPF規範中完整引用的唯一一個簽名算法，由於它的邏輯不可逆性，曾被認為是牢不可破的。但是2004年中國科學家王小雲成功地破解了此算法，說明密碼驗證方式也不是足夠安全。而攻擊者一旦獲得了交換的信息或口令就可以生成新的偽OSPF數據包，傳送給該接口的各路由器，致使網路不能正常運行。

（二）通過篡改OSPF報文進行攻擊

1、篡改Hello報文。OSPF路由器定期向外傳送Hello報文，用以發現鄰居和維護鄰接節點關係。攻擊者一旦攻破了OSPF驗證體系，就可以修改報文中的某些參數來達到攻擊的目的。如刪掉鄰居列表上的鄰居使所有鄰居關係變為Down，修改指定路由器身份，致使頻繁地進行指定路由器的選舉，消耗大量的資源。

2、篡改LSU報文。LSU報文用洪泛發對

全網更新鏈路狀態。這個報文是最複雜的，也是OSPF協定最核心的部分。如通過LSU報文大量注入Roter Sat Network-LSA，儘管它們可能不參與路由運算，但由於它們存在於每個路由器的資料庫中，因而可能造成資料庫溢出。

3、大量傳送各種類型報文。攻擊者通過不間斷髮送大量各種類型的OSPF報文，很可能造成被攻擊實體的資源耗竭而無法正常工作。如傳送包含過長鄰居列表的超大Hello報文，鄰居路由器需要為鄰居列表上的每個鄰居創建鄰居結構而消耗大量的資源，起到攻擊的效果。

1、定期對網路進行維護

定期對進行穩定和維護是必不可少的，在使用的過程中也是其發展的過程，這法則就說明了在使用的時候一定會發生一些微妙的變化，這些微妙的變化有可能向好的方面發展，有可能向不好的方面發展，好的方面發展暫且不提。以壞處發展為例子，假如一個系統的漏洞在使用的過程中出現了，剛開始他的出現可能對構成不了什麼威脅。

2、注重OSPF路由協定維護

“大數據”這個概念的出現其實最近幾年隨著網路技術不斷的發展才出現的名詞，“大數據”其實是根據現在網路社會不斷發展，各項工作的數據憑藉著網際網路這條紐帶實現了數據的共享化多元化，而OSPF路由協定安全的工作就是在這種數據共享化的情況下維護使用者的數據安全。

3、有效規避漏洞

在OSPF路由協定安全維護這一塊的工作做到位，及時的發現找出網路存在的安全隱患，保存的數據的完整性，在使用的時候對於的定期維護和檢查，將損失降低到最小。