OSPF路由協議

開放式最短路徑優先（Open Shortest Path First，OSPF）是廣泛使用的一種動態路由協議，它屬於鏈路狀態路由協議，具有路由變化收斂速度快、無路由環路、支持變長子網掩碼（VLSM）和彙總、層次區域劃分等優點。在網絡中使用OSPF協議後，大部分路由將由OSPF協議自行計算和生成，無須網絡管理員人工配置，當網絡拓撲發生變化時，協議可以自動計算、更正路由，極大地方便了網絡管理。但如果使用時不結合具體網絡應用環境，不做好細緻的規劃，OSPF協議的使用效果會大打折扣，甚至引發故障。 ^[1] 

OSPF協議是一種鏈路狀態協議。每個路由器負責發現、維護與鄰居的關係，並將已知的鄰居列表和鏈路費用LSU(Link State Update)報文描述，通過可靠的泛洪與自治系統AS(Autonomous System)內的其他路由器週期性交互，學習到整個自治系統的網絡拓撲結構;並通過自治系統邊界的路由器注入其他AS的路由信息，從而得到整個Internet的路由信息。每隔一個特定時間或當鏈路狀態發生變化時，重新生成LSA，路由器通過泛洪機制將新LSA通告出去，以便實現路由的實時更新。 ^[2] 

1、初始化形成端口初始信息：在路由器初始化或網絡結構發生變化(如鏈路發生變化，路由器新增或損壞)時，相關路由器會產生鏈路狀態廣播數據包LSA，該數據包裏包含路由器上所有相連鏈路，也即為所有端口的狀態信息。

2、路由器間通過泛洪(Flooding)機制交換鏈路狀態信息：各路由器一方面將其LSA數據包傳送給所有與其相鄰的OSPF路由器，另一方面接收其相鄰的OSPF路由器傳來的LSA數據包，根據其更新自己的數據庫。

3、形成穩定的區域拓撲結構數據庫：OSPF路由協議通過泛洪法逐漸收斂，形成該區域拓撲結構的數據庫，這時所有的路由器均保留了該數據庫的一個副本。

4、形成路由表：所有的路由器根據其區域拓撲結構數據庫副本採用最短路徑法計算形成各自的路由表。 ^[2] 

OSPF協議依靠五種不同類型的分組來建立鄰接關係和交換路由信息，即問候分組、數據庫描述分組、鏈路狀態請求分組、鏈路狀態更新分組和鏈路狀態確認分組。

1、問候(Hello)分組

OSPF使用Hello分組建立和維護鄰接關係。在一個路由器能夠給其他路由器分發它的鄰居信息前，必須先問候它的鄰居們。

2、數據庫描述(Data base Description，DBD)分組

DBD分組不包含完整的“鏈路狀態數據庫”信息，只包含數據庫中每個條目的概要。當一個路由器首次連入網絡，或者剛剛從故障中恢復時，它需要完整的“鏈路狀態數據庫”信息。此時，該路由器首先通過hello分組與鄰居們建立雙向通信關係，然後將會收到每個鄰居反饋的DBD分組。新連入的這個路由器會檢查所有概要，然後發送一個或多個鏈路狀態請求分組，取回完整的條目信息。

3、鏈路狀態請求(Link State Request，LSR)分組

LSR分組用來請求鄰居發送其鏈路狀態數據庫中某些條目的詳細信息。當一個路由器與鄰居交換了數據庫描述分組後，如果發現它的鏈路狀態數據庫缺少某些條目或某些條目已過期，就使用LSR分組來取得鄰居鏈路狀態數據庫中較新的部分。

4、鏈路狀態更新(Link State Update，LSU)分組

LSU分組被用來應答鏈路狀態請求分組，也可以在鏈路狀態發生變化時實現洪泛(flooding)。在網絡運行過程中，只要一個路由器的鏈路狀態發生變化，該路由器就要使用LSU，用洪泛法向全網更新鏈路狀態。

5、鏈路狀態確認(Link State Acknowledgment，LSAck)分組

LSAck分組被用來應答鏈路狀態更新分組，對其進行確認，從而使得鏈路狀態更新分組採用的洪泛法變得可靠。 ^[3] 

（1）OSPF適合在大範圍的網絡：OSPF協議當中對於路由的跳數，它是沒有限制的，所以OSPF協議能用在許多場合，同時也支持更加廣泛的網絡規模。只要是在組播的網絡中，OSPF協議能夠支持數十台路由器一起運作。

（2）組播觸發式更新：OSPF協議在收斂完成後，會以觸發方式發送拓撲變化的信息給其他路由器，這樣就可以減少網絡寬帶的利用率；同時，可以減小干擾，特別是在使用組播網絡結構，對外發出信息時，它對其他設備不構成影響。

（3）收斂速度快：如果網絡結構出現改變，OSPF協議的系統會以最快的速度發出新的報文，從而使新的拓撲情況很快擴散到整個網絡；而且，OSPF採用週期較短的HELLO報文來維護鄰居狀態。

（4）以開銷作為度量值：OSPF協議在設計時，就考慮到了鏈路帶寬對路由度量值的影響。OSPF協議是以開銷值作為標準，而鏈路開銷和鏈路帶寬，正好形成了反比的關係，帶寬越是高，開銷就會越小，這樣一來，OSPF選路主要基於帶寬因素。

（5）OSPF協議的設計是為了避免路由環路：在使用最短路徑的算法下，收到路由中的鏈路狀態，然後生成路徑，這樣不會產生環路。

（6）應用廣泛：廣泛的應用在互聯網上，其他會有大量的應用實例。證明這是使用最廣泛的IGP之一。 ^{[1]  [5]} 

（1）OSPF協議的配置對於技術水平要求很高，配置比較複雜的。因為網絡會根據具體的參數，給整個網絡劃分區域或者標註某個屬性，所以各種情況都會非常複雜，這就要求網絡分析員對OSPF協議的配置要相當瞭解，不但要求具有普通的網絡知識技術，還要有更深層的技術理解，只有具備這樣的人員，才能完成OSPF協議的配置和日常維護。

（2）路由其自身的負載分擔能力是很低的。OSPF路由協議會根據幾個主要的因素，生成優先級不同的接口。然而在同一個區域內，路由協議只會通過優先級最高的那個接口。只要是接口優先級低於最高優先級，那麼路由就不會通過。在這個基礎上，不同等級的路由，無法相互承擔負載，只能獨自運行。 ^[1] 

（一）通過驗證漏洞進行攻擊

無驗證：由於交換信息時不需要驗證，攻擊者可以直接獲取信息。簡單口令驗證:因為在傳輸過程中OSPF數據包括其口令都是以明文形式傳輸的，所以攻擊者可以用線路分析儀從網絡上竊取口令。密碼驗證:信息—摘要算法MD5(Message—Digest Algorithm 5)是OSPF規範中完整引用的唯一一個簽名算法，由於它的邏輯不可逆性，曾被認為是牢不可破的。但是2004年中國科學家王小云成功地破解了此算法，説明密碼驗證方式也不是足夠安全。而攻擊者一旦獲得了交換的信息或口令就可以生成新的偽OSPF數據包，發送給該接口的各路由器，致使網絡不能正常運行。

（二）通過篡改OSPF報文進行攻擊

1、篡改Hello報文。OSPF路由器定期向外發送Hello報文，用以發現鄰居和維護鄰接節點關係。攻擊者一旦攻破了OSPF驗證體系，就可以修改報文中的某些參數來達到攻擊的目的。如刪掉鄰居列表上的鄰居使所有鄰居關係變為Down，修改指定路由器身份，致使頻繁地進行指定路由器的選舉，消耗大量的資源。

2、篡改LSU報文。LSU報文用洪泛發對

全網更新鏈路狀態。這個報文是最複雜的，也是OSPF協議最核心的部分。如通過LSU報文大量注入Roter Sat Network-LSA，儘管它們可能不參與路由運算，但由於它們存在於每個路由器的數據庫中，因而可能造成數據庫溢出。

3、大量發送各種類型報文。攻擊者通過不間斷髮送大量各種類型的OSPF報文，很可能造成被攻擊實體的資源耗竭而無法正常工作。如發送包含過長鄰居列表的超大Hello報文，鄰居路由器需要為鄰居列表上的每個鄰居創建鄰居結構而消耗大量的資源，起到攻擊的效果。 ^[2] 

1、定期對網絡進行維護

定期對進行穩定和維護是必不可少的，在使用的過程中也是其發展的過程，這法則就説明了在使用的時候一定會發生一些微妙的變化，這些微妙的變化有可能向好的方面發展，有可能向不好的方面發展，好的方面發展暫且不提。以壞處發展為例子，假如一個系統的漏洞在使用的過程中出現了，剛開始他的出現可能對構成不了什麼威脅。

2、注重OSPF路由協議維護

“大數據”這個概念的出現其實最近幾年隨着網絡技術不斷的發展才出現的名詞，“大數據”其實是根據網絡社會不斷髮展，各項工作的數據憑藉着互聯網這條紐帶實現了數據的共享化多元化，而OSPF路由協議安全的工作就是在這種數據共享化的情況下維護使用者的數據安全。

3、有效規避漏洞

在OSPF路由協議安全維護這一塊的工作做到位，及時的發現找出網絡存在的安全隱患，保存的數據的完整性，在使用的時候對於的定期維護和檢查，將損失降低到最小。 ^[4]