FAQ:OSPF的MD5认证中加密序列号的作用?

发布时间:  2016-01-18 浏览次数:  169 下载次数:  0
问题描述
Q:
OSPF的MD5认证中加密序列号的作用?
解决方案
A:
加密序列号是用来做anti-replay(防范重放攻击)的;
重放攻击者先从链路上捕获包含认证信息的ospf消息,再适时重新放到链路上发送,以达到干扰ospf邻居路由器间通讯的目的.加密序列号是个32位数字,与特定的一台邻居路由器关联,ospf路由器会增加该值,当邻居路由器收到该序列号之后,便记忆下来,随后的ospf消息中的加密序列号字段值低于上次记忆的值,邻居路由器丢弃该消息.目的是攻击者捕获了曾经的报文,使用该消息的SN到link上,受攻击路由器不收.所以每个消息中该值都在递增.针对加密序列号的攻击是攻击者伪造更大的加密序列号让邻居路由器记忆,合法的路由器送来的相对小的序列号反倒不接受了,致邻居关系down,攻击成功.所以加密序列号绝非完美的安全方案.

END