深圳企业网站模板,用源码网站好优化吗,网站开发的工作内容,C 建设个人网站目录
主要命令
原理概述
实验目的
实验内容
实验拓扑
实验编址
实验步骤
1、基本配置
2、搭建RIP网络
3、模拟网络攻击
4、配置RIPv2简单验证
5、配置RIPv2 MD5密文验证 需要eNSP各种配置命令的点击链接自取#xff1a;华为#xff45;NSP各种设备配置命令大全PD…目录
主要命令
原理概述
实验目的
实验内容
实验拓扑
实验编址
实验步骤
1、基本配置
2、搭建RIP网络
3、模拟网络攻击
4、配置RIPv2简单验证
5、配置RIPv2 MD5密文验证 需要eNSP各种配置命令的点击链接自取华为NSP各种设备配置命令大全PDF版_ensp配置命令大全资源-CSDN文库
主要命令
配置简单认证
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei配置MD5密文验证
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei原理概述 配置协议的认证可以降低设备接受非法路由选择更新消息的可能性也可称为“验证”。非法的更新消息可能来自试图破坏网络的攻击者或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕获数据包。RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性有简单和MD5密文两种验证方式。 简单验证是指在认证的消息当中所携带的认证口令是以明文传输的可以通过抓包软件抓取到数据包中的密码。 MD5密文验证是一种单向消息摘要message digest算法或安全散列函数secure hash function)由 RSA Date Security,Inc提出。有时MD5也被作为一个加密校验和( cryptographic checksum)。MD5算法是通过一个随意长度的明文消息(例如一个RIPv2的更新消息和口令计算出一个128位的hash 值。hash值类似“指纹”这个“指纹”随同消息一起传送拥有相同口令的接收者会计算它自己的 hash值如果消息的内容没有被更改接收者的hash值应该和消息发送者的hash值相匹配。 实验目的 1、理解配置RIPv2认证的场景和意义 2、掌握配置RIPv2简单认证的方法 3、掌握测试RIPv2简单验证的配置结果的方法 4、掌握配置RIPv2 MD5密文验证的方法 5、掌握测试RIPv2 MD5密文验证的配置结果的方法。 实验内容 本实验模拟企业网络场景。某公司有两台路由器R1与R2各自连接着一台主机并且R1和R2之间配置RIPv2协议学习路由条目。R3模拟作为网络中的攻击者窃取R1与R2间的路由信息并发布了一些虚假路由使R1和R2的相关路由的选路指向了R3形成了路由欺骗。为了避免遭受攻击提高网络安全性网络管理员将配置RIPv2认证。 实验拓扑 实验编址 设备 接口 IP地址 子网掩码 默认网关 PC1 Ethernet 0/0/1 192.168.10.10 255.255.255.0 192.168.10.1 PC2 Ethernet 0/0/1 192.168.20.20 255.255.255.0 192.168.20.1 R1AR2220 GE 0/0/0 192.168.10.1 255.255.255.0 N/A GE 0/0/1 192.168.12.1 255.255.255.0 N/A R2 GE 0/0/0 192.168.20.1 255.255.255.0 N/A GE 0/0/1 192.168.12.2 255.255.255.0 N/A R3 GE 0/0/0 192.168.12.3 255.255.255.0 N/A Loopback 0 192.168.10.1 255.255.255.0 N/A Loopback 1 192.168.20.1 255.255.255.0 N/A
实验步骤
1、基本配置 根据实验编址进行相应的配置R3的环回接口先不配置使用ping命令测试直连链路之间的连通性。 [R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.10.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.12.1 24[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.20.1 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.12.2 24[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.12.3 24 其余直连网段的连通性测试省略。 2、搭建RIP网络 配置公司路由器R1和R2的 RIPv2协议并添加需要通告的网段。 [R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 192.168.10.0
[R1-rip-1]network 192.168.12.0[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.20.0
[R2-rip-1]network 192.168.12.0 配置完成后检查R1与R2的路由表。 可以观察到此时双方都已经正常地获得了RIP路由条目。 3、模拟网络攻击 配置路由器R3作为攻击者接入公司网络。在基本配置中已经将接口GE 0/0/0地址配置为192.168.12.3与该公司路由器在同一网段并配置RIPv2协议通告该网段配置完成后查看R3的路由表。 [R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 192.168.12.0 观察发现R3已经非法获取了R1和R2上用户终端所在的两个网段的路由信息。此时R3就可以向两个网段发送大量的ping包导致网络链路拥塞形成攻击。 下面是R3模拟攻击演示发送10万个ping包给PC-1导致攻击发生。可以按CtrlC组合键来终止该操作。 完成上述模拟后在 R3上分别配置两个用于欺骗的环回接口地址分别为192.168.10.1和192.168.20.1即与公司网络中两个用户的地址相同并且在RIP协议中通告这两个欺骗的网段。 [R3]int loopback 0
[R3-LoopBack0]ip add 192.168.10.1 24
[R3-LoopBack0]int loopback 1
[R3-LoopBack1]ip add 192.168.20.1 24
[R3-LoopBack1]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 192.168.10.0
[R3-rip-1]network 192.168.20.0 配置完成后查看R1、R2的路由表。 可以观察到R3发过来的路由更新。因为R2和R3发送RIP更新的cost都是1跳,所以在R1的路由表中目的为192.168.20.0网段形成了两条等价负载均衡的路径下一跳分别是R2和R3。这样会导致去往192.168.20.0网段的数据包有部分转发给了欺骗路由器R3R2的路由表变化和R1同理。 4、配置RIPv2简单验证 为了提升网络安全性避免发生上述攻击和路由欺骗网络管理员可在R1和R2上配置RIP的简单验证实现对网络的保护。 在路由器R1和R2的GE 0/0/1接口配置认证,使用简单验证方式,密码为 huawei。注意两端的密码必须保持一致否则会导致认证失败从而使得RIP协议无法正常运行。 [R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]rip authentication-mode simple huawei配置完成后稍等一会儿再次查看R1、R2的路由表。 可以观察到现在R1与R2的路由表恢复正常R3发送的欺骗路由在路由表中消失。原因是R1和R2配置了RIP认证就要求在RIP更新报文中包含认证密码如果密码错误或者不存在将认为该路由非法并丢弃。 在路由器R1的GE 0/0/1接口上抓包如下图所示。 可以看到此时R1与R2之间发送的RIP报文中含有authentication字段并且密码是明文。 5、配置RIPv2 MD5密文验证 在上一步骤中在R1和R2上配置了简单验证方式的认证后成功地抵御了R3的路由欺骗和攻击且主机PC-1与PC-2可以正常通信。但是通过抓包能够发现简单验证方式下的认证安全性非常差攻击者虽然无法直接攻击网络但是可以通过抓取 RIP协议数据包获得明文密码因此建议使用MD5密文验证方式进行RIPv2的认证。 在R1和R2的GE 0/0/1接口上删除上一步骤中的简单验证配置选择使用MD5密文验证方式配置。配置时可以选择MDS密文验证方式的报文格式usual参数表示使用通用报文格式nonstandard参数表示使用非标准报文格式(IETF标准)但是必须保证两端的报文格式一致这里选用通用标准格式。 [R1]int g0/0/1
[R1-GigabitEthernet0/0/1]undo rip authentication-mode
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]undo rip authentication-mode
[R2-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei 配置完成后查看R1与R2的路由表。 可以观察到R1与R2的路由表正常R3发送的欺骗路由在路由表中消失与配置简单验证的效果一样。 继续抓取R1的GE 0/0/1接口上的报文就会发现抓包已经无法看到配置的认证密码而是看到一个128位的hash值这是一种单向的散列值难以破解。
