[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip ad 192.168.4.1 24
[R3-GigabitEthernet0/0/1]quit
[R3]rip 3
[R3-rip-3]version 2
[R3-rip-3]network 192.168.3.0
[R3-rip-3]network 192.168.4.0
[R3-rip-3]quit
尝试是否ping通
4、查看路由器R1、R2、R3路由表
去往192.168.4.0网段的下一跳:192.168.2.2
二、入侵实战
拓扑
1、路由器R4接口IP与RIP路由配置
system-view
[Huawei]sysname R4
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ip ad 192.168.2.3 24
[R4-GigabitEthernet0/0/0]quit
[R4]int g0/0/1
[R4-GigabitEthernet0/0/1]ip ad 192.168.4.1 24
[R4-GigabitEthernet0/0/1]quit
[R4]rip 4
[R4-rip-4]version 2
[R4-rip-4]network 192.168.2.0
[R4-rip-4]network 192.168.4.0
[R4-rip-4]quit
2、R4伪造RIP路由分组后,再次查看路由器R1路由表
R4接入后,与R1建立RIP邻居关系,在RIP进程中由于R1途径R4去往4.0网段开销(跳数)更小,所以去往192.168.4.0网段的下一跳:192.168.2.3
3、R4伪造RIP路由分组后,再次查看路由器R2路由表
三、防范策略
在路由器R1、R2和R3之间接口开启RIP路由项源端鉴别功能,黑客路由器R4发送伪造路由项192.168.4.0无法通过R1和R2源端鉴别而被丢弃,从而保证RIP邻居间路由项信息的安全性。
1、在路由器R1接口开启RIP路由项源端鉴别功能
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]rip version 2 multicast //multicast参数:组播,注意不兼容rip version 1
//broadcast参数:广播,兼容rip version 1
[R1-GigabitEthernet0/0/1]rip authentication-mode hmac-sha256 cipher huawei 100
//hmac-sha256参数、md5参数:基于密钥的报文完整性验证方法,算法不可逆向推导。
//cipher参数:导出的设备配置信息或display信息中将有关huawei的密钥字符进行加密处理
//plain参数:不加密,配置信息中huawei密钥直接可见,不安全
//100:密钥标识符,范围<1-255>。RIP可以建立多个邻居关系,多个邻居关系可以使用相同密钥。只有密钥相同,密钥标识符也相同,才能建立邻居关系。密钥标识符解决多个密码不好记,相同密码不安全的问题。
[R1-GigabitEthernet0/0/1]quit
2、在路由器R2接口开启RIP路由项源端鉴别功能
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]rip version 2 multicast
[R2-GigabitEthernet0/0/0]rip authentication-mode hmac-sha256 cipher huawei 100
[R2-GigabitEthernet0/0/0]quit
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]rip version 2 multicast
[R2-GigabitEthernet0/0/1]rip authentication-mode hmac-sha256 cipher huawei 100
[R2-GigabitEthernet0/0/1]quit
3、在路由器R3接口开启RIP路由项源端鉴别功能
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]rip version 2 multicast
[R3-GigabitEthernet0/0/0]rip authentication-mode hmac-sha256 cipher huawei 100
[R3-GigabitEthernet0/0/0]quit
验证
启用接口源端鉴别功能后,查看路由器R1路由表
R1与R2重新建立RIP邻居关系,去往4.0网段的下一跳地址为192.168.2.2
要ping通192.168.4.10需要等待交换机SW2,毕竟人家连了两根蛮(正常情况哈,不必纠结)
看追踪结果就好
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
415a9e35662316578e07.png#pic_center)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-atzcTxLA-1712606506132)]
6358
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
