◆张 俨



VRRP应用风险研究

◆张 俨

（荆州市中心医院 湖北 434020）

VRRP是常用冗余协议，无需在客户主机上运行特殊的路由协议就能够实现设备级的备份功能。本文研究VRRP协议在实际应用中的安全隐患和风险规避措施，并结合某实际网络分析和验证了此安全漏洞，为特定网络拓扑结构下健全网络信息传输做了初步探讨。

VRRP；网关；数据截取

0 引言

VRRP[1]是目前最常用的冗余路由协议[2]之一，由于其部署方便和配置简易，在企业网、校园网、政府专线等都有广泛而成熟的应用[3][4][5]。讨论其应用的论文很多，认为该协议可以通过设备和链路冗余增加网络的稳定性，但专门讨论由于其网络拓扑的特殊结构和协议在配置上的疏忽带来安全风险的论文并不多[6][7]。本文就VRRP协议在某特殊场景中使用的风险进行初步探讨。

1 应用场景描述

VRRP由于其可以迅速的在多个核心设备之间进行业务切换，且无需接入设备运行特殊路由协议，在资金较为充裕，且对网络质量有一定要求的场景下广泛使用，如大型商场，火车站候车厅，商务宾馆等，在一个较大的区域内实现无线宽带覆盖，同时提供一定数量的固网接口，这时固网接口和AP置于同一二层网络内。常常采用如图1所示的拓扑结构，即由两台具备路由功能的三层交换设备作为业务核心，并使用不同上行链路（往往是多个运营商）接入Internet，采用双归形式连接认证服务器、DHCP server等控制、管理、应用服务器群，再通过二层交换机作为汇聚层，在接入层部署AP。用户上网前可以动态获取IP地址，其网关直接指向核心层的VRRP地址。

在这种网络结构中，汇聚层经由核心层到达出口采用多个链路冗余，网络正常时，流量根据所用策略分布在不同设备上，实行负载分担，但如果出现单点异常，如设备断电或掉线，另外一个设备或链路可以迅速切换，承担全部流量，保证业务整体不中断。

2 上网认证过程和业务流向分析

当用户终端如手机电脑等连接到网络中后，往往需要经过获取地址、网页认证后才能进行网络访问，本节就其过程和业务流向进行介绍。

2.1 用户认证过程

用户主机获得地址后，一般还需要网页认证才能正常访问，这种认证的往往只需要在汇聚交换机旁挂或串接的宽带接入服务器（BAS）上实现，具体实现方法就是当用户使用浏览器访问网页时，先将网页内容重定向到认证服务器上，这时用户打开的是一个允许输入用户名和密码的网页，只有在这个网页上输入了正确的用户名和密码，才能继续通过汇聚交换机访问Internet，如图2所示。在这个过程中，伪造portal服务器是比较困难的，但大多数信息泄露都是从截获用户终端设备到网关交互认证网页开始的。

图2用户认证

2.2用户上网过程

在图1所示的拓扑和图2所示的IP地址分配过程中，用户所获得的网关地址实际上是两台核心交换机所共同使用的虚拟地址，这两台设备之间的虚拟协议是VRRP。用户业务的流向基本如图3所示。在这个过程中，如果VRRP部署不恰当，也有可能形成双主用设备的情况，引起流量损失[6]。

3 VRRP实现机制和风险探讨

VRRP工作基本思路是将网络中并行的多台设备配置有相同的虚拟地址，经过协商分为主用和备份设备，只有主用设备的虚拟地址生效，当备份设备检测不到主设备工作时，自动切换为主设备，其虚地址生效。虚地址作为用户终端的网关，这样用户终端并不需要实际感知哪台设备是主用设备，只需要和这个虚拟网关通信即可。而数据返回时，可以从主用设备和备份设备的真实地址或虚拟地址返回。

如果主用设备感知到网络有所变化，可以降低VRRP的优先级，使得备份设备也可以迅速切换为新的主用设备，这是VRRP与端口状态或IP协议采用BFD/IP SLA联动的基础思想[7][8]。反过来说，如果主用设备收到了一个更高优先级的VRRP报文，同样可能会自己“降级”为备份设备。

从上述分析来看，如果我们在运行了VRRP网段中插入一台具备同样可以协商VRRP的新设备，使其具备更高的优先级，可以将现有的主用设备“驱赶”为备份设备，虚拟的网关IP地址则会落于这台新增的设备。另一方面，我们可以通过原有的设备的真实IP地址作为转发用户数据的通道。这就形成了网络中漏洞，用户几乎无法感知这个新增设备的存在，而发向网络的数据不得不经过这个新增设备。很容易在这个新增设备上截取数据包，从而可以分析出用户当前行为。

4 VRRP漏洞的验证

为了验证，我们找了一家星级宾馆，在酒店中需要在前台登记，使用本人的姓名缩写和预设密码上网，我们将笔记本电脑接在某房间网口上，另一个朋友在其它房间使用手机wifi上网。

首先，我们在笔记本电脑上通过IP地址扫描找到宾馆的网关设备的真实IP地址，验证了直接使用该地址可以进行数据转发，通过VRRP虚拟的网关IP地址分析出VID号，然后在电脑上运行软件仿真一台路由器，路由器的接口与电脑的eth口成为桥接状态，虚拟路由器上配置IP地址、VRRP协议，如我们所料，仿真的路由器与宾馆真实的网关设备协商后，VRRP的主用设备移到了电脑仿真的虚拟路由器上，再将路由器的缺省路由配置指向其中一台真实设备IP地址，原有其它房间可以上网的用户并没有感知到这次网关的迁移，仍然可以继续上网。

其后，我们在笔记本电脑上运行抓包软件，分析流经电脑eth口的数据流量，找到了手机wifi认证网页的数据包，且在报文内可以直接查看明文的用户名密码，如图4所示。

图4截获数据包分析

这样，我们就验证了该网络中VRRP漏洞是真实存在的，且可以轻易被一些具有少量网络知识的“伪黑客”所利用。

5 VRRP漏洞风险的防范办法

5.1通过VRRP协商过程防范

只需要在接入交换机处隔离掉VRRP协商的组播数据包，这样用户就不可能伪造一个“主用设备”来作为其它用户的网关。这一点，无线AP就做得很好，直接拒绝所有组播地址传输，使得VRRP协议协商失败。这也是我们在上述实验中，不能使用笔记本无线网卡作为仿真路由器接口的原因。

5.2通过用户隔离来防范

接入层交换机往往不能配置上述组播过滤功能，但可以配置端口隔离，只需要将所有用户接口设置到同一隔离组中，其接口数据只能通过与汇聚层交换机接口转发，而不会影响到其它用户，从根源上杜绝了伪造网关的可能，但这样也有可能造成其它用户无法正常上网（因为其它用户无法访问到虚拟网关）。

5.3VRRP协议加密

如果真实网关设备在VRRP协商的过程中，配置一串密码，使得不具备此密码的虚拟路由器无法和真实路由器进行协商，那么可以降低被冒用的风险，同时在这一广播域内，会形成两个相同地址，都可以被用户主机所学到（相同IP、相同MAC），无法区分，而接入层的交换机也出现大量的MAC漂移，因此这只是一种消极的应对措施，但可以配合前种方法来有效规避网关冒用。

5.4屏蔽核心交换机真实地址的转发功能

可以通过限制核心交换机，防止其使用真实地址进行转发，这样即使出现了冒用，所有用户都无法进行网络访问（包括伪装成网关地址的黑客主机），从根源上堵塞了这一可能造成信息泄露的漏洞。该限制功能一般可以通过配置具备二层控制的访问列表来实现。

6 结论

本文介绍了VRRP协议在网络中的使用，通过分析网络结构，提出某一可能造成信息泄露的风险，并实际验证其漏洞的存在。通过技术分析，探讨出在不修改网络实际拓扑连接情况下，仅通过增加网络设备的配置用以防止该漏洞造成信息泄露的多种方法，具有较强的实用价值，在宾馆、校园、交通枢纽、政企办公等场合都可以得到推广应用，增强网络的安全性。

[1]S.Nadas,Bucknell University, Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6, RFC 5798,http://www.ietf.org/rfc/rfc5798.txt.

[2]N.H.Bhagat, Virtual Router Redundancy Protocol-A Best Open Standard Protocol in Maintaining Redundancy[C]. International Conference on Web Services Computing(ICW- SC)，2011.

[3]罗定福, 陈永松.VRRP多备份组的设计与实现[J]. 齐齐哈尔大学学报：自然科学版，2012.

[4]王东.VRRP协议实现园区网络的路由冗余和负载均衡[J]. 重庆科技学院学报（自然科学版），2010.

[5]张志成，邹仁明，张晓泉，朱骏君.基于冗余架构的校园网多出口系统的设计与实现[J].计算机科学，2012.

[6]陶爱生.VRRP技术在网络安全优化中的运用[C]. 中国通信学会信息通信网络技术委员会年会，2015.

[7]马海平.VRRP协议的应用及优化研究[D]. 南京理工大学，2010.

[8]王丽娜，侯健敏，刘炎，张赟，樊超.SLA和VRRP的多出口校园网可靠性实验设计[J].实验室研究与探索，2016.