[发明专利]一种OSPF协议脆弱性分析与检测系统

权利要求书

1.一种OSPF协议脆弱性分析与检测系统，包括：使用伪造实体路由器方法实现拒绝服务攻击模型和使用零拷贝技术实现中间人攻击模型共同构成的攻击子系统、采用SNMP和旁路监听相结合的方法实现了检测结果的实时监控子系统、可视化子系统。

2.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的拒绝服务攻击模型包括：如下几个模型：DR/BDR篡改攻击、LSR报文伪造攻击、序列号加1攻击、最大序列号攻击、最大年龄攻击。

3.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的DR/BDR篡改攻击指攻击者通过将Hello报文中的指定路由器和备份指定路由器字段置零后发送到域内，引发指定路由器和备份指定路由器的重选，引起局部网络的不稳定。

4.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的LSR报文伪造攻击指攻击者向目标路由器高速发送LSR链路状态请求报文，使得路由器不停地响应LSR报文，占用路由器大量的CPU周期，使其无法提供转发服务。

5.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的序列号加1攻击指不断的将收到的LSA数据分组序号加一或更多后, 重新计算校验和发送出去；源路由器将会不断地发送具有更大链路序号的数据分组去纠正错误信息，导致网络带宽消耗、拓扑震荡，甚至引起网络不可用。

6.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的最大序列号攻击指将LSA数据分组的链路序号设为最大值0x7FFFFFFF，重新计算校验和后发送出去，效果与序列号加1攻击类似。

7.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的最大年龄攻击指在其捕获到一个LSA数据分组后，将链路年龄设为最大，重新发送出去，效果与序列号加1 攻击类似。

8.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的中间人攻击模型通过篡改LSU报文中的ASExternal LSA(autonomous system external LSA)完成攻击。

9.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的攻击子系统首先捕获被攻击网络的流量，通过各路由器所发出的路由信息分析当前路由器状态，根据状态值的不同产生相应的攻击数据分组，实施路由攻击。

10.根据权利要求1所述的OSPF协议脆弱性分析与检测系统，其特征是所述的监控子系统采集网络状态信息和攻击信息并与攻击子系统通讯，在获得信息的基础上对数据进行融合、分析，生成网络状态相关信息，并将状态信息发送给可视化显示子系统。