[发明专利]一种OSPF协议脆弱性分析与检测系统

说明书

所属技术领域

本发明涉及一种检测系统，尤其涉及一种OSPF协议脆弱性分析与检测系统。

背景技术

互联网络的高速发展使其成为承载当今人类社会信息传递交流的重要基础设施，如何保障网络安全、稳定、可靠运行以及确保信息安全是互联网发展面临的巨大挑战。路由协议作为互联网络最重要的基础协议之一，负责在路由器间交换、发现和维护关于网络的拓扑信息，寻找网络数据分组交换的最佳路径，实现对网络数据的转发。正确的路由信息是网络报文正确高效传输的前提，路由信息的错误或混乱，严重时会造成网络的瘫痪和秘密信息的泄露。

OSPF（open shortest path first）协议作为当前应用最为广泛的内部网关协议，为自治系统内部的主机提供动态路由选择。OSPF路由协议是基于链路状态的协议，它的运行机制使OSPF自治区域能够快速收敛并进行SPF计算得到路由表。在网络状态发生变化时，它能够快速响应，使路由设备及时更新路由信息。OSPF协议采用了安全保护机制、可靠的扩散机制、一致性校验、分层路由等机制来增加其协议安全性，使OSPF路由协议具有一定的自我保护能力，但这并不足够安全，其协议本身仍然存在着许多漏洞，利用这些漏洞可发起针对OSPF的路由攻击。首先，由于OSPF是通过LSA机制来广播路由信息，通过篡改LSA对OSPF发动攻击，将会使区域内的路由产生震荡，导致拓扑混乱和网络异常。其次，在实际运营的网络环境中，路由器的安全保护机制也仅限于使用密码认证，大多数路由器甚至于使用空认证或者明文认证。当OSPF 使用空验证和简单口令验证时，其路由报文将很容易被截获，根据明文传输的路由信息可以生成伪造的路由信息或利用它分析网络拓扑和流量模式；加密身份认证可防范修改路由消息及阻塞协议报文传输等攻击，但是外部攻击者仍可通过发送使用加密验证的恶意报文来进行DOS攻击。最后，OSPF协议细节上也存在着缺陷，如OSPF协议的一致性验证只包含OSPF头部检验，而没有包含IP分组头；OSPF根据LSA序列号判断LSA的新旧，可以通过篡改LSA设计序列号加一攻击、最大序列号攻击、最大年龄攻击等。多年来国内外的学者和研究人员不断对OSPF 协议的安全缺陷和顽健性进行研究，并提出了多种检测模型和方法。

发明内容

本发明的目的是为了检测不同种类的路由设备的脆弱性，设计了一种OSPF协议脆弱性分析与检测系统。

本发明解决其技术问题所采用的技术方案是：

OSPF协议脆弱性分析与检测系统包括：使用伪造实体路由器方法实现拒绝服务攻击模型和使用零拷贝技术实现中间人攻击模型共同构成的攻击子系统、采用SNMP和旁路监听相结合的方法实现了检测结果的实时监控子系统、可视化子系统。

所述的拒绝服务攻击模型包括：如下几个模型：DR/BDR篡改攻击、LSR报文伪造攻击、序列号加1攻击、最大序列号攻击、最大年龄攻击。

所述的DR/BDR篡改攻击指攻击者通过将Hello报文中的指定路由器和备份指定路由器字段置零后发送到域内，引发指定路由器和备份指定路由器的重选，引起局部网络的不稳定。

所述的LSR报文伪造攻击指攻击者向目标路由器高速发送LSR链路状态请求报文，使得路由器不停地响应LSR报文，占用路由器大量的CPU周期，使其无法提供转发服务。

所述的序列号加1攻击指不断的将收到的LSA数据分组序号加一或更多后, 重新计算校验和发送出去。源路由器将会不断地发送具有更大链路序号的数据分组去纠正错误信息，导致网络带宽消耗、拓扑震荡，甚至引起网络不可用。

所述的最大序列号攻击指将LSA数据分组的链路序号设为最大值0x7FFFFFFF，重新计算校验和后发送出去，效果与序列号加1攻击类似。

所述的最大年龄攻击指在其捕获到一个LSA数据分组后，将链路年龄设为最大，重新发送出去，效果与序列号加1 攻击类似。

所述的中间人攻击模型通过篡改LSU报文中的ASExternal LSA(autonomous system external LSA)完成攻击。

所述的攻击子系统首先捕获被攻击网络的流量，通过各路由器所发出的路由信息分析当前路由器状态，根据状态值的不同产生相应的攻击数据分组，实施路由攻击。

所述的监控子系统采集网络状态信息和攻击信息并与攻击子系统通讯，在获得信息的基础上对数据进行融合、分析，生成网络状态相关信息，并将状态信息发送给可视化显示子系统。