[发明专利]一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统

说明书

本发明提出一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统，所述系统包括分析服务器和多台检测中间盒；所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。该方法及系统方便实施该方法和提升其性能价格比。本发明属于网络安全领域。

技术领域

本发明属于网络安全领域，具体涉及一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统。

背景技术

路由器是IP网络的核心组件，路由选择协议是路由器决定分组传输路径的关键协议。开放式最短路径优先(OSPF)路由协议是互联网中一个应用最为广泛的内部网关协议，尽管OSPF协议具有良好的扩展性、快速汇聚、支持流量工程和安全性较强等优点，但研究表明OSPF协议仍存在着某些安全漏洞。攻击者利用OSPF协议存在的缺陷，通过设计特定的攻击方法，使得路由器产生路由错误，造成部分网络用户无法正确地到达目的地，或者让路由经过不安全的区域等等，并且有时这些攻击不易被人觉察发现，对于互联网健康发展造成严重的影响。

双链路状态通告(LSA)攻击方法就是一种能够对OSPF协议产生严重威胁的网络攻击方法。所谓双LSA攻击是指攻击者利用OSPF协议判断LSA新旧规则的漏洞，篡改链路状态数据库中的真实LSA，达到路由欺骗的目的。图1给出了双LSA攻击路由器OSPF协议的一种典型场景。攻击者(可以是路由器或运行OSPF协议的主机)通过发送LSA报文，来篡改区域内其他路由器链路状态数据库中到达路由器R4的信息，使其他路由器不能正确到达R4，其中R4为受害路由器。首先攻击者向R2发送关于R4的恶意LSA，称为“触发LSA(图1中的①)”，它的序列号比当前R4的LSA序列号大。过了1～5s后，攻击者发送另一个关于R4的恶意LSA，称为“抗反击LSA(图1中的②)”，该LSA具有与“自反击LSA”相同的序列号和校验和，且两者LS时限差小于15分钟。当然，R4也会收到从R1转发来的有关自己路由的触发LSA，会立即向R1发送自反击LSA(图1中的③)。然而，由于R1中已经存放着伪造的抗反击LSA，且系统默认两者相同，就会丢弃该自反击LSA。此时，R1链路状态数据库中关于R4的路由就被成功篡改。由于双LSA攻击存在抗反击LSA和自反击LSA的时间竞争问题，先到的LSA会被存放在链路状态数据库中，后到的会被丢弃，所以对触发LSA和抗反击LSA发送间隔有一定的要求。LSA接收间隔是指协议进程接收LSA新实例之间的时间间隔。系统默认的时间间隔为1s。若触发LSA和抗反击LSA的发送间隔小于1s，后发送的抗反击LSA则无法被系统接收。LSA生成间隔是指协议进程构造一个新LSA，并发送出的最小间隔。系统默认为5s。当路由器接收到触发LSA后，过5s才能向网络中发送自反击LSA。所以在忽略链路状态数据库的更新时间以及洪泛时间的情况下，触发LSA和抗反击LSA的发送间隔在1s到5s之间，且间隔时间越接近1s，被污染的区域越大。目前对于检测这种对OSPF协议的攻击还缺乏实际有效方法。并且，也不存在一种当检测到这种攻击后恢复被害路由器受该攻击影响的方法。即使解决了双LSA攻击路由器OSPF协议的检测和恢复技术，能够提升实施网络安全技术的性价比也是一个不容忽视的问题。近些年新兴的NFV是一种基于虚拟化技术利用软件代替传统硬件实现各种网络功能或网络设备的技术。通过NFV技术，能够降低了对专用硬件的依赖，减少了网络设备的成本，加快了网络新业务的部署以及网络的创新，同时也为网络安全技术发展注入新的动力。如果网络是一个运行在宿主服务器上的虚拟化的NFV网络，NFV安全技术可以较好地与使用OSPF协议的虚拟路由器(如由基于Linux的容器LXC的路由器软件构成)网络融合在一起。如果网络是由使用OSPF协议的IP路由器实体构成，能够利用NFV安全技术实现与实体OSPF路由器的虚实互通，保障该网络的安全。

发明内容