CN107659534A - 一种ospf协议脆弱性分析与检测系统 - Google Patents
一种ospf协议脆弱性分析与检测系统 Download PDFInfo
- Publication number
- CN107659534A CN107659534A CN201610588275.0A CN201610588275A CN107659534A CN 107659534 A CN107659534 A CN 107659534A CN 201610588275 A CN201610588275 A CN 201610588275A CN 107659534 A CN107659534 A CN 107659534A
- Authority
- CN
- China
- Prior art keywords
- attack
- detecting system
- router
- ospf protocol
- vulnerability analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在分析和研究OSPF协议脆弱性的基础上,设计实现了一个通用的、多模式的OSPF协议脆弱性分析与检测系统,包括了使用伪造实体路由器方法实现拒绝服务攻击模型和使用零拷贝技术实现中间人攻击模型,并采用SNMP和旁路监听相结合的方法实现了检测结果的实时监控。
Description
所属技术领域
本发明涉及一种检测系统,尤其涉及一种OSPF协议脆弱性分析与检测系统。
背景技术
互联网络的高速发展使其成为承载当今人类社会信息传递交流的重要基础设施,如何保障网络安全、稳定、可靠运行以及确保信息安全是互联网发展面临的巨大挑战。路由协议作为互联网络最重要的基础协议之一,负责在路由器间交换、发现和维护关于网络的拓扑信息,寻找网络数据分组交换的最佳路径,实现对网络数据的转发。正确的路由信息是网络报文正确高效传输的前提,路由信息的错误或混乱,严重时会造成网络的瘫痪和秘密信息的泄露。
OSPF(open shortest path first)协议作为当前应用最为广泛的内部网关协议,为自治系统内部的主机提供动态路由选择。OSPF路由协议是基于链路状态的协议,它的运行机制使OSPF自治区域能够快速收敛并进行SPF计算得到路由表。在网络状态发生变化时,它能够快速响应,使路由设备及时更新路由信息。OSPF协议采用了安全保护机制、可靠的扩散机制、一致性校验、分层路由等机制来增加其协议安全性,使OSPF路由协议具有一定的自我保护能力,但这并不足够安全,其协议本身仍然存在着许多漏洞,利用这些漏洞可发起针对OSPF的路由攻击。首先,由于OSPF是通过LSA机制来广播路由信息,通过篡改LSA对OSPF发动攻击,将会使区域内的路由产生震荡,导致拓扑混乱和网络异常。其次,在实际运营的网络环境中,路由器的安全保护机制也仅限于使用密码认证,大多数路由器甚至于使用空认证或者明文认证。当OSPF 使用空验证和简单口令验证时,其路由报文将很容易被截获,根据明文传输的路由信息可以生成伪造的路由信息或利用它分析网络拓扑和流量模式;加密身份认证可防范修改路由消息及阻塞协议报文传输等攻击,但是外部攻击者仍可通过发送使用加密验证的恶意报文来进行DOS攻击。最后,OSPF协议细节上也存在着缺陷,如OSPF协议的一致性验证只包含OSPF头部检验,而没有包含IP分组头;OSPF根据LSA序列号判断LSA的新旧,可以通过篡改LSA设计序列号加一攻击、最大序列号攻击、最大年龄攻击等。多年来国内外的学者和研究人员不断对OSPF 协议的安全缺陷和顽健性进行研究,并提出了多种检测模型和方法。
发明内容
本发明的目的是为了检测不同种类的路由设备的脆弱性,设计了一种OSPF协议脆弱性分析与检测系统。
本发明解决其技术问题所采用的技术方案是:
OSPF协议脆弱性分析与检测系统包括:使用伪造实体路由器方法实现拒绝服务攻击模型和使用零拷贝技术实现中间人攻击模型共同构成的攻击子系统、采用SNMP和旁路监听相结合的方法实现了检测结果的实时监控子系统、可视化子系统。
所述的拒绝服务攻击模型包括:如下几个模型:DR/BDR篡改攻击、LSR报文伪造攻击、序列号加1攻击、最大序列号攻击、最大年龄攻击。
所述的DR/BDR篡改攻击指攻击者通过将Hello报文中的指定路由器和备份指定路由器字段置零后发送到域内,引发指定路由器和备份指定路由器的重选,引起局部网络的不稳定。
所述的LSR报文伪造攻击指攻击者向目标路由器高速发送LSR链路状态请求报文,使得路由器不停地响应LSR报文,占用路由器大量的CPU周期,使其无法提供转发服务。
所述的序列号加1攻击指不断的将收到的LSA数据分组序号加一或更多后, 重新计算校验和发送出去。源路由器将会不断地发送具有更大链路序号的数据分组去纠正错误信息,导致网络带宽消耗、拓扑震荡,甚至引起网络不可用。
所述的最大序列号攻击指将LSA数据分组的链路序号设为最大值0x7FFFFFFF,重新计算校验和后发送出去,效果与序列号加1攻击类似。
所述的最大年龄攻击指在其捕获到一个LSA数据分组后,将链路年龄设为最大,重新发送出去,效果与序列号加1 攻击类似。
所述的中间人攻击模型通过篡改LSU报文中的ASExternal LSA(autonomoussystem external LSA)完成攻击。
所述的攻击子系统首先捕获被攻击网络的流量,通过各路由器所发出的路由信息分析当前路由器状态,根据状态值的不同产生相应的攻击数据分组,实施路由攻击。
所述的监控子系统采集网络状态信息和攻击信息并与攻击子系统通讯,在获得信息的基础上对数据进行融合、分析,生成网络状态相关信息,并将状态信息发送给可视化显示子系统。
所述的可视化子系统读取攻击子系统的攻击信息和监控子系统存储的信息,可视化地显示当前网络状态、攻击过程和结果。
本发明的有益效果是:
OSPF协议脆弱性分析与检测系统可以检测出OSPF脆弱性对不同路由设备危害程度,并且由此得出OSPF协议本身存在的不足,一旦被恶意攻击,将导致网络不可用或者信息的泄露。因此,在以后的研究中对OSPF安全漏洞进行改进势在必行。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1是OSPF协议脆弱性检测系统架构。
图2是OSPF状态机转换。
图3是中间人攻击流程。
具体实施方式
如图1所示, SPF协议脆弱性分析与检测系统包括:使用伪造实体路由器方法实现拒绝服务攻击模型和使用零拷贝技术实现中间人攻击模型共同构成的攻击子系统、采用SNMP和旁路监听相结合的方法实现了检测结果的实时监控子系统、可视化子系统。攻击子系统首先捕获被攻击网络的流量,通过各路由器所发出的路由信息分析当前路由器状态,根据状态值的不同产生相应的攻击数据分组,实施路由攻击。监控子系统采集网络状态信息和攻击信息并与攻击子系统通讯,在获得信息的基础上对数据进行融合、分析,生成网络状态相关信息,并将状态信息发送给可视化显示子系统。可视化子系统读取攻击子系统的攻击信息和监控子系统存储的信息,可视化地显示当前网络状态、攻击过程和结果。
如图2所示, 系统中OSPF的状态机。拒绝服务攻击模型包括:如下几个模型:DR/BDR篡改攻击、LSR报文伪造攻击、序列号加1攻击、最大序列号攻击、最大年龄攻击;DR/BDR篡改攻击指攻击者通过将Hello报文中的指定路由器和备份指定路由器字段置零后发送到域内,引发指定路由器和备份指定路由器的重选,引起局部网络的不稳定;LSR报文伪造攻击指攻击者向目标路由器高速发送LSR链路状态请求报文,使得路由器不停地响应LSR报文,占用路由器大量的CPU周期,使其无法提供转发服务;序列号加1攻击指不断的将收到的LSA数据分组序号加一或更多后, 重新计算校验和发送出去。源路由器将会不断地发送具有更大链路序号的数据分组去纠正错误信息,导致网络带宽消耗、拓扑震荡,甚至引起网络不可用;最大序列号攻击指将LSA数据分组的链路序号设为最大值0x7FFFFFFF,重新计算校验和后发送出去,效果与序列号加1攻击类似;最大年龄攻击指在其捕获到一个LSA数据分组后,将链路年龄设为最大,重新发送出去,效果与序列号加1攻击类似。拒绝服务攻击模型的主要目标是通过向被攻击者发送大量伪造报文,从而消耗被攻击者的资源或者产生网络拥塞,造成路由和网络的不可用。实验发现如果仅仅是发送单一的攻击报文,此报文会被路由器直接丢弃。对OSPF进行有效的路由攻击必须维护OSPF的状态机,因此攻击者必须要伪造成一个合法的实体路由器。伪造路由器的方法通过改造 Quagga实现。Quagga/Zebra是一款基于Linux平台下的开源路由软件,它具有使用的广泛性、易用性和功能完备性等特点。Quagga包含一个核心守护进程Zebra,它作为Linux底层核心的一个抽象层,为上层模块化的路由协议的实现提供系统级的服务。OSPF作为其中一个独立模块,它与Zebra 守护程序交换路由更新信息。不同的攻击只有在特定的路由状态下才能有效,本文的攻击模型都设计在Full状态下。通过设计和选择不同的OSPF状态机,在攻击需要的对应状态下篡改和伪造OSPF报文完成不同的攻击。
如图3所示, 中间人攻击模型通过篡改LSU报文中的ASExternal LSA(autonomoussystem external LSA)完成攻击。中间人攻击模型的主要目标是通过连接在 2个路由器之间,获得它们路由信息的同时进行篡改,从而达到改变路由、影响网络拓扑的目的。为了达到这个目的,攻击者需要高效地捕获、过滤并转发数据分组。如果转发效率不够高,数据分组延时较大,则可能引起重传等问题。另一方面,中间人不能产生一些无用分组干扰正常的通信。经过研究,利用NTZC可以有效实现中间人攻击。零拷贝技术(NTZC)是通过将若干连续的内核空间mmap到用户空间,减少数据分组拷贝次数,达到提高效率的目的。作为中间人,攻击者可以获得两端路由器间通信的所有报文,方便窃取路由信息和其他通讯信息。其攻击流程如下。1) 等待捕获存在AS External LSA的LSU报文。2) 根据步骤1)中捕获的LSU报文伪造一个LSU报文,将该LSA的link state ID字段设置为需要改变的路由(设为R)的目的IP地址,advertisingrouter字段设置为路由R希望被引导到的IP地址,即所有去往linkstate ID地址的数据分组都要经过advertising router这个地址。同时设置该LSA的metric值,令其小于当前网络中存在的其他到达R的目的地址的所有路由的metric值。3)接收路由器对伪造的LSU报文的响应,但不转发这个响应报文。
在攻击检测的过程中,需要监控网络中所有路由器状态的变化情况,用以对脆弱性的危害进行定量分析。当网络中存在攻击,设备的CPU将满负荷运行,无法处理SNMP请求,监控系统将无法捕获设备的运行状态和信息。因此,本文采用SNMP和旁路监听相结合的方式实现网络监控。系统通过设置定时器,定时向路由器发出SNMP请求,获得CPU利用率、内存利用率等路由器状态信息。旁路监听方式使用路由交换设备的端口流量镜像功能将网络流量旁路到监控服务器上,在服务器上使用WinPcap对接收到的端口出入流量进行实时采集,对流量数据进行过滤,丢弃那些无用数据,对有用数据(路由协议数据分组)进行分析,得到当前路由器状态和网络状态,从而监控网络的异常变化,且不会对网络产生任何影响。
Claims (10)
1.一种OSPF协议脆弱性分析与检测系统,包括:使用伪造实体路由器方法实现拒绝服务攻击模型和使用零拷贝技术实现中间人攻击模型共同构成的攻击子系统、采用SNMP和旁路监听相结合的方法实现了检测结果的实时监控子系统、可视化子系统。
2.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的拒绝服务攻击模型包括:如下几个模型:DR/BDR篡改攻击、LSR报文伪造攻击、序列号加1攻击、最大序列号攻击、最大年龄攻击。
3.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的DR/BDR篡改攻击指攻击者通过将Hello报文中的指定路由器和备份指定路由器字段置零后发送到域内,引发指定路由器和备份指定路由器的重选,引起局部网络的不稳定。
4.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的LSR报文伪造攻击指攻击者向目标路由器高速发送LSR链路状态请求报文,使得路由器不停地响应LSR报文,占用路由器大量的CPU周期,使其无法提供转发服务。
5.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的序列号加1攻击指不断的将收到的LSA数据分组序号加一或更多后, 重新计算校验和发送出去;源路由器将会不断地发送具有更大链路序号的数据分组去纠正错误信息,导致网络带宽消耗、拓扑震荡,甚至引起网络不可用。
6.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的最大序列号攻击指将LSA数据分组的链路序号设为最大值0x7FFFFFFF,重新计算校验和后发送出去,效果与序列号加1攻击类似。
7.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的最大年龄攻击指在其捕获到一个LSA数据分组后,将链路年龄设为最大,重新发送出去,效果与序列号加1 攻击类似。
8.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的中间人攻击模型通过篡改LSU报文中的ASExternal LSA(autonomous system external LSA)完成攻击。
9.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的攻击子系统首先捕获被攻击网络的流量,通过各路由器所发出的路由信息分析当前路由器状态,根据状态值的不同产生相应的攻击数据分组,实施路由攻击。
10.根据权利要求1所述的OSPF协议脆弱性分析与检测系统,其特征是所述的监控子系统采集网络状态信息和攻击信息并与攻击子系统通讯,在获得信息的基础上对数据进行融合、分析,生成网络状态相关信息,并将状态信息发送给可视化显示子系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610588275.0A CN107659534A (zh) | 2016-07-25 | 2016-07-25 | 一种ospf协议脆弱性分析与检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610588275.0A CN107659534A (zh) | 2016-07-25 | 2016-07-25 | 一种ospf协议脆弱性分析与检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107659534A true CN107659534A (zh) | 2018-02-02 |
Family
ID=61126294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610588275.0A Pending CN107659534A (zh) | 2016-07-25 | 2016-07-25 | 一种ospf协议脆弱性分析与检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107659534A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109194503A (zh) * | 2018-08-10 | 2019-01-11 | 烽火通信科技股份有限公司 | 一种利用ospf报文分配站点ip的方法 |
CN109525491A (zh) * | 2018-10-26 | 2019-03-26 | 北京网太科技发展有限公司 | 开放式最短路径优先协议的信息处理方法及装置、存储介质 |
CN111614518A (zh) * | 2020-05-20 | 2020-09-01 | 中国电子科技集团公司第五十四研究所 | 一种基于ospf协议的自动化安全测试方法 |
CN112187865A (zh) * | 2020-09-02 | 2021-01-05 | 中国人民解放军战略支援部队信息工程大学 | 开放式最短路径优先报文处理方法及拟态设备 |
CN112532601A (zh) * | 2020-11-20 | 2021-03-19 | 浙江大学 | 一种基于旁路脆弱性的终端设备安全分析方法 |
-
2016
- 2016-07-25 CN CN201610588275.0A patent/CN107659534A/zh active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109194503A (zh) * | 2018-08-10 | 2019-01-11 | 烽火通信科技股份有限公司 | 一种利用ospf报文分配站点ip的方法 |
CN109194503B (zh) * | 2018-08-10 | 2021-04-20 | 烽火通信科技股份有限公司 | 一种利用ospf报文分配站点ip的方法 |
CN109525491A (zh) * | 2018-10-26 | 2019-03-26 | 北京网太科技发展有限公司 | 开放式最短路径优先协议的信息处理方法及装置、存储介质 |
CN111614518A (zh) * | 2020-05-20 | 2020-09-01 | 中国电子科技集团公司第五十四研究所 | 一种基于ospf协议的自动化安全测试方法 |
CN112187865A (zh) * | 2020-09-02 | 2021-01-05 | 中国人民解放军战略支援部队信息工程大学 | 开放式最短路径优先报文处理方法及拟态设备 |
CN112187865B (zh) * | 2020-09-02 | 2022-11-01 | 中国人民解放军战略支援部队信息工程大学 | 开放式最短路径优先报文处理方法及拟态设备 |
CN112532601A (zh) * | 2020-11-20 | 2021-03-19 | 浙江大学 | 一种基于旁路脆弱性的终端设备安全分析方法 |
CN112532601B (zh) * | 2020-11-20 | 2021-12-24 | 浙江大学 | 一种基于旁路脆弱性的终端设备安全分析方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zheng et al. | Realtime DDoS defense using COTS SDN switches via adaptive correlation analysis | |
Dhawan et al. | Sphinx: detecting security attacks in software-defined networks. | |
Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
CN107659534A (zh) | 一种ospf协议脆弱性分析与检测系统 | |
Dayal et al. | Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN | |
TWI332159B (en) | Method, system, analyser, router, and computer readable medium of detecting a distributed denial of service (ddos) attack in the internet | |
Ehrenkranz et al. | On the state of IP spoofing defense | |
Sonchack et al. | Timing-based reconnaissance and defense in software-defined networks | |
KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
Leng et al. | An inference attack model for flow table capacity and usage: Exploiting the vulnerability of flow table overflow in software-defined network | |
Harshita | Detection and prevention of ICMP flood DDOS attack | |
Chen et al. | One primitive to diagnose them all: Architectural support for internet diagnostics | |
Bhatia et al. | Ensemble-based ddos detection and mitigation model | |
Chen et al. | Detecting and Preventing IP-spoofed Distributed DoS Attacks. | |
Mirkovic et al. | How to test dos defenses | |
Kong et al. | Random flow network modeling and simulations for DDoS attack mitigation | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
CN108881315A (zh) | 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统 | |
Kong et al. | Combination attacks and defenses on sdn topology discovery | |
Burke et al. | Misreporting attacks against load balancers in software-defined networking | |
Aghaei-Foroushani et al. | On evaluating ip traceback schemes: a practical perspective | |
Smyth et al. | SECAP switch—Defeating topology poisoning attacks using P4 data planes | |
Karapoola et al. | Net-Police: A network patrolling service for effective mitigation of volumetric DDoS attacks | |
Wong et al. | An efficient distributed algorithm to identify and traceback ddos traffic | |
Chan et al. | Intrusion detection routers: design, implementation and evaluation using an experimental testbed |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180202 |