CN109347790B - 一种电力mpls vpn网络的安全攻击测试系统及测试方法 - Google Patents
一种电力mpls vpn网络的安全攻击测试系统及测试方法 Download PDFInfo
- Publication number
- CN109347790B CN109347790B CN201811000301.9A CN201811000301A CN109347790B CN 109347790 B CN109347790 B CN 109347790B CN 201811000301 A CN201811000301 A CN 201811000301A CN 109347790 B CN109347790 B CN 109347790B
- Authority
- CN
- China
- Prior art keywords
- vpn
- mpls
- attack
- tester
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 100
- 238000010998 test method Methods 0.000 title claims description 13
- 230000011664 signaling Effects 0.000 claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 18
- 230000006855 networking Effects 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 12
- 238000002955 isolation Methods 0.000 claims abstract description 10
- 230000005540 biological transmission Effects 0.000 claims abstract description 7
- 230000002776 aggregation Effects 0.000 claims description 18
- 238000004220 aggregation Methods 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 7
- 238000012668 chain scission Methods 0.000 claims description 6
- 230000036244 malformation Effects 0.000 claims description 6
- 230000010355 oscillation Effects 0.000 claims description 6
- 230000008676 import Effects 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- YTAHJIFKAKIKAV-XNMGPUDCSA-N [(1R)-3-morpholin-4-yl-1-phenylpropyl] N-[(3S)-2-oxo-5-phenyl-1,3-dihydro-1,4-benzodiazepin-3-yl]carbamate Chemical compound O=C1[C@H](N=C(C2=C(N1)C=CC=C2)C1=CC=CC=C1)NC(O[C@H](CCN1CCOCC1)C1=CC=CC=C1)=O YTAHJIFKAKIKAV-XNMGPUDCSA-N 0.000 claims description 2
- 238000012795 verification Methods 0.000 abstract description 9
- 238000012544 monitoring process Methods 0.000 abstract 2
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力MPLS VPN网络的安全攻击测试方法,包括MPLS VPN安全攻击组网配置、攻击策略配置和攻击策略验证;MPLS VPN安全攻击组网配置包括数据加密和数据透传两种组网方式;攻击策略配置包括转发面流量攻击、控制面信令攻击及整机异常报文攻击;攻击策略验证包括VPN业务流量监测和VPN业务路由监测。本发明采用基于电力MPLS VPN组网架构,结合转发面流量攻击、控制面信令攻击及整机异常报文攻击,分析策略验证步骤的VPN业务流量和VPN业务路由的状态,确定电力MPLS VPN系统不同VPN业务的逻辑隔离安全性;该方法可对电力系统的VPN安全性进行有效评估。
Description
技术领域
本发明涉及一种实验室数据通信领域的测试技术,具体涉及一种电力MPLS VPN网络的安全攻击测试系统及测试方法。
背景技术
MPLS VPN是一种基于MPLS技术的IP VPN,同时结合了IP网络和ATM网络的优点,在网络路由和交换设备上应用MPLS技术,通过标记交换实现IP虚拟专用网络,简单高效。
目前,越来越多的企业开始使用MPLS VPN技术来组建自己的VPN专线网络。随着电力系统网络通信技术的发展,电力调度数据网、配网数据传输网的业务需求范围和区域逐渐扩展,需要安全可靠的VPN专线网络支撑。MPLS VPN作为最基础的通信VPN专线技术,在电力数据通信网中被广泛部署。
MPLS VPN使用BGP协议扩展技术,将用户的IPv4地址映射为唯一的VPN-IPv4NRLI,通过扩展的BGP属性,PE路由器可控制不同VPN路由的路径转发,并通过独立的VPN转发表项来实现网络中不同VPN业务的逻辑隔离。目前的电力系统MPLS测试方法主要是针对MPLS VPN的业务功能、性能规格进行验证。但网络系统在伪造流量和协议的攻击下,是否能够保证VPN业务的安全可靠隔离,目前还没有一套系统完整的测试验证方法。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种电力MPLS VPN网络的安全攻击测试系统及测试方法,在数据加密和数据透传两种组网环境下,分别验证转发面流量攻击、控制面信令攻击及整机异常报文攻击三种攻击策略对电力系统VPN逻辑隔离安全可靠性的影响,测试过程简洁,并且对于测试仪器的资源容量和性能要求不高。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种电力MPLS VPN网络的安全攻击测试系统,包括MPLS VPN安全攻击组网环境,所述MPLS VPN安全攻击组网环境由以下设备搭建而成,具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,设备之间通过100M/1000M线路接口连接拓扑,提供测试基础物理环境;
所述核心路由器RT1、接入路由器RT4为主测节点,RT1连接测试仪的TC-port3、TC-port4接口,RT4连接测试仪的TC-port1、TC-port2接口;测试仪的TC-port1至TC-port4四个接口分别模拟调度数据网实时VPN CE侧业务和非实时VPN CE侧业务;配网主站和配网子站间为真实配网VPN CE侧业务。
进一步地,所述核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4支持三层MPLS VPN功能,并在公网侧互连接口配置MP-iBGP邻居协议;主测节点RT1、RT4在私网侧接口上分别配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT,所述三个VPN实例的Router Target属性分别为不同的值,且不同VPN实例的Router Target属性参数不存在交集。
进一步地,所述MPLS VPN安全攻击组网环境内的加密网关,分别设置数据加密和数据透传两种工作方式。
一种电力MPLS VPN网络的安全攻击测试方法,根据所述的测试系统搭建MPLS VPN安全攻击组网环境,所述测试方法还包括攻击策略配置和攻击策略验证;所述攻击策略配置包括在已搭建的MPLS VPN组网拓扑中构建转发面流量攻击报文、控制面信令攻击报文和整机异常攻击报文;所述攻击策略验证为通过观察实时、非实时、配网VPN业务流量和VPN路由信息,得出电力VPN业务逻辑隔离的安全性结果。
进一步地,具体包括如下步骤,
a) 组建电力MPLS VPN网络安全攻击测试的物理拓扑,包括两台主测节点设备和八台辅助测试节点设备,具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,通过100M/1000M线路接口连接拓扑;
b) 主测节点RT1、RT4设备配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT;RT1、RT4接口Ⅰ下连配网业务,绑定VPN-P实例;RT1、RT4接口Ⅱ分别下连测试仪TC-Port1、TC-Port3模拟的实时VPN业务,绑定VPN-RT实例;RT1、RT4接口Ⅲ分别下连测试仪TC-Port2、TC-Port4模拟的非实时VPN业务,绑定VPN-RT实例;
c) 节点RT1、RT2、RT3、RT4配置本地loopback接口及IP地址;节点RT1分别与RT2、RT3直连接口建立OSPF邻居,RT2分别与RT1、RT3、RT4直连接口建立OSPF邻居,RT3分别与RT1、RT2直连接口建立OSPF邻居,RT4与RT2直连接口建立OSPF邻居;在RT1、RT2、RT3、RT4OSPF邻居下通告本地loopback接口地址,等待OSPF邻居UP后,在设备上查看OSPF路由表信息,观察是否有到其他三台路由器loopback接口地址的路由;
d) 节点RT1、RT2、RT3、RT4设备全局使能MPLS标签转发功能,同时在互连公网侧接口下使能LDP协议,通过loopback接口两两建立MPLS-iBGP邻居,并在BGP配置下导入所有私网路由;
e) 检查节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态、标签及路由信息;
f) 配网主站和配网子站建立通信连接,配置配网VPN业务;测试仪TC-Port1构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port3口IP;测试仪TC-Port2构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port4口IP;测试仪TC-Port3构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port1口IP;测试仪TC-Port4构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port2口IP;
g) 检查测试仪、配网主站、配网子站上VPN-RT、VPN-NRT及VPN-P业务的连通性和跨VPN业务的隔离性;
h) 在节点RT1、RT4公网侧接口Ⅳ配置端口镜像,捕获真实的MPLS业务流量及信令报文,构造不同类型的转发面流量攻击报文和控制面信令攻击报文;其中,所述转发面流量攻击报文包括MPLS业务流量回放报文和MPLS业务流量伪造报文;所述控制面信令攻击报文为MPLS信令伪造报文;
i) 停止测试仪、配网的正常VPN业务流量,在RT1、RT4的任意空配置接口下,灌入MPLS业务流量回放报文,观察测试仪接口、配网主站、配网子站是否有回放的VPN业务流量进入,根据业务查询结果确定是否结束测试;
j) 在RT1、RT4的任意空配置接口下,灌入MPLS业务流量伪造报文,观察测试仪、配网主站、配网子站是否有伪造的VPN业务流量进入,根据业务查询结果确定是否结束测试;
k) 开启测试仪、配网的正常VPN业务流量,在RT1、RT2、RT3、RT4的公网侧接口下,灌入MPLS信令伪造报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;检查BGP VPNV4路由信息是否因此受到影响而出现下一跳被篡改;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试;
l) 在RT1、RT2、RT3、RT4的公网侧接口下,灌入整机异常攻击报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试。
进一步地,步骤h)中,对捕获到的MPLS业务流量进行配置,选择性修改标签值、五元组、数据内容,构造不同类型的MPLS业务流量伪造报文;所述五元组包括源IP、目的IP、源端口、目的端口和协议号。
进一步地,步骤h)中,对捕获到的MPLS信令报文进行配置,选择性修改BGP信令中的UPDATE路由更新报文Router Distinguish、MP Reach NLRI IPv4 prefix字段的值,构造不同类型的MPLS信令伪造报文。
进一步地,所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。
进一步地,所述畸形攻击报文包括以下三种类型:1)带有攻击目的的IP报文,使得目标系统在处理这样的IP报文时出错、崩溃;2)用来干扰正常网络连接或探测网络结构的正常报文,给目标系统带来损失;3)大量无用报文,占用设备资源,造成拒绝服务供给。
进一步地,所述泛洪攻击是指在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息。
进一步地,步骤i)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无回放的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
进一步地,步骤j)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
进一步地,步骤k)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,BGP VPNV4路由信息与攻击前一致,下一跳不变,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试继续;否则,测试失败,结束测试。
进一步地,步骤l)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试成功,结束测试;否则,测试失败,结束测试。
有益效果:本发明提供的电力MPLS VPN网络的安全攻击测试系统及测试方法,通过实验室验证,可准确鉴证电力MPLS VPN网络的安全可靠性,是一种有效的检验方法,填补了目前相关项目测试方法缺乏的现状。该测试方法通过转发面流量攻击、控制面信令攻击及整机异常报文攻击三种攻击策略,可验证电力MPLS网络数据加密及透传模式下三层VPN逻辑隔离的安全性。
附图说明
图1为本发明的测试系统一个实施例的业务拓扑连接示意图;
图2为本发明的测试方法一个实施例的逻辑功能结构示意图;
图3为本发明的测试方法一个实施例的流程图。
具体实施方式
下面结合附图对本发明作更进一步的说明。
一种电力MPLS VPN网络的安全攻击测试系统,包括MPLS VPN安全攻击组网环境,所述MPLS VPN安全攻击组网环境由以下设备搭建而成,具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,设备之间通过100M/1000M线路接口连接拓扑,提供测试基础物理环境,如图1所示。
所述核心路由器RT1、接入路由器RT4为主测节点,RT1连接测试仪的TC-port3、TC-port4接口,RT4连接测试仪的TC-port1、TC-port2接口;测试仪的TC-port1至TC-port4四个接口分别模拟调度数据网实时VPN CE侧业务和非实时VPN CE侧业务;配网主站和配网子站间为真实配网VPN CE侧业务。
所述核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4支持三层MPLS VPN功能,并在公网侧互连接口配置MP-iBGP邻居协议;主测节点RT1、RT4在私网侧接口上分别配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT,所述三个VPN实例的Router Target属性分别为不同的值,且不同VPN实例的Router Target属性参数不存在交集。
所述MPLS VPN安全攻击组网环境内的加密网关,分别设置数据加密和数据透传两种工作方式。
一种电力MPLS VPN网络的安全攻击测试方法,根据前述测试系统搭建MPLS VPN安全攻击组网环境,所述测试方法还包括攻击策略配置和攻击策略验证,如图2所示;所述攻击策略配置包括在已搭建的MPLS VPN组网拓扑中构建转发面流量攻击报文、控制面信令攻击报文和整机异常攻击报文;所述攻击策略验证为通过观察实时、非实时、配网VPN业务流量和VPN路由信息,得出电力VPN业务逻辑隔离的安全性结果。
一种电力MPLS VPN网络的安全攻击测试方法,具体包括如下步骤,流程如图3所示:
a) 组建电力MPLS VPN网络安全攻击测试的物理拓扑,包括两台主测节点设备和八台辅助测试节点设备,具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,通过100M/1000M线路接口连接拓扑;
b) 主测节点RT1、RT4设备配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT;RT1、RT4接口Ⅰ下连配网业务,绑定VPN-P实例;RT1、RT4接口Ⅱ分别下连测试仪TC-Port1、TC-Port3模拟的实时VPN业务,绑定VPN-RT实例;RT1、RT4接口Ⅲ分别下连测试仪TC-Port2、TC-Port4模拟的非实时VPN业务,绑定VPN-RT实例;
c) 节点RT1、RT2、RT3、RT4配置本地loopback接口及IP地址;节点RT1分别与RT2、RT3直连接口建立OSPF邻居,RT2分别与RT1、RT3、RT4直连接口建立OSPF邻居,RT3分别与RT1、RT2直连接口建立OSPF邻居,RT4与RT2直连接口建立OSPF邻居;在RT1、RT2、RT3、RT4OSPF邻居下通告本地loopback接口地址,等待OSPF邻居UP后,在设备上查看OSPF路由表信息,观察是否有到其他三台路由器loopback接口地址的路由;
d) 节点RT1、RT2、RT3、RT4设备全局使能MPLS标签转发功能,同时在互连公网侧接口下使能LDP协议,通过loopback接口两两建立MPLS-iBGP邻居,并在BGP配置下导入所有私网路由;
e) 检查节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态、标签及路由信息;
f) 配网主站和配网子站建立通信连接,配置配网VPN业务;测试仪TC-Port1构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port3口IP;测试仪TC-Port2构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port4口IP;测试仪TC-Port3构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port1口IP;测试仪TC-Port4构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port2口IP;
g) 检查测试仪、配网主站、配网子站上VPN-RT、VPN-NRT及VPN-P业务的连通性和跨VPN业务的隔离性;
h) 在节点RT1、RT4公网侧接口Ⅳ配置端口镜像,捕获真实的MPLS业务流量及信令报文,构造不同类型的转发面流量攻击报文和控制面信令攻击报文;其中,所述转发面流量攻击报文包括MPLS业务流量回放报文和MPLS业务流量伪造报文;所述控制面信令攻击报文为MPLS信令伪造报文;
所述MPLS业务流量回放报文是指节点RT1、RT4公网侧接口Ⅳ镜像的业务流量。
具体地,对捕获到的MPLS业务流量进行配置,选择性修改标签值、五元组、数据内容,构造不同类型的MPLS业务流量伪造报文;所述五元组包括源IP、目的IP、源端口、目的端口和协议号。
对捕获到的MPLS信令报文进行配置,选择性修改BGP信令中的UPDATE路由更新报文Router Distinguish、MP Reach NLRI IPv4 prefix字段的值,构造不同类型的MPLS信令伪造报文。
i) 停止测试仪、配网的正常VPN业务流量,在RT1、RT4的任意空配置接口下,灌入MPLS业务流量回放报文,观察测试仪接口、配网主站、配网子站是否有回放的VPN业务流量进入,所述VPN业务流量即MPLS流量标签弹出后的IPv4业务流量;若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
j) 在RT1、RT4的任意空配置接口下,灌入MPLS业务流量伪造报文,观察测试仪、配网主站、配网子站是否有伪造的VPN业务流量进入;若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
k) 开启测试仪、配网的正常VPN业务流量,在RT1、RT2、RT3、RT4的公网侧接口下,灌入MPLS信令伪造报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;检查BGP VPNV4路由信息是否因此受到影响而出现下一跳被篡改;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透;若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,BGP VPNV4路由信息与攻击前一致,下一跳不变,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试继续;否则,测试失败,结束测试。
l) 在RT1、RT2、RT3、RT4的公网侧接口下,灌入整机异常攻击报文;所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。
所述畸形攻击报文包括以下三种类型:1)带有攻击目的的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃;2)用来干扰正常网络连接或探测网络结构的正常报文,如ICMP报文、特殊类型的IP option报文,给目标系统带来损失;3)大量无用报文,占用设备资源,造成拒绝服务供给,如UDP fraggle、LAND 攻击等。
泛洪攻击是指在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,如TCP flood攻击、UDP flood攻击、HTTP flood攻击、ICMP flood攻击等。
观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透;若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,测试仪、配网侧的不同VPN业务(VPN-P、VPN-RT、VPN-NRT)流量隔离,测试成功,结束测试;否则,测试失败,结束测试。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (13)
1.一种电力MPLS VPN网络的安全攻击测试方法,其特征在于:包括如下步骤,
a) 组建电力MPLS VPN网络安全攻击测试的物理拓扑,包括两台主测节点设备和八台辅助测试节点设备,具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,通过100M/1000M线路接口连接拓扑;
b) 主测节点RT1、RT4设备配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT;RT1、RT4接口Ⅰ下连配网业务,绑定VPN-P实例;RT1、RT4接口Ⅱ分别下连测试仪TC-Port1、TC-Port3模拟的实时VPN业务,绑定VPN-RT实例;RT1、RT4接口Ⅲ分别下连测试仪TC-Port2、TC-Port4模拟的非实时VPN业务,绑定VPN-RT实例;
c) 节点RT1、RT2、RT3、RT4配置本地loopback接口及IP地址;节点RT1分别与RT2、RT3直连接口建立OSPF邻居,RT2分别与RT1、RT3、RT4直连接口建立OSPF邻居,RT3分别与RT1、RT2直连接口建立OSPF邻居,RT4与RT2直连接口建立OSPF邻居;在RT1、RT2、RT3、RT4 OSPF邻居下通告本地loopback接口地址,等待OSPF邻居UP后,在设备上查看OSPF路由表信息,观察是否有到其他三台路由器loopback接口地址的路由;
d) 节点RT1、RT2、RT3、RT4设备全局使能MPLS标签转发功能,同时在互连公网侧接口下使能LDP协议,通过loopback接口两两建立MPLS-iBGP邻居,并在BGP配置下导入所有私网路由;
e) 检查节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态、标签及路由信息;
f) 配网主站和配网子站建立通信连接,配置配网VPN业务;测试仪TC-Port1构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port3口IP;测试仪TC-Port2构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port4口IP;测试仪TC-Port3构建调度数据网实时VPN业务,业务流量的目的IP为测试仪TC-Port1口IP;测试仪TC-Port4构建调度数据网非实时VPN业务,业务流量的目的IP为测试仪TC-Port2口IP;
g) 检查测试仪、配网主站、配网子站上VPN-RT、VPN-NRT及VPN-P业务的连通性和跨VPN业务的隔离性;
h) 在节点RT1、RT4公网侧接口Ⅳ配置端口镜像,捕获真实的MPLS业务流量及信令报文,构造不同类型的转发面流量攻击报文和控制面信令攻击报文;其中,所述转发面流量攻击报文包括MPLS业务流量回放报文和MPLS业务流量伪造报文;所述控制面信令攻击报文为MPLS信令伪造报文;
i) 停止测试仪、配网的正常VPN业务流量,在RT1、RT4的任意空配置接口下,灌入MPLS业务流量回放报文,观察测试仪接口、配网主站、配网子站是否有回放的VPN业务流量进入,根据业务查询结果确定是否结束测试;
j) 在RT1、RT4的任意空配置接口下,灌入MPLS业务流量伪造报文,观察测试仪、配网主站、配网子站是否有伪造的VPN业务流量进入,根据业务查询结果确定是否结束测试;
k) 开启测试仪、配网的正常VPN业务流量,在RT1、RT2、RT3、RT4的公网侧接口下,灌入MPLS信令伪造报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;检查BGP VPNV4路由信息是否因此受到影响而出现下一跳被篡改;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试;
l) 在RT1、RT2、RT3、RT4的公网侧接口下,灌入整机异常攻击报文;观察RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态是否出现震荡或断链;查看测试仪、配网侧的不同VPN业务流量是否逻辑穿透,根据业务查询结果确定是否结束测试。
2.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤h)中,对捕获到的MPLS业务流量进行配置,选择性修改标签值、五元组、数据内容,构造不同类型的MPLS业务流量伪造报文;所述五元组包括源IP、目的IP、源端口、目的端口和协议号。
3.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤h)中,对捕获到的MPLS信令报文进行配置,选择性修改BGP信令中的UPDATE路由更新报文Router Distinguish、MP Reach NLRI IPv4 prefix字段的值,构造不同类型的MPLS信令伪造报文。
4.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。
5.根据权利要求4所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:所述畸形攻击报文包括以下三种类型:1)带有攻击目的的IP报文,使得目标系统在处理这样的IP报文时出错、崩溃;2)用来干扰正常网络连接或探测网络结构的正常报文,给目标系统带来损失;3)大量无用报文,占用设备资源,造成拒绝服务供给。
6.根据权利要求4所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:所述泛洪攻击是指在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息。
7.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤i)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无回放的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
8.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤j)中,若测试仪接口TC-Port1至TC-Port4、配网主站、配网子站均无伪造的VPN业务流量进入,测试继续;否则,则测试失败,结束测试。
9.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤k)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,BGP VPNV4路由信息与攻击前一致,下一跳不变,测试仪、配网侧的不同VPN业务流量隔离,测试继续,所述VPN业务包括VPN-P、VPN-RT、VPN-NRT;否则,测试失败,结束测试。
10.根据权利要求1所述的电力MPLS VPN网络的安全攻击测试方法,其特征在于:步骤l)中,若节点RT1、RT2、RT3、RT4的OSPF、LDP、BGP邻居状态保持UP,测试仪、配网侧的不同VPN业务流量隔离,测试成功,结束测试,所述VPN业务包括VPN-P、VPN-RT、VPN-NRT;否则,测试失败,结束测试。
11.一种电力MPLS VPN网络的安全攻击测试系统,作为权利要求1所述测试方法的执行系统,其特征在于:包括MPLS VPN安全攻击组网环境,所述MPLS VPN安全攻击组网环境由以下设备搭建而成,具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4,设备之间通过100M/1000M线路接口连接拓扑,提供测试基础物理环境;
所述核心路由器RT1、接入路由器RT4为主测节点,RT1连接测试仪的TC-port3、TC-port4接口,RT4连接测试仪的TC-port1、TC-port2接口;测试仪的TC-port1至TC-port4四个接口分别模拟调度数据网实时VPN CE侧业务和非实时VPN CE侧业务;配网主站和配网子站间为真实配网VPN CE侧业务。
12.根据权利要求11所述的电力MPLS VPN网络的安全攻击测试系统,其特征在于:所述核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4支持三层MPLSVPN功能,并在公网侧互连接口配置MP-iBGP邻居协议;主测节点RT1、RT4在私网侧接口上分别配置三个VPN实例,分别是VPN-P、VPN-RT、VPN-NRT,所述三个VPN实例的Router Target属性分别为不同的值,且不同VPN实例的Router Target属性参数不存在交集。
13.根据权利要求11所述的电力MPLS VPN网络的安全攻击测试系统,其特征在于:所述MPLS VPN安全攻击组网环境内的加密网关,分别设置数据加密和数据透传两种工作方式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811000301.9A CN109347790B (zh) | 2018-08-30 | 2018-08-30 | 一种电力mpls vpn网络的安全攻击测试系统及测试方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811000301.9A CN109347790B (zh) | 2018-08-30 | 2018-08-30 | 一种电力mpls vpn网络的安全攻击测试系统及测试方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109347790A CN109347790A (zh) | 2019-02-15 |
CN109347790B true CN109347790B (zh) | 2021-04-09 |
Family
ID=65292017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811000301.9A Active CN109347790B (zh) | 2018-08-30 | 2018-08-30 | 一种电力mpls vpn网络的安全攻击测试系统及测试方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109347790B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187569B (zh) * | 2020-09-14 | 2022-05-10 | 南瑞集团有限公司 | 一种电力ng方式的组播vpn测试系统及方法 |
CN114285778A (zh) * | 2021-11-23 | 2022-04-05 | 南瑞集团有限公司 | 一种电力调度数据网组网安全测试系统及测试方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040230681A1 (en) * | 2002-12-06 | 2004-11-18 | John Strassner | Apparatus and method for implementing network resources to provision a service using an information model |
CN101599901B (zh) * | 2009-07-15 | 2011-06-08 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
CN102946349B (zh) * | 2012-02-23 | 2015-08-19 | Ut斯达康通讯有限公司 | 一种基于OSPF协议的以太网E-Line业务链路发现方法及装置 |
CN104202409B (zh) * | 2014-09-12 | 2017-09-15 | 成都卫士通信息产业股份有限公司 | 一种负载均衡的ssl vpn设备集群系统及其工作方法 |
CN104980317B (zh) * | 2015-06-18 | 2018-03-02 | 南京南瑞集团公司 | 一种调度数据网设备的自动测试系统及测试方法 |
CN106559289A (zh) * | 2016-11-28 | 2017-04-05 | 杭州迪普科技股份有限公司 | Sslvpn网关的并发测试方法及装置 |
CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
-
2018
- 2018-08-30 CN CN201811000301.9A patent/CN109347790B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109347790A (zh) | 2019-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103748835B (zh) | 标签交换路径的动态更新 | |
CN101076972B (zh) | 获得与基于虚拟专用lan服务(vpls)的网络相关的路径信息 | |
CN105376154B (zh) | 渐进式mac地址学习 | |
CN105610710B (zh) | 交换结构系统上部署的标准协议验证机制的方法和装置 | |
CN104243270B (zh) | 一种建立隧道的方法和装置 | |
CN106789637B (zh) | 一种跨域业务互通的路径建立方法、控制器及系统 | |
CN107710693A (zh) | 在多组标签交换路径和虚拟网络之间建立关系的方法 | |
CN101160838A (zh) | 实现层级化虚拟私有交换业务的方法及系统 | |
CN103475583B (zh) | 清除媒体接入控制转发表项的方法和设备 | |
CN104954367A (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
CN109729019B (zh) | 一种evpn组网中专线业务的限速方法及装置 | |
US20200153834A1 (en) | Method, Apparatus, and System for Collecting Access Control List | |
CN112769614B (zh) | 一种按需vpn的自动管理方法和异构网络的互通系统 | |
CN105227393A (zh) | 一种双向转发检测方法 | |
CN102946349A (zh) | 一种基于OSPF协议的以太网E-Line业务链路发现方法及装置 | |
CN1697408B (zh) | 一种基于IPv6的虚拟专用网管理路由的方法 | |
CN109347790B (zh) | 一种电力mpls vpn网络的安全攻击测试系统及测试方法 | |
CN107968751A (zh) | 一种信息处理方法及装置 | |
CN107040441A (zh) | 跨数据中心的数据传输方法、装置及系统 | |
CN101494574B (zh) | 一种二层虚拟专用接入骨干网的性能测试系统及方法 | |
CN105637806B (zh) | 网络拓扑确定方法和装置、集中式网络状态信息存储设备 | |
CN103200107B (zh) | 一种报文的传输方法和设备 | |
CN109788018A (zh) | 跨域的业务互通方法、网络设备及存储介质 | |
WO2016090815A1 (zh) | 一种部署大容量业务时的切换控制方法及装置 | |
US20230254244A1 (en) | Path determining method and apparatus, and computer storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |