CN109525491A - 开放式最短路径优先协议的信息处理方法及装置、存储介质 - Google Patents

Abstract

本发明实施例提供了一种基于开放式最短路径优先(Open Shorten Path First，OSPF)协议的信息处理方法及装置、存储介质。应用于第一路由器的OSPF协议的信息处理方法，可包括：接收第二路由器的第一链路状态通告LSA；验证所述第一LSA中的链路状态标识字段和公告路由器字段携带的路由器标识是否一致；若所述第一LSA中所述链路状态标识字段和所述公告路由器字段携带的路由器标识不一致，启动反击机制；在启动反击机制，屏蔽所述第一LSA添加到LSA数据库；其中，所述LSA数据库中的LSA用于更新路由表。

Description

开放式最短路径优先协议的信息处理方法及装置、存储介质

技术领域

本发明涉及网络技术领域，尤其涉及一种开放式最短路径优先(Open ShortenPath First，OSPF)协议的信息处理方法及装置、存储介质。

背景技术

开放式最短路径优先(OSPF)是互联网上部署最广泛的内部网关路由协议之一。针对OSPF最常见的脆弱性分析方式是欺骗远程路由器的通告。OSPF采用了一种自卫的反击机制，可以迅速恢复这种脆弱性分析的影响。但是实际应用中发现，依然有很多情况下，基于OSPF协议计算出的路由有很多问题，例如，路由出错或者并非最短路径。

发明内容

有鉴于此，本发明实施例期望提供一种基OSPF协议的信息处理方法及装置、存储介质。

本发明的技术方案是这样实现的：

一种开放式最短路径优先OSPF协议的信息处理方法，其特征在于，应用于第一路由器中，包括：

接收第二路由器的第一链路状态通告LSA；

验证所述第一LSA中的链路状态标识字段和公告路由器字段携带的路由器标识是否一致；

若所述第一LSA中所述链路状态标识字段和所述公告路由器字段携带的路由器标识不一致，启动反击机制；

在启动反击机制，屏蔽所述第一LSA添加到LSA数据库；其中，所述LSA数据库中的LSA用于更新路由表。

基于上述方案，所述方法还包括：

根据无效判断规则，确定所述第一LSA是否为无效LSA；

若所述第一LSA为无效LSA且所述第一LSA的路由器标识字段携带有所述第一路由器的路由器标识或第三路由器的路由器标识，均启动所述反击机制。

基于上述方案，所述根据无效判断规则，确定所述第一LSA是否为无效LSA，包括：

检测所述第一LSA的数据格式；

若所述第一LSA的数据格式与标准格式不同，确定所述第一LSA为无效LSA。

基于上述方案，所述根据无效判断规则，确定所述第一LSA是否为无效LSA，包括：

检测所述第一LSA是否来自于所述第一路由器相邻的合法路由器；

若所述第一LSA不来自所述第一路由器相邻的合法路由器，则确定所述第一LSA为有效LSA。

基于上述方案，所述方法还包括：

按照连续脆弱性分析确定条件，确定是否有无效LSA的连续脆弱性分析；

若检测到多个无效LSA的连续脆弱性分析时，将所述第一路由器的计时器的计时周期设置为零；其中，所述计时器的计时周期设置为零后，所述反击机制被触发。

基于上述方案，所述按照连续脆弱性分析确定条件，确定是否有无效LSA的连续脆弱性分析，包括以下至少之一：

检测到同一个公告路由器以第一频率连续发送多个无效LSA，其中，所述第一频率对应的时间间隔小于所述计时器的原始计时周期；

检测到反击机制未启动的时间段内同一个公告路由器发送的LSA超过预设阈值。

基于上述方案，所述方法还包括：

以目标路由器标识，分别查询所述LSA数据库中第二LSA的链路状态标识字段及公告路由器字段，获得所述链路状态标识字段和所述公告路由器字段的内容均与所述目标路由器标识相匹配，则根据第二LSA进行路由更新。

基于上述方案，所述方法还包括：

若所述第一LSA为无效LSA，停止所述第一LSA洪泛。

一种开放式最短路径优先OSPF协议的信息处理装置，其特征在于，应用于第一路由器中，包括：

接收模块，用于接收第二路由器的第一链路状态通告LSA；

验证模块，用于验证所述第一LSA中的链路状态标识字段和公告路由器字段携带的路由器标识是否一致；

启动模块，用于若所述第一LSA中所述链路状态标识字段和所述公告路由器字段携带的路由器标识不一致，启动反击机制；

反击模块，用于在启动反击机制，屏蔽所述第一LSA添加到LSA数据库；其中，所述LSA数据库中的LSA用于更新路由表。

一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令；所述计算机可执行指令被执行后，能够实现前述任一项OSPF协议的信息处理方法。

本发明实施例提供的技术方案，针对OSFP协议的漏洞，第一路由器在接收到第二路由器发送的第一LSA之后，不仅会验证第一LSA的链路状态标识字段还会验证链路状态标识字段和公告路由字段携带的公共路由器标识字段是否一致，若不一致则认为第一LSA是无效LSA，就会触发反击机制，从而减脆弱性分析者利用反击机制触发漏洞导致的路由表按照携带有路由器错误链路状态的错误LSA的更新，减少路由表的错误。

附图说明

图1为本发明实施例提供的一种基于OSPF协议的信息处理方法的流程示意图；

图2为；本发明实施例提供的另一种基于OSPF协议的信息处理方法的流程示意图；

图3为本发明实施例提供的再一种基于OSPF协议的信息处理方法的流程示意；

图4为本发明实施例提供的一种基于OSPF协议的信息处理装置的结构示意图；

图5为本发明实施例提供的自治网络的示意图。

具体实施方式

以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述。

如图1所示，本实施例提供一种开放式最短路径优先OSPF协议的信息处理方法，应用于第一路由器中，包括：

步骤S110：接收第二路由器的第一链路状态通告LSA；

步骤S120：验证所述第一LSA中的链路状态标识字段和公告路由器字段携带的路由器标识是否一致；

步骤S130：若所述第一LSA中所述链路状态标识字段和所述公告路由器字段携带的路由器标识不一致，启动反击机制；

步骤S140：在启动反击机制，屏蔽所述第一LSA添加到LSA数据库；其中，所述LSA数据库中的LSA用于更新路由表。

本实施例中，所述第一路由器和所述第二路由器均为基于OSPF协议构建的自治域(Autonomous System，AS)内的路由器。

所述第一路由器可为接收到所述LSA的路由器。所述第二路由器可为构建并发送所述LSA的路由器。

在本实施例中，接收到第二路由器构建的第一LSA之后，会检查第一LSA的链路状态标识字段和公告路由器字段。若第一LSA是来自合法的路由器，第一LSA中链路状态标识字段携带的合法的路由器自身的路由器标识。公共路由器字段为携带构建或公共对应LSA的路由器。若发送LSA的路由器是通过LSA公共自身的链路状态，则链路状态标识字段和公共路由器字段都应该携带的是自身的路由器标识。

在本实施例中，为了减少脆弱性分析者假冒合法路由器，发送虚假链路状态。在本实施例中，收到第一LSA会同时验证链路状态标识字段和公告路由器字段的字段内容，以避免脆弱性分析者随意构建合法路由器的链路状态，导致路由更新错误的问题。

例如，某一个路由器盗用其他路由器的路由器标识构建链路状态标识或者公共路由器标识，发送携带有错误的链路状态的LSA，若仅检测公共路由器字段携带的是合法路由器标识，就认为该LSA是合法的LSA，是可以添加到LSA数据库中用于路由更新，或者需要进一步洪泛给其他路由器更新LSA数据库，则可能会存在一个路由器被劫持之后，会盗用其他路由器标识构建链路状态标识，虚假构建其他路由器的链路状态，从而发送的LSA。若采用本实施例中提供的方法，则通过第一LSA中自身携带的公共路由器标识及链路状态标识的核对，检测出这种脆弱性分析行为。若检测到这种脆弱性分析行为，第一路由器会启动反击机制，反击机制一但启动，第一LSA至少不会被添加到用于后续路由表更新的LSA数据库中；从而减少这种脆弱性分析行为导致的路由表更新错误的问题。

在一些实施例中，如图2所示，所述方法还包括：

步骤S210：根据无效判断规则，确定所述第一LSA是否为无效LSA；

步骤S220：若所述第一LSA为无效LSA且所述第一LSA的路由器标识字段携带有所述第一路由器的路由器标识或第三路由器的路由器标识，均启动所述反击机制。

在本实施例中，若第一路由器接收到一个LSA，会判断该LSA是否为有效LSA；若LSA是虚假的LSA，则同样会启动反击机制。

此处所述无效LSA包括以下几种情况：

第一种：错误LSA，例如，格式错误的LSA，或者，格式正确内容错误的LSA；

第二种：旧LSA，例如，已经洪泛过的LSA；例如，已经添加到LSA数据库的LSA；

第三种：来源非法的LSA，例如，来自非法路由器的LSA。例如，在一个AS域内路由器有哪些是已知的，若脆弱性分析路由器突然加入，脆弱性分析路由器发送的LSA则为来源非法的LSA。

在本实施例中，不管第一LSA是发送给第一路由器的还是发送其他路由器，例如，第三路由器。第一路由器接收到第一LSA都会主动检测该第一LSA还是否为有效的LSA。

若第一LSA为无效LSA，则不管该第一LSA是否发送给当前路由器或者其他路由器，当前路由器发现第一LSA是无效LSA都会触发反击机制，减少由于该第一LSA的脆弱性分析目标未正确检测出第一LSA为无效LSA时导致的路由表被错误更新的问题。与此同时，第一路由器会对目的地址为第三路由器的无效LSA也触发反击机制，可以减少无效LSA在网络内的不必要传输。

在一些实施例中，所述步骤S220可包括：

检测所述第一LSA的数据格式；

若所述第一LSA的数据格式与标准格式不同，确定所述第一LSA为无效LSA。

在网络技术中，按照OSPF协议，公共路由器发送的有效LSA，应该具有特定的格式，这种格式在本实施例中称之为标准格式。若第一路由器检测到当前接收的第一LSA为标准格式不同的LSA，则认定第一LSA为无效LSA。该无效LSA可能为脆弱性分析者仿造的携带有虚假链路状态的LSA。

在一些实施例中，所述步骤S220可包括：

检测所述第一LSA是否来自于所述第一路由器相邻的合法路由器；

若所述第一LSA不来自所述第一路由器相邻的合法路由器，则确定所述第一LSA为有效LSA。

在本实施例中，LSA的传输都是逐条传输的。在本实施例中，会检测当前接收到的第一LSA是否通过与第一路由器相邻的合法路由器传输到第一路由器的，而非是通过非合法路由器所对应的非法链路传输到第一路由器的。

如此，从传输层面再次可以从接收到的所有LSA中挑选出无效LSA，减少因为虚假的LSA导致的路由表计算错误。

在一些实施例中，所述方法还包括：

按照连续脆弱性分析确定条件，确定是否有无效LSA的连续脆弱性分析；

若检测到多个无效LSA的连续脆弱性分析时，将所述第一路由器的计时器的计时周期设置为零；其中，所述计时器的计时周期设置为零后，所述反击机制被触发。

在路由器中设置有计时器，该计时器原本是通过自身的计时，在路由器接收到其他路由器的LSA之后，延迟一定的时间后，在发送自身的LSA。但是该计时器，被脆弱性分析者用于延迟反击机制。

在一些实施例中，该计时器可以被称之洪泛计时器。若接收到其他路由器发送的LSA之后，洪泛路由器会计时器会重新设置计时周期，计时周期被重置之后，计时器再次被设置到计时周期的最大值，再次开始进行计时周期的倒计时。只有到计时周期到零之后接收到无效LSA才会触发反击机制。但是在本实施例中，为了避免这种脆弱性分析者利用这种触发反击机制连续发送LSA，在本实施例中，或日监测到无效LSA的连续脆弱性分析，会强制修改计时器的计时周期，将当前计时周期修改为零，以及时触发反击机制的触发。

在一些实施例中，所述按照连续脆弱性分析确定条件，确定是否有无效LSA的连续脆弱性分析，包括以下至少之一：

检测到同一个公告路由器以第一频率连续发送多个无效LSA，其中，所述第一频率对应的时间间隔小于所述计时器的原始计时周期；

检测到反击机制未启动的时间段内同一个公告路由器发送的LSA超过预设阈值。

例如，若一个公告路由器以较高频率(即所述第一频率)发送多个无效LSA，则可能改公告路由器试图通过高频发送的无效LSA连续供给，故可以认为是满足连续脆弱性分析的条件，故满足计时器的计时周期的调整设置。

又例如，若监测到反击机制未启动的时间段内，接收到很多无效LSA，且接收到无效LSA超过预设阈值，说明有极大的可能是其他路由器进行连续脆弱性分析，也认为满足无效LSA的连续脆弱性分析。

在另一些实施例中，如图3所示，所述方法还包括：

步骤S150：以目标路由器标识，分别查询所述LSA数据库中第二LSA的链路状态标识字段及公告路由器字段，获得所述链路状态标识字段和所述公告路由器字段的内容均与所述目标路由器标识相匹配，则根据第二LSA进行路由更新。

在进行路由表更新时，为了避免LSA数据库中存在着仅验证了链路状态标识字段或公共路由标识字段的无效LSA存在。在本实施例中，会以目标路由器标识为例，检索LSA数据库，从而数据库中提取出链路状态标识字段和公共路由器字段均为所述目标路由器标识的LSA，参与目标路由器相关的路由计算，从而更新与目标路由器相关的路由；从而再次减少因为虚假LSA导致的路由错误的问题。

所述方法还包括：

若所述第一LSA为无效LSA，停止所述第一LSA洪泛。

由于第一路由器接受到LSA，可能是需要参与路由计算的有效路由器，有些是会导致路由错误的错误LSA或者对路由更新没有实际意义的重复冗余LSA；故在本实施例中，一方面减少路由表更新错误，另一方面减少不必要的路由计算和无效LSA的传输。若接收到的LSA为无效LSA，通过停止作为无效LSA的第一无效LSA的洪泛，相当于第一路由器停止向其他路由器发送无效LSA。

如图4所示，本实施例提供一种开放式最短路径优先OSPF协议的信息处理装置，应用于第一路由器中，包括：

接收模块110，用于接收第二路由器的第一链路状态通告LSA；

验证模块120，用于验证所述第一LSA中的链路状态标识字段和公告路由器字段携带的路由器标识是否一致；

启动模块130，用于若所述第一LSA中所述链路状态标识字段和所述公告路由器字段携带的路由器标识不一致，启动反击机制；

反击模块140，用于在启动反击机制，屏蔽所述第一LSA添加到LSA数据库；其中，所述LSA数据库中的LSA用于更新路由表。

本实施例提供的所述OSFP协议信息处理装置，可为应用于第一路由器中内的信息处理装置，若第一路由器可以通过运行所述信息处理装置，实现OSPF协议的信息处理。

在一些实施例中，所述接收模块110、验证模块120、启动模块130及反击模块140，可为软件程序模块，被处理器执行之后，就能够实现上述第一LSA是否为无效LSA，及反击机制的触发。

在另一些实施例中，所述接收模块110、验证模块120、启动模块130及反击模块140，可为硬件模块及软件程序模块的结合模块，例如，复杂集成阵列或现场可编程阵列。

在还有一些实施例中，所述接收模块110、验证模块120、启动模块130及反击模块140，可为硬件模块，例如，专用集成电路。

在一些实施例中，所述装置还包括：

第一确定模块，用于根据无效判断规则，确定所述第一LSA是否为无效LSA；

所述启动模块130，还用于若所述第一LSA为无效LSA且所述第一LSA的路由器标识字段携带有所述第一路由器的路由器标识或第三路由器的路由器标识，均启动所述反击机制。

在一些实施例中，所述第一确定模块，还具体用于检测所述第一LSA的数据格式；若所述第一LSA的数据格式与标准格式不同，确定所述第一LSA为无效LSA。

在一些实施例，所述第一确定模块，具体用于检测所述第一LSA是否来自于所述第一路由器相邻的合法路由器；若所述第一LSA不来自所述第一路由器相邻的合法路由器，则确定所述第一LSA为有效LSA。

在一些实施例中，所述装置还包括：

第二确定模块，具体用于按照连续脆弱性分析确定条件，确定是否有无效LSA的连续脆弱性分析；若检测到多个无效LSA的连续脆弱性分析时，将所述第一路由器的计时器的计时周期设置为零；其中，所述计时器的计时周期设置为零后，所述反击机制被触发。

在一些实施例中，所述第二确定模块，具体用于执行以下至少之一：

检测到同一个公告路由器以第一频率连续发送多个无效LSA，其中，所述第一频率对应的时间间隔小于所述计时器的原始计时周期；

检测到反击机制未启动的时间段内同一个公告路由器发送的LSA超过预设阈值。

在另一些实施例中，所述装置还包括：

更新模块，用于以目标路由器标识，分别查询所述LSA数据库中第二LSA的链路状态标识字段及公告路由器字段，获得所述链路状态标识字段和所述公告路由器字段的内容均与所述目标路由器标识相匹配，则根据第二LSA进行路由更新。

在一些实施例中，所述装置还包括：

洪泛模块，用于若所述第一LSA为无效LSA，停止所述第一LSA洪泛。

本实施例还提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令；所述计算机可执行指令被执行后，能够实现前述任意一个技术方案提供的基于开放式最短路径优先OSPF协议的信息处理方法。

以下结合上述任意实施例提供几个具体示例：

示例1：

由于通信协议在学术上是有穷状态系统，相关研究主要采用模型检测(ModelChecking)来挖掘分析网络协议漏洞。模型检测是一种有限状态系统的形式化验证方法，它通过算法穷尽地搜索系统的有限状态空间，检查系统/模型的每个状态是否满足预期性质，整个过程就是状态空间的自动遍历过程。为了发现开放最短路径优先(Open ShortestPath First，OSPF)协议的脆弱性，构建了用来发现脆弱性分析的OSPF模型，该模型由自治域具体拓扑、域内合法路由器、脆弱性分析者三个实体构成，主要包括主函数、路由器模型以及脆弱性分析模型。

路由器模型为了适应模型检测机制，仅涵盖了任意脆弱性分析所必须利用的协议基本操作，主要包括报文结构、逻辑关系、泛洪过程、反击机制与身份验证。最后利用有界模型检测器，例如，C语言的有界模型检测器(Bounded Model Checker for C and C++programs，CBMC)工具对所构建的OSPF模型进行检测，检测过程中在所需的验证位置加入断言(Assertion)，以判断该断言在所有执行路径下是否成立，并利用可满足性问题(Satisfiability problem，SAT)求解器找到模型的一条错误执行路径，从而发现脆弱性分析。

一、模型检测与CBMC

(一)模型检测

模型检测是通过显式状态搜索或隐式不动点计算来验证有穷状态并发系统的命题性质。由于模型检测可以自动执行，并能在系统不满足性质时提供反例路径。模型检测可以应用广泛，如硬件控制器和通信协议都是有穷状态系统。很多情况下，可以把模型检测和各种抽象与归纳原则结合起来验证非有穷状态系统(如实时系统)。模型检测已被广泛应用于计算机硬件、通信协议、控制系统、安全认证协议等方面的分析与验证中。

模型检测可是用状态迁移系统(S)表示系统的行为，用模态逻辑公式(F)描述系统的性质。这样“系统是否具有所期望的性质”就转化为数学问题“状态迁移系统S是否是公式F的一个模型”，用公式表示为S╞F。对有穷状态系统，这个问题是可判定的，即可以用计算机程序在有限时间内自动确定。

(二)CBMC

当系统具有无穷多个状态转移或状态转移数目非常大时，计算并访问所有状态几乎是不可能的。有界模型检测通过有限次展开转移来解决这个问题，转移展开次数称为界。当展开界足够大且趋于无穷时，系统的有界模型等价于无界模型。有界模型检查中的展开界可由用户指定。如果存在比展开界长的反例，这时它只是作为一个错误发现的工具，而不能证明正确性。

二、OSPF建模

为了发现OSPF协议的脆弱性，构建了用来发现脆弱性分析的OSPF模型，该模型由自治域具体拓扑、域内合法路由器、脆弱性分析者三个实体构成，主要包括主函数、路由器模型以及脆弱性分析模型。其中路由器模型为了适应模型检测机制，仅涵盖了任意脆弱性分析所必须利用的协议基本操作。下面的小节对OSPF协议路由信息处理过程进行了详细的形式化描述，其中涵盖链路状态广播(Link-State Advertisement，LSA)消息生成、路由表计算以及泛洪过程，并给出了主函数、脆弱性分析者模型、路由器模型以及路由计算的伪码。为了表述简洁，本节并不包括所有模型的细节。

(一)模型符号定义

A表示OSPF区域的集合；A_i表示一个OSPF区域；

A(r)表示路由器r所在区域集合；

R表示自治域(Autonomous System，AS)中路由器的集合；R_i区域A_i中路由器的集合；

N表示AS中网络的集合；N_i表示区域A_i中网络的集合；

M表示自治系统边界路由器(Autonomous System Boundary Router，ASBR)集合，M_i表示区域A_i中ASBR的集合。

X表示要通告的外部网络集合，X_m表示m通告的AS外部网络；

D_R(n)表示广播网n上的指定路由器；

B表示所有区域边界路由器(Area Border Router，ABR)的集合；B_i表示区域A_i内ABR的集合；

V＝R∪N，V_i＝R_i∪N_i；

L_i(A_j)表示区域A_j中的i类LSA的集合；

L_i(A_j,r)表示区域A_j中路由器r生成的i类LSA；

L_i(U,r)表示路由器r为路由器或网络集合U产生的i类LSA；

L_sp(s,t)表示节点s到节点t的最短路径的长度；

T₁(A_i,r)表示路由器r在区域A_i的域内路由表；

J(r)表示路由器r的所有邻居(邻居状态机完全邻接)；

J_i(r)表示r在A_i内的所有邻居(邻居状态机完全邻接)；

(二)OSPF路由信息处理模型

定义1OSPF网络拓扑结构:

在OSPF网络中，每一个区域A_i用有向加权图G＝<V_i,E_i>表示，E_i为有向边的集合，表示路由器之间的连接或路由器与网络之间的连接。E-links是到外部网络的边集合，E-links＝{<m,X_m>|m∈M}，<m,X_m>是m连接到的AS外部网络X_m的边集合。

定义2OSPF功能模型:Funcs＝{Gen,Flood,Store,SPF}

给定网络拓扑图ASG和配置，对所有的路由器模型主要包括4种功能:LSA生成(Generate，Gen)、泛洪(Flood)、存储(Store)和路由表计算(SPF)。

定义3LSA生成：Gen＝{f₁,f₂,f₃,f₄,f₅}

f₁～f₅是从网络拓扑到各类LSA的变换过程。

路由器r在A_i内生成1类LSA及2类LSA，r为N_i生成3类LSA，为M_i生成4类LSA，为X_r生成5类LSA分别表示如下:

1)

2)且r＝D_R(n)，

3)

4)

5)

其中：e_i+(r)，e_i+(n)分别表示路由器r、网络n在G_i中的出边集合；

定义4LSA泛洪:

input＝<i,L>表示从邻居路由器i收到LSA集合Loutput＝<o,L>表示向邻居路由器集合o发出LSA集合L。

1)<r(r∈R_i),

2)<r′(r′∈R_i且r′≠r),

3)

4)<r′(r′∈R_i且r′≠r),

5)

6)

说明:1)、2)是区域A_i中1、2类LSA的泛洪过程，3)、4)是区域A_i中3、4类LSA的泛洪过程，5)、6)是5类LSA的泛洪过程。输入邻居为r实际指r自己产生的LSA；1～4类LSA的泛洪限制在一个区域内，5类LSA的泛洪限制在AS内。

定义4路由表计算：

通过ASG计算可以生成各路由器的域内路由集、域间路由集和AS外部路由集(为了表述方便，分别记T₁,T₂,T₃)。

为使模型保持简洁，不会对全部路由表计算逻辑建模，那些决定LSA最终是否会影响路由表的机制才是所关注的重点。

首先认为R是可达的(最短路径树的根)。

随后，利用链路状态标识(Identity，ID)字段，在R的数据库中开始搜索R的LSA。需要注意的是，此时符合条件的LSA既有可能是有效合法的，也有可能是脆弱性分析者预先设计好的LSA。对于符合条件的LSA中每一条被通告的链路，用W表示链路另一端的邻居。假如一条对于W的LSA被找到，且包含返回R的链路，那么R的LSA即可被标记，且W在最短路径树中被认为是可达的。对每条可达路由执行此循环。

根据OSPF标准，数据库中的三类汇总LSA对路由表产生影响当且仅当它的公告路由器字段包含有可达路由器的ID。因此，仅当此条件成立时，的模型会对此种LSA做出标记。下面给出OSPF模型路由计算的伪码：

(三)模型检测的主函数

该模型的主要函数是一个循环(LOOP)，每次循环，迭代拓扑内任意路由器(包括脆弱性分析者)运行其程序一次。LOOP的次数作为模型检测的有界值，每次循环迭代被认为是一个周期。每一周期内每个路由器的泛洪计时器递减。

那些被认为影响路由表的LSA将被标记，为驻留在LSA数据库的每一条LSA记录周期数，主循环的最后部分是模型规定的断言。

在程序设计中，本示例的断言可是一阶逻辑(如一个结果为真或是假的逻辑判断式)，目的是为了标示与验证程序开发者预期的结果，当程序运行到断言的位置时，对应的断言应该为真。若断言不为真时，程序会中止运行，并出现错误消息。

例如在一段程序前加入断言(先验条件)，说明这段程序运行前预期的状态。或在一段程序后加入断言(后验条件)，说明这段程序运行后预期的结果。下面是OSPF模型主函数的伪码：

(四)脆弱性分析者模型

脆弱性分析者制造任意内容的LSA，脆弱性分析者模型中脆弱性分析者完全控制由它发出的虚假LSA。需要注意的是作为虚假LSA的受害者路由器并未提前被标识，它可以是合法路由器中的任何一个。模型检测在其搜索脆弱性分析的过程中将涵盖所有可能的虚假LSA，注意脆弱性分析可能由一个脆弱性分析者发出的一序列虚假的LSA构成，如下为脆弱性分析者模型伪码：

(五)路由器模型

在初始状态，每个路由器R具有由自生成的LSA构成的LSA数据库，同时，在这些LSA中每一条链路均被描述，LSA数据库中也存在一条LSA的链路连接回路由器R。即，存在从路由器R的邻居到R的一条链路，模型中需要这些链路是因为根据OSPF标准，一条链路可被纳入路由表计算当仅当存在反方向链路。下面给出路由器模型伪码：

每个路由器都有一个洪泛计时器，用于确定在发起LSA前需要等待的周期数。当计时器为0时，该路由器可立即发起它自己的LSA。此后，计时器设置为最小间隔(MinLSInterval)，该最小间隔可为一个预定义的常量，用于确定下一次发起LSA之前需等待的周期数。每过一个周期计时器减1。

当一个路由器R收到一个LSA，首先检查其是否有效(格式正确且收自有效邻居)。若有效，则检查其是否存在于LSA数据库中。如果已有但较新，或此前不存在，则R洪泛此LSA。之后它会检查该LSA是否为自生成的。自生成LSA的公告路由器字段等于R的ID。若是，反击机制将被触发，此LSA将不得入库。反击机制的延迟执行是因为洪泛虚假LSA的等级要高于发现自发起LSA。否则，R将此LSA添加进自己的LSA数据库中并触发路由表计算。计算逻辑必须被建模，因为并不是每个库中的LSA最终都会影响到路由表。

当路由器中存在满足下列三种条件的LSA，可以认定一次脆弱性分析是成功的：

LSA来自于脆弱性分析者；

LSA被标记，即，表示该LSA会影响到路由表计算

LSA计数器超出MIN_COUNTER(MIN_COUNTER是某个很大的数)；最后一个条件确保了脆弱性分析是持续的，即未被反击机制所破坏。MIN_COUNTER是一个预先定义好的常量，用于确定脆弱性分析的持续性。模型中，当一个由脆弱性分析者发起的LSA替换掉了同样是脆弱性分析者发起的“旧的LSA”，那么被替换掉的LSA的计数器的值会被复制到新的LSA上。这使得的模型能够找出脆弱性分析，因为脆弱性分析者会不断地改变一些用于混淆视线的虚假LSA实例。脆弱性分析者不间断地对路由表施加影响，同样也被认为是持续脆弱性分析的表现。

该详述作为断言编码在模型的主循环中，假如检测人员发现模型的状态与断言不符，那么一定是脆弱性分析者正在持续影响路由表计算，且在躲避反击机制。

模型检测器运行OSPF模型，再现了如下脆弱性分析：

伪装的LSA脆弱性分析被找到，脆弱性分析者发送了两个LSA——一个触发器LSA和一个伪装LSA；

周期性注入脆弱性分析——脆弱性分析者以高于MinLSInterval的速率，周期性地发送代表某个路由器的LSA。每一个被发送的LSA都携带了一个序列号，并按发送顺序递增。因此，延迟反击也被替换，每一个新实例相应延缓。结果就是，一个序列号大于MIN_COUNTER的LSA出现在脆弱性分析对象的LSA数据库中，同时由于泛洪计时器的重置，反击从未发出。

在分析阶段，发现了能探寻新漏洞的脆弱性分析。输出包含了一个执行路径用以描述上述脆弱性分析，脆弱性分析者发送的LSA是一个路由器LSA，其链路状态ID等于受害者的ID，但是公告路由器的值不同。

CBMC模型检查器根据模型中的断言检测出第一个反例后就会停止，为找出新的漏洞，需要改进以下几点。

为避免接收伪装LSA脆弱性分析，更改了反击机制的触发条件，不仅较新的自发LSA实例会触发它，那些看起来与数据库存储的LSA一样的、其实是脆弱性分析者发起的LSA也会触发反击。伪装LSA也会触发反击。

为避免接收周期性注入脆弱性分析，把MinLSInterval设置为0。这样反击不再延迟，因此脆弱性分析无法持续。

为避免接收新的脆弱性分析，在脆弱性分析者生成LSA时添加了一个判断条件，链路状态ID域必须等于公告路由器域。如上所述，大多数易受脆弱性分析的供应商在其发布的补丁中多会设置此条件。

用纠正后的模型重新运行了CBMC，没有发现新的脆弱性分析。这表明，一旦上述条件被强化，脆弱性分析者将无法在不触发反击机制的情况下发出恶意LSA来影响路由表计算。

上述结果不能作为OSPF已不存在其他缺陷的证据，因为忽略了与反击机制无关的OSPF操作细节。另外，由于使用的是有界检测器，即无法探索模型的所有状态，因此上述结果不能作为反击机制中不存在其它缺陷的证据。

示例2：

开发式最短路径优先(OSPF)是允许单个自治系统(AS)中的路由器构建它们的路由表，同时动态的适应自治系统拓扑结构的变化。OSPF目前在互联网的许多自治系统中使用，它是IETF的OSPF工作组开发及标准化的。本申请涉及到的版本2，专为IPv4网络设计的，例如，如图5所示的网络中，在网络中显示有路由器Ra及路由器Rb，路由器Rb发送的LSA可以称之为Rb LSA，LSA数据库(DB)。

OSPF是一种链路状态路由协议，这意味着每个路由器都将其链路成本通告给邻居路由器。这通告被称为链路状态广播(LSA)。链路的开销通常由网络管理员静态配置。每个LSA在整个AS中泛洪，其中路由器从其邻居之一接收LSA，将其重新发送到其所有邻居。每个路由器编译AS中路由器的链路状态数据库，并使用它来获得完整的AS拓扑信息。因此，路由器可以使用Dijkstra算法来计算它与其他路由器之间的最低成本路径，从而形成路由表。

OSPF标准规定在路由表计算阶段，LSA会在LSA数据库中查找Vertex ID，VertexID在标准中指的是LSA的链路状态标识(Link State ID)字段。这意味着，当路由器计算其路由表时，它仅基于其链路状态ID字段识别LSA，而不是基于完整的LSA标识符，其还包括公告路由字段(Advertising Router)和LS类型字段。

在路由表计算期间，必须基于其Link State ID找到network-LSA。因为没有两个network-LSAs可以具有相同的Link State ID。

需要考虑，在路由表计算过程中将从LSA数据库中获取哪个LSA：是受害路由器的有效LSA，还是脆弱性分析者通告的错误LSA，两个LSA同时驻留在AS中每个路由器的LSA数据库中。两个LSA在其链路状态ID字段中具有完全相同的值，都是受害者路由器的ID。当前的标准未能回答这个问题；它没有考虑两个不同的LSA具有相同的链路状态ID字段的情况。由于标准中没有解决这个问题，在路由表计算期间获取有效LSA的OSPF可以无视脆弱性分析。但是，获取虚假LSA的OSPF是存在高危漏洞的。

目前发现了关于OSPF路由协议的三个漏洞，包括：

1.对没有健全性检查，以验证Link State ID字段是否等于公告路由字段。

2.只有当接收到错误的LSA且Advertising Router字段等于当前路由器的ID时才会触发反击机制，而对于发现了接收者为其他路由器的错误LSA，也不会触发反击机制。

3.在路由表计算阶段，仅使用Link State ID字段在LSA数据库中查找LSA，并基于查找到的LSA进行路由计算，并更新OSPF协议对应的路由表。

有鉴于此，本示例提供方法可包括：

1.指定检查Router-LSA接收以验证Link State ID字段是否等于AdvertisingRouter字段；否则，应该丢弃对应的LSA。

2.如果收到的无效LSA，则触发反击机制。

3.在路由表计算阶段，则同时使用Link State ID字段及Advertising Router字段，查找更新路由表的LSA。

能够通过上述方式解决OSPF协议的漏洞，从而极大的增强OSPF协议的安全性。

OSPF协议漏洞会对LSA数据库产生影响。此漏洞允许远程脆弱性分析者完全控制OSPF自治系统(AS)域路由表，从而允许脆弱性分析者拦截或丢弃流量。脆弱性分析者可以利用此漏洞注入特制的OSPF分组。成功的开发可能导致目标路由器其路由表和传播制作的OSPF Router-LSA更新整个OSPF域。

要利用此漏洞，脆弱性分析者必须准确确定目标路由器上LSA数据库中的某些参数。此漏洞只能通过发送精心制作的单播或组播OSPF Router-LSA数据包来触发。

受影响的运行OSPF协议的网络设备如果收到虚假的LSA数据包，就会受这些漏洞的影响，同时这些数据包不必被确认。

由于OSPF会处理单播数据包及组播数据包，因此可以远程利用此漏洞，并可用于同时定位本地网段上的多个系统。

虚假的LSA数据包可能会导致目标路由器刷新其路由表的内容，并在整个OSPF区域中传播虚假的LSA更新。处理和安装受害路由器传播的虚假的LSA数据包会影响同一区域的OSPF成员路由器。这可能会导致许多后果，例如注入OSPF路由表的错误路由，发送到黑洞的流量或重定向到由脆弱性分析者控制的目标的流量。

为了恢复受影响的系统，管理员可以从受影响的设备中删除OSPF配置并再次启用它。或者，需要重新加载才能恢复受影响的系统。

利用此漏洞将导致目标路由器在其Router Link States LSA数据库中具有不一致的信息，其中，State Link ID信息与show ip ospf database命令输出的AdvertisingRouter ID不匹配。此漏洞仅影响Router LSA。受影响的目标路由器将在整个OSPF区域中传播虚假的LSA。如果成功利用此漏洞，则同一OSPF区域中的所有路由器将在OSPF LSA数据库中具有虚假的LSA条目的副本。

1、当收到Router-LSA的时候，不会对它的健全性进行检查，没有验证Link StateID字段是否等于Advertising路由器字段。所有这里需要添加，当脆弱性分析者发生LSA的时候，Link State ID必须等于Advertising路由器字段，否则丢弃该LSA；

2.只有当接收到错误的LSA且Advertising Router字段等于当前路由器的ID时才会触发反击。这里需要改变触发反击的条件，为了避免接收伪装的LSA脆弱性分析，这样不仅更新的自己产生的LSA实例时，还会触发数据库中被认为与LSA相同的实例，这些实例实际上是由脆弱性分析者发起的。在这种情况下，伪装的LSA也会引发反击。

3.在路由表计算阶段，仅使用链路状态ID字段在LSA数据库中查找Router-LSA，这里属于设计缺陷，需要修改为通过完整标识符查找Router-LSA。

通过对OSPF协议报文的安全防护控制，能够极大的保障OSPF路由协议在运行期间的安全性，防止收到针对性的恶意脆弱性分析。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理模块中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种开放式最短路径优先协议的信息处理方法，其特征在于，应用于第一路由器中，包括：

接收第二路由器的第一链路状态通告LSA；

验证所述第一LSA中的链路状态标识字段和公告路由器字段携带的路由器标识是否一致；

若所述第一LSA中所述链路状态标识字段和所述公告路由器字段携带的路由器标识不一致，启动反击机制；

在启动反击机制，屏蔽所述第一LSA添加到LSA数据库；其中，所述LSA数据库中的LSA用于更新路由表。

2.根据权利要求1所述的方法，其特征在于，

所述方法还包括：

根据无效判断规则，确定所述第一LSA是否为无效LSA；

若所述第一LSA为无效LSA且所述第一LSA的路由器标识字段携带有所述第一路由器的路由器标识或第三路由器的路由器标识，均启动所述反击机制。

3.根据权利要求2所述的方法，其特征在于，

所述根据无效判断规则，确定所述第一LSA是否为无效LSA，包括：

检测所述第一LSA的数据格式；

若所述第一LSA的数据格式与标准格式不同，确定所述第一LSA为无效LSA。

4.根据权利要求2所述的方法，其特征在于，

所述根据无效判断规则，确定所述第一LSA是否为无效LSA，包括：

检测所述第一LSA是否来自于所述第一路由器相邻的合法路由器；

若所述第一LSA不来自所述第一路由器相邻的合法路由器，则确定所述第一LSA为有效LSA。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

按照连续脆弱性分析确定条件，确定是否有无效LSA的连续脆弱性分析；

若检测到多个无效LSA的连续脆弱性分析时，将所述第一路由器的计时器的计时周期设置为零；其中，所述计时器的计时周期设置为零后，所述反击机制被触发。

6.根据权利要求5所述的方法，其特征在于，所述按照连续脆弱性分析确定条件，确定是否有无效LSA的连续脆弱性分析，包括以下至少之一：

检测到同一个公告路由器以第一频率连续发送多个无效LSA，其中，所述第一频率对应的时间间隔小于所述计时器的原始计时周期；

检测到反击机制未启动的时间段内同一个公告路由器发送的LSA超过预设阈值。

7.根据权利要求1至6任一项所述的方法，其特征在于，

所述方法还包括：

以目标路由器标识，分别查询所述LSA数据库中第二LSA的链路状态标识字段及公告路由器字段，获得所述链路状态标识字段和所述公告路由器字段的内容均与所述目标路由器标识相匹配，则根据第二LSA进行路由更新。

8.根据权利要求1至7任一项所述的方法，其特征在于，

所述方法还包括：

若所述第一LSA为无效LSA，停止所述第一LSA洪泛。

9.一种开放式最短路径优先OSPF协议的信息处理装置，其特征在于，应用于第一路由器中，包括：

接收模块，用于接收第二路由器的第一链路状态通告LSA；

验证模块，用于验证所述第一LSA中的链路状态标识字段和公告路由器字段携带的路由器标识是否一致；

启动模块，用于若所述第一LSA中所述链路状态标识字段和所述公告路由器字段携带的路由器标识不一致，启动反击机制；

反击模块，用于在启动反击机制，屏蔽所述第一LSA添加到LSA数据库；其中，所述LSA数据库中的LSA用于更新路由表。

10.一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令；所述计算机可执行指令被执行后，能够实现权利要求1至8任一项提供的方法。