CN111478896A - 一种解决rstp假冒根桥攻击的方法 - Google Patents

一种解决rstp假冒根桥攻击的方法 Download PDF

Info

Publication number
CN111478896A
CN111478896A CN202010259164.1A CN202010259164A CN111478896A CN 111478896 A CN111478896 A CN 111478896A CN 202010259164 A CN202010259164 A CN 202010259164A CN 111478896 A CN111478896 A CN 111478896A
Authority
CN
China
Prior art keywords
bridge
timer
recording space
port
root bridge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010259164.1A
Other languages
English (en)
Inventor
赵羚钧
冉进刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC Avionics Co Ltd
Original Assignee
CETC Avionics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC Avionics Co Ltd filed Critical CETC Avionics Co Ltd
Priority to CN202010259164.1A priority Critical patent/CN111478896A/zh
Publication of CN111478896A publication Critical patent/CN111478896A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种解决RSTP假冒根桥攻击的方法,该方法包括:步骤S1,为每个端口创建一个记录空间;步骤S2,为每个记录空间开启一个定时器;步骤S3,判断定时器是否到期,如果定时器超时则跳转执行步骤S5;如果定时器未超时则执行步骤S4;步骤S4,对端口接收到的报文进行检测并利用该记录空间对相关事件进行记录;步骤S5,判断记录空间条目数是否超过阈值,如果记录空间条目数超过阈值,则存在此端口下存在假冒根桥攻击行为,进行防护;如果记录空间条目数未超过阈值,则清除记录空间的所有记录,跳转步骤S2。本发明能够准备检测假冒根桥的攻击行为,并进行及时的防护,进而提高了机载网络的通信安全。

Description

一种解决RSTP假冒根桥攻击的方法
技术领域
本发明涉及机载网络安全技术领域,具体涉及一种解决RSTP假冒根桥攻击的方法。
背景技术
飞机机载设备多达上百个,在机载环境下需要尽量减少线缆使用量,降低重量,同时要求组网有冗余链路来提高可靠性。因此环形组网方式在飞机机载组网中得到广泛应用,网络中环路动态检测和链路劣化自动倒换多采用IEEE 802.1D 2004RSTP协议。
如图1所示,RSTP协议根据用户的配置(如桥优先级)和网桥本身的一些独一无二的元素(如MAC地址),将这些元素通过一定规则构成每个网桥特有的BPDU生成树报文。具体的,网桥ID结构中Priority为可配置的桥优先级,包括Octet 0的前四位,对桥ID的影响值最大,规范定义中为用户可配置部分;System ID为不可配置的system ID号,由本地系统赋予,对桥ID有第二高的影响值,包括Octet 0的后四位和Octet 1的整个字节,该值一般为固定值;MAC地址为桥所在的交换设备的MAC地址,对桥ID影响最小,主要目的是基于网络中MAC唯一的特性,保证每个交换设备的桥ID是唯一的,包括Octet 2到Octet 7。且字节编号越低对桥ID数值影响越大,数值越小优先级越高。BPDU报文通过网桥间的不停交换,各网桥将收到的更优BPDP报文的部分字段替换本身的BPDU再发送。通过这样的方式,最终全网对根桥的选举达成一致,即拥有最高桥ID优先级的网桥成为根桥。
BPDU报文目的MAC地址是一个特殊的多播MAC地址01-80-C2-00-00-00,此地址是预留给RSTP协议专用的。飞机机载组网环境下,部分设备需要提供网络接入口给用户使用,工作在RSTP协议上的设备将按协议规定的hello time间隔时间(一般为2秒)定时向外发送BPDU报文。用户接入网络并正常使用的情况下会收到此BPDU包,因为用户不是网桥所以不会处理BPDU而是直接丢弃此报文。但如果用户将BPDU报文捕获后分析提取出当前网络中根桥的优先级,然后构造一个具有更高桥ID优先级的BPDU并回复,这将触发原网络中重新选举根桥。RSTP协议在重新选择根桥的过程中,设备上的端口状态会相应的发生改变(转发,阻塞,学习这三种端口状态相互转换)。根据飞机机载网络规模的一般大小,根桥重新选举带来的网络中断时间一般在1~2秒左右。如果用户以以下方式攻击网络,可导致网络基本瘫痪不可用。攻击方法(见图2):发送假冒根桥信息,导致网络重新选举(网络中断1~2秒),停止发送假冒根桥信息,根桥信息超时重新选举(超时门限为hello time值的3倍),网络再中断1~2秒,重新发送假冒根桥信息,如此循环可以让网络反复间歇性中断,从而严重影响整个网络的通信。在飞机机载网络环境下,此种情况显然不然接受,需要提供一种方法阻止这种网络攻击。
发明内容
为了解决现有机载网络容易遭受网络攻击,从而影响整个网络的通信安全的技术问题,本发明提出了一种解决RSTP假冒根桥攻击的方法。
本发明通过下述技术方案实现:
一种解决RSTP假冒根桥攻击的方法,该方法包括以下步骤:
步骤S1,为每个端口创建一个记录空间;
步骤S2,为每个记录空间开启一个定时器;
步骤S3,判断定时器是否到期,如果定时器超时则跳转执行步骤S5;如果定时器未超时则执行步骤S4;
步骤S4,对端口接收到的报文进行检测并利用该记录空间对相关事件进行记录;
步骤S5,判断记录空间条目数是否超过阈值,如果记录空间条目数超过阈值,则存在此端口下存在假冒根桥攻击行为,进行防护;如果记录空间条目数未超过阈值,则清除记录空间的所有记录,跳转执行步骤S2。
优选的,本发明的步骤S4具体包括:
步骤S41,获得当前网络中根桥的桥ID,标记为CurRootBridgeID;
步骤S42,每个端口将自己收到BPDU报文中的RootBridgeID字段提取出来,标记特征为接收;
步骤S43,查找记录空间,若不能找到RootBridgeID字段的记录,且RootBridgeID小于等于CurRootBridgeID,则新建一条记录后退出;若能找到RootBridgeID字段且特征为接收的记录,则覆盖原记录后退出;
步骤S44,端口超时检测中若发现桥信息已经超时,且超时的桥ID小于等于CurRootBridgeID,则在记录空间新建一条记录;内容为超时的桥ID,特征为超时清除。
优选的,本发明的步骤S5中的防护操作具体包括:当存在假冒根桥攻击行为,将该端口设置为Disable,关闭网络接入口连接。
优选的,本发明的定时器和记录空间的长度满足如下条件:
RecMaxLen>Timer/(hello time*3)。其中RecMaxLen表示最大的记录空间长度,Timer为定时器长度单位为秒,hellotime为RSTP协议定义的值。
优选的,本发明的步骤S5中的阈值为小于RecMaxLen的值。且本发明的阈值越小检测越灵敏。
本发明与现有技术相比,具有如下的优点和有益效果:
本发明提出的解决RSTP假冒根桥攻击的方法,能够准备检测假冒根桥的攻击行为,并进行及时的防护,进而提高了机载网络的通信安全;同时本发明的攻击检测和防护机制,不影响修改后的RSTP协议和原标准RSTP协议的兼容性,能够很好地和各种运行标准RSTP协议的设备进行混合组网。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1为机载网络中环路的网桥ID结构示意图。
图2为现有机载网络中假冒根桥攻击方法流程示意图。
图3为本发明的解决RSTP假冒根桥攻击的方法流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
本实施例提出了一种解决RSTP假冒根桥攻击的方法。
如图3所示,该方法包括以下步骤:
步骤S1,为每个端口创建一个记录空间;
步骤S2,为每个记录空间开启一个定时器;
步骤S3,判断定时器是否到期,如果定时器超时则跳转执行步骤S5;如果定时器未超时则执行步骤S4;
步骤S4,对端口接收到的报文进行检测并利用该记录空间对相关事件进行记录;
步骤S5,判断记录空间条目数是否超过阈值,如果记录空间条目数超过阈值,则存在此端口下存在假冒根桥攻击行为,进行防护;如果记录空间条目数未超过阈值,则清除记录空间的所有记录,跳转执行步骤S2。
优选的,本实施例中的定时器的长度和记录空间长度需满足以下公式:RecMaxLen>Timer/(hello time*3)。其中RecMaxLen表示最大的记录空间长度,Timer为定时器长度单位为秒,hellotime为RSTP协议定义的值。
优选的,本实施例中的用来判定攻击的阈值,小于RecMaxLen的值,且其值越小检测越灵敏。
本实施例的解决RSTP假冒根桥攻击的方法,在RSTP原有协议处理增加下处理机制:创建一个基于端口的记录空间,对端口接收到的报文进行检测并利用该记录空间对相关事件进行记录,因此在规定的一个时间区间内,对已记录的条目数进行监控,一旦记录的条目数超过阀值,则可以认定存在假冒根桥的攻击行为。
实施例2
本实施例对上述实施例1的步骤S4中的记录空间对相关事件进行记录作了进一步限定,具体包括以下步骤:
步骤S41,获得当前网络中根桥的桥ID,标记为CurRootBridgeID;
步骤S42,每个端口将自己收到BPDU报文中的RootBridgeID字段提取出来,标记特征为接收;
步骤S43,查找记录空间,若不能找到RootBridgeID字段的记录,且RootBridgeID小于等于CurRootBridgeID,则新建一条记录后退出;若能找到RootBridgeID字段且特征为接收的记录,则覆盖原记录后退出;
步骤S44,端口超时检测中若发现桥信息已经超时,且超时的桥ID小于等于CurRootBridgeID,则在记录空间新建一条记录;内容为超时的桥ID,特征为超时清除。
本实施例具体对端口收到的BPDU报文中的桥ID和因为超时未收到BPDU而产生的信息老化事件进行监控,如果监控事件中的根桥优先级高于等于当前网络中根桥则进行记录,其原理为优先级小于当前根桥的根桥接入和退出不会导致网络重新选择根桥从而导致网络中断,而且正常机载网络使用下根桥ID应该是唯一的,因为网络线路中断而导致BPDU超时的情况也是很少见的。
实施例3
本实施例对上述实施例1的步骤S5中的防护操作作了进一步限定,具体为:当存在假冒根桥攻击行为,将该端口设置为Disable,关闭网络接入口连接,进而保证了机载网络的通信安全。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种解决RSTP假冒根桥攻击的方法,其特征在于,该方法包括以下步骤:
步骤S1,为每个端口创建一个记录空间;
步骤S2,为每个记录空间开启一个定时器;
步骤S3,判断定时器是否到期,如果定时器超时则跳转执行步骤S5;如果定时器未超时则执行步骤S4;
步骤S4,对端口接收到的报文进行检测并利用该记录空间对相关事件进行记录;
步骤S5,判断记录空间条目数是否超过阈值,如果记录空间条目数超过阈值,则存在此端口下存在假冒根桥攻击行为,进行防护;如果记录空间条目数未超过阈值,则清除记录空间的所有记录,跳转执行步骤S2。
2.根据权利要求1所述的一种解决RSTP假冒根桥攻击的方法,其特征在于,所述步骤S4具体包括:
步骤S41,获得当前网络中根桥的桥ID,标记为CurRootBridgeID;
步骤S42,每个端口将自己收到BPDU报文中的RootBridgeID字段提取出来,标记特征为接收;
步骤S43,查找记录空间,若不能找到RootBridgeID字段的记录,且RootBridgeID小于等于CurRootBridgeID,则新建一条记录后退出;若能找到RootBridgeID字段且特征为接收的记录,则覆盖原记录后退出;
步骤S44,端口超时检测中若发现桥信息已经超时,且超时的桥ID小于等于CurRootBridgeID,则在记录空间新建一条记录;内容为超时的桥ID,特征为超时清除。
3.根据权利要求1所述的一种解决RSTP假冒根桥攻击的方法,其特征在于,所述步骤S5中的防护操作具体包括:当存在假冒根桥攻击行为,将该端口设置为Disable,关闭网络接入口连接。
4.根据权利要求1所述的一种解决RSTP假冒根桥攻击的方法,其特征在于,所述定时器和记录空间的长度满足如下条件:
RecMaxLen>Timer/(hello time*3),其中RecMaxLen表示最大的记录空间长度,Timer为定时器长度单位为秒,hellotime为RSTP协议定义的值。
5.根据权利要求4所述的一种解决RSTP假冒根桥攻击的方法,其特征在于,所述步骤S5中的阈值为小于RecMaxLen的值。
CN202010259164.1A 2020-04-03 2020-04-03 一种解决rstp假冒根桥攻击的方法 Pending CN111478896A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010259164.1A CN111478896A (zh) 2020-04-03 2020-04-03 一种解决rstp假冒根桥攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010259164.1A CN111478896A (zh) 2020-04-03 2020-04-03 一种解决rstp假冒根桥攻击的方法

Publications (1)

Publication Number Publication Date
CN111478896A true CN111478896A (zh) 2020-07-31

Family

ID=71750590

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010259164.1A Pending CN111478896A (zh) 2020-04-03 2020-04-03 一种解决rstp假冒根桥攻击的方法

Country Status (1)

Country Link
CN (1) CN111478896A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1521999A (zh) * 2003-01-28 2004-08-18 华为技术有限公司 一种交换网络中多生成树核心域的保护方法
CN1878061A (zh) * 2006-07-11 2006-12-13 杭州华为三康技术有限公司 网桥协议数据单元报文验证方法和装置
CN102487339A (zh) * 2010-12-01 2012-06-06 中兴通讯股份有限公司 一种网络设备攻击防范方法及装置
CN103139219A (zh) * 2013-02-28 2013-06-05 北京工业大学 基于可信交换机的生成树协议的攻击检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1521999A (zh) * 2003-01-28 2004-08-18 华为技术有限公司 一种交换网络中多生成树核心域的保护方法
CN1878061A (zh) * 2006-07-11 2006-12-13 杭州华为三康技术有限公司 网桥协议数据单元报文验证方法和装置
CN102487339A (zh) * 2010-12-01 2012-06-06 中兴通讯股份有限公司 一种网络设备攻击防范方法及装置
CN103139219A (zh) * 2013-02-28 2013-06-05 北京工业大学 基于可信交换机的生成树协议的攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
潘秋月: ""基于Open vSwitch的可信交换机STP协议的可信改进"", 《中国优秀傅硕士学位论文全文数据库(硕士)信息科技辑》 *

Similar Documents

Publication Publication Date Title
US7562390B1 (en) System and method for ARP anti-spoofing security
JP4545647B2 (ja) 攻撃検知・防御システム
KR100733020B1 (ko) 사용자 mac 프레임 전송방법, 에지 브리지 및 프로그램을 기록한 기록 매체
US7672245B2 (en) Method, device, and system for detecting layer 2 loop
WO2018054397A1 (zh) 业务功能链检测路径的方法和装置
US20130114400A1 (en) Ethernet loop locating method, switching device and system
KR102112587B1 (ko) 패킷 감시 장치 및 통신 패킷에 대한 패킷 감시 방법
CN106790299B (zh) 一种在无线接入点ap上应用的无线攻击防御方法和装置
CN110601919A (zh) 一种环回检测方法及系统
US20080130503A1 (en) Method and system for forwarding ethernet frames over redundant networks with all links enabled
WO2014161205A1 (zh) 一种网络拥塞处理方法、系统及装置
CN110022303B (zh) Arp双向防御系统及方法
US20090138971A1 (en) Detecting Intrusion by Rerouting of Data Packets in a Telecommunications Network
US20080107025A1 (en) Apparatus for Detecting Data Looping Phenomenon and Method Used by the Same
CN113225342B (zh) 一种通信异常检测方法、装置、电子设备及存储介质
US10397095B2 (en) Detecting and mitigating loops
CN111478896A (zh) 一种解决rstp假冒根桥攻击的方法
CN109617905B (zh) 多播攻击的处理方法、装置和实现装置
CN101771575B (zh) 一种处理ip分片报文的方法、装置及系统
CN114978600B (zh) 异常流量处理方法、系统、设备及存储介质
CN115484193A (zh) 网络丢包流量的监控和解析方法、系统、存储介质及设备
CN112769650A (zh) 一种多vlan的环路检测方法及系统
CN104184639B (zh) 一种erps环路多点故障的处理方法和设备
KR20220014796A (ko) 의도적 에러를 이용한 위변조 제어기 식별 시스템 및 방법
CN117081799A (zh) 一种基于嵌入式控制设备抑制网络风暴的装置及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200731