所屬技術領域

本發明涉及一種檢測系統，尤其涉及一種OSPF協議脆弱性分析與檢測系統。

背景技術

互聯網絡的高速發展使其成為承載當今人類社會信息傳遞交流的重要基礎設施，如何保障網絡安全、穩定、可靠運行以及確保信息安全是互聯網發展面臨的巨大挑戰。路由協議作為互聯網絡最重要的基礎協議之一，負責在路由器間交換、發現和維護關于網絡的拓撲信息，尋找網絡數據分組交換的最佳路徑，實現對網絡數據的轉發。正確的路由信息是網絡報文正確高效傳輸的前提，路由信息的錯誤或混亂，嚴重時會造成網絡的癱瘓和秘密信息的泄露。

OSPF（open shortest path first）協議作為當前應用最為廣泛的內部網關協議，為自治系統內部的主機提供動態路由選擇。OSPF路由協議是基于鏈路狀態的協議，它的運行機制使OSPF自治區域能夠快速收斂并進行SPF計算得到路由表。在網絡狀態發生變化時，它能夠快速響應，使路由設備及時更新路由信息。OSPF協議采用了安全保護機制、可靠的擴散機制、一致性校驗、分層路由等機制來增加其協議安全性，使OSPF路由協議具有一定的自我保護能力，但這并不足夠安全，其協議本身仍然存在著許多漏洞，利用這些漏洞可發起針對OSPF的路由攻擊。首先，由于OSPF是通過LSA機制來廣播路由信息，通過篡改LSA對OSPF發動攻擊，將會使區域內的路由產生震蕩，導致拓撲混亂和網絡異常。其次，在實際運營的網絡環境中，路由器的安全保護機制也僅限于使用密碼認證，大多數路由器甚至于使用空認證或者明文認證。當OSPF 使用空驗證和簡單口令驗證時，其路由報文將很容易被截獲，根據明文傳輸的路由信息可以生成偽造的路由信息或利用它分析網絡拓撲和流量模式；加密身份認證可防范修改路由消息及阻塞協議報文傳輸等攻擊，但是外部攻擊者仍可通過發送使用加密驗證的惡意報文來進行DOS攻擊。最后，OSPF協議細節上也存在著缺陷，如OSPF協議的一致性驗證只包含OSPF頭部檢驗，而沒有包含IP分組頭；OSPF根據LSA序列號判斷LSA的新舊，可以通過篡改LSA設計序列號加一攻擊、最大序列號攻擊、最大年齡攻擊等。多年來國內外的學者和研究人員不斷對OSPF 協議的安全缺陷和頑健性進行研究，并提出了多種檢測模型和方法。

發明內容

本發明的目的是為了檢測不同種類的路由設備的脆弱性，設計了一種OSPF協議脆弱性分析與檢測系統。

本發明解決其技術問題所采用的技術方案是：

OSPF協議脆弱性分析與檢測系統包括：使用偽造實體路由器方法實現拒絕服務攻擊模型和使用零拷貝技術實現中間人攻擊模型共同構成的攻擊子系統、采用SNMP和旁路監聽相結合的方法實現了檢測結果的實時監控子系統、可視化子系統。

所述的拒絕服務攻擊模型包括：如下幾個模型：DR/BDR篡改攻擊、LSR報文偽造攻擊、序列號加1攻擊、最大序列號攻擊、最大年齡攻擊。

所述的DR/BDR篡改攻擊指攻擊者通過將Hello報文中的指定路由器和備份指定路由器字段置零后發送到域內，引發指定路由器和備份指定路由器的重選，引起局部網絡的不穩定。

所述的LSR報文偽造攻擊指攻擊者向目標路由器高速發送LSR鏈路狀態請求報文，使得路由器不停地響應LSR報文，占用路由器大量的CPU周期，使其無法提供轉發服務。

所述的序列號加1攻擊指不斷的將收到的LSA數據分組序號加一或更多后, 重新計算校驗和發送出去。源路由器將會不斷地發送具有更大鏈路序號的數據分組去糾正錯誤信息，導致網絡帶寬消耗、拓撲震蕩，甚至引起網絡不可用。

所述的最大序列號攻擊指將LSA數據分組的鏈路序號設為最大值0x7FFFFFFF，重新計算校驗和后發送出去，效果與序列號加1攻擊類似。

所述的最大年齡攻擊指在其捕獲到一個LSA數據分組后，將鏈路年齡設為最大，重新發送出去，效果與序列號加1 攻擊類似。

所述的中間人攻擊模型通過篡改LSU報文中的ASExternal LSA(autonomous system external LSA)完成攻擊。

所述的攻擊子系統首先捕獲被攻擊網絡的流量，通過各路由器所發出的路由信息分析當前路由器狀態，根據狀態值的不同產生相應的攻擊數據分組，實施路由攻擊。

所述的監控子系統采集網絡狀態信息和攻擊信息并與攻擊子系統通訊，在獲得信息的基礎上對數據進行融合、分析，生成網絡狀態相關信息，并將狀態信息發送給可視化顯示子系統。