本發(fā)明公開了一種解決RSTP假冒根橋攻擊的方法，該方法包括：步驟S1，為每個端口創(chuàng)建一個記錄空間；步驟S2，為每個記錄空間開啟一個定時器；步驟S3，判斷定時器是否到期，如果定時器超時則跳轉(zhuǎn)執(zhí)行步驟S5；如果定時器未超時則執(zhí)行步驟S4；步驟S4，對端口接收到的報文進行檢測并利用該記錄空間對相關事件進行記錄；步驟S5，判斷記錄空間條目數(shù)是否超過閾值，如果記錄空間條目數(shù)超過閾值，則存在此端口下存在假冒根橋攻擊行為，進行防護；如果記錄空間條目數(shù)未超過閾值，則清除記錄空間的所有記錄，跳轉(zhuǎn)步驟S2。本發(fā)明能夠準備檢測假冒根橋的攻擊行為，并進行及時的防護，進而提高了機載網(wǎng)絡的通信安全。

技術領域

本發(fā)明涉及機載網(wǎng)絡安全技術領域，具體涉及一種解決RSTP假冒根橋攻擊的方法。

背景技術

飛機機載設備多達上百個，在機載環(huán)境下需要盡量減少線纜使用量，降低重量，同時要求組網(wǎng)有冗余鏈路來提高可靠性。因此環(huán)形組網(wǎng)方式在飛機機載組網(wǎng)中得到廣泛應用，網(wǎng)絡中環(huán)路動態(tài)檢測和鏈路劣化自動倒換多采用IEEE 802.1D 2004RSTP協(xié)議。

如圖1所示，RSTP協(xié)議根據(jù)用戶的配置(如橋優(yōu)先級)和網(wǎng)橋本身的一些獨一無二的元素(如MAC地址)，將這些元素通過一定規(guī)則構成每個網(wǎng)橋特有的BPDU生成樹報文。具體的，網(wǎng)橋ID結(jié)構中Priority為可配置的橋優(yōu)先級，包括Octet 0的前四位，對橋ID的影響值最大，規(guī)范定義中為用戶可配置部分；System ID為不可配置的system ID號，由本地系統(tǒng)賦予，對橋ID有第二高的影響值，包括Octet 0的后四位和Octet 1的整個字節(jié)，該值一般為固定值；MAC地址為橋所在的交換設備的MAC地址，對橋ID影響最小，主要目的是基于網(wǎng)絡中MAC唯一的特性，保證每個交換設備的橋ID是唯一的，包括Octet 2到Octet 7。且字節(jié)編號越低對橋ID數(shù)值影響越大，數(shù)值越小優(yōu)先級越高。BPDU報文通過網(wǎng)橋間的不停交換，各網(wǎng)橋?qū)⑹盏降母鼉?yōu)BPDP報文的部分字段替換本身的BPDU再發(fā)送。通過這樣的方式，最終全網(wǎng)對根橋的選舉達成一致，即擁有最高橋ID優(yōu)先級的網(wǎng)橋成為根橋。

BPDU報文目的MAC地址是一個特殊的多播MAC地址01-80-C2-00-00-00，此地址是預留給RSTP協(xié)議專用的。飛機機載組網(wǎng)環(huán)境下，部分設備需要提供網(wǎng)絡接入口給用戶使用，工作在RSTP協(xié)議上的設備將按協(xié)議規(guī)定的hello time間隔時間(一般為2秒)定時向外發(fā)送BPDU報文。用戶接入網(wǎng)絡并正常使用的情況下會收到此BPDU包，因為用戶不是網(wǎng)橋所以不會處理BPDU而是直接丟棄此報文。但如果用戶將BPDU報文捕獲后分析提取出當前網(wǎng)絡中根橋的優(yōu)先級，然后構造一個具有更高橋ID優(yōu)先級的BPDU并回復，這將觸發(fā)原網(wǎng)絡中重新選舉根橋。RSTP協(xié)議在重新選擇根橋的過程中，設備上的端口狀態(tài)會相應的發(fā)生改變(轉(zhuǎn)發(fā)，阻塞，學習這三種端口狀態(tài)相互轉(zhuǎn)換)。根據(jù)飛機機載網(wǎng)絡規(guī)模的一般大小，根橋重新選舉帶來的網(wǎng)絡中斷時間一般在1～2秒左右。如果用戶以以下方式攻擊網(wǎng)絡，可導致網(wǎng)絡基本癱瘓不可用。攻擊方法(見圖2)：發(fā)送假冒根橋信息，導致網(wǎng)絡重新選舉(網(wǎng)絡中斷1～2秒)，停止發(fā)送假冒根橋信息，根橋信息超時重新選舉(超時門限為hello time值的3倍)，網(wǎng)絡再中斷1～2秒，重新發(fā)送假冒根橋信息，如此循環(huán)可以讓網(wǎng)絡反復間歇性中斷，從而嚴重影響整個網(wǎng)絡的通信。在飛機機載網(wǎng)絡環(huán)境下，此種情況顯然不然接受，需要提供一種方法阻止這種網(wǎng)絡攻擊。

發(fā)明內(nèi)容

為了解決現(xiàn)有機載網(wǎng)絡容易遭受網(wǎng)絡攻擊，從而影響整個網(wǎng)絡的通信安全的技術問題，本發(fā)明提出了一種解決RSTP假冒根橋攻擊的方法。

本發(fā)明通過下述技術方案實現(xiàn)：

一種解決RSTP假冒根橋攻擊的方法，該方法包括以下步驟：

步驟S1，為每個端口創(chuàng)建一個記錄空間；

步驟S2，為每個記錄空間開啟一個定時器；

步驟S3，判斷定時器是否到期，如果定時器超時則跳轉(zhuǎn)執(zhí)行步驟S5；如果定時器未超時則執(zhí)行步驟S4；