本發(fā)明公開了一種基于OSPF協(xié)議的自動化安全測試方法，屬于路由器安全測試技術(shù)領(lǐng)域。該方法通過串接接入或旁路接入的方法接入路由網(wǎng)絡(luò)，偵聽交互的OSPF協(xié)議，自動獲取安全測試所需的各項參數(shù)，并根據(jù)需要執(zhí)行最大年齡、最大序列號、DD報文偽造、LSU報文篡改等安全測試方法，測試路由器防御能力。本發(fā)明利用自動化思想實現(xiàn)了測試參數(shù)自動獲取，能夠在接入網(wǎng)絡(luò)后自動獲取測試參數(shù)，避免了對操作人員進行大量的路由專業(yè)技能的學(xué)習(xí)，簡化了的路由器安全測試的流程。

技術(shù)領(lǐng)域

本發(fā)明涉及路由器安全測試技術(shù)領(lǐng)域，特別是指一種基于OSPF協(xié)議的自動化安全測試方法，可用于對基于OSPF協(xié)議的路由器進行自動化安全測試。

背景技術(shù)

路由器的安全性一向是網(wǎng)絡(luò)安全的關(guān)鍵，一旦路由器出現(xiàn)路由震蕩、資源耗盡等問題，就會對整個網(wǎng)絡(luò)的通信造成災(zāi)難性后果。為了保障路由器的安全，就需要對路由器進行安全性測試。

目前，路由器安全測試的方法均為專業(yè)性很高的人工測試方法，存在以下問題：

（1）測試流程復(fù)雜，需要對測試人員進行長時間的培訓(xùn)，測試成本高昂；

（2）測試結(jié)果不明確，難以確定經(jīng)過測試的路由器是否真的存在安全性問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提出一種基于OSPF協(xié)議的自動化安全測試方法，該方法簡單易行，可自動化運行，無需人工干預(yù)，測試結(jié)果明確。

為了實現(xiàn)上述目的，本發(fā)明所采用的技術(shù)方案為：

一種基于OSPF協(xié)議的自動化安全測試方法，應(yīng)用于聯(lián)網(wǎng)的雙網(wǎng)卡設(shè)備，包括以下步驟：

（1）判斷兩網(wǎng)卡能否接收到網(wǎng)絡(luò)中路由器所發(fā)送的OSPF組播報文，若兩個網(wǎng)卡均能收到OSPF組播報文，則轉(zhuǎn)入步驟（2），若只有一個網(wǎng)卡能收到OSPF組播報文，則轉(zhuǎn)入步驟（3）；

（2）將兩塊網(wǎng)卡連接成網(wǎng)橋，并將網(wǎng)卡本身的IP地址刪除，設(shè)置網(wǎng)卡為混雜模式，利用無IP地址的網(wǎng)橋透明轉(zhuǎn)發(fā)所有通過的數(shù)據(jù)包；同時，截獲數(shù)據(jù)包中的數(shù)據(jù)報文，并監(jiān)控網(wǎng)絡(luò)中路由器的狀態(tài)，在相應(yīng)時機進行指定次數(shù)的最大年齡測試、序列號測試、DD報文測試和路由表篡改測試，然后轉(zhuǎn)到步驟（4）；

（3）生成一臺虛擬OSPF路由器，通過虛擬路由器與網(wǎng)絡(luò)中的路由器進行正常的OSPF協(xié)議交互以及數(shù)據(jù)包的正常接發(fā)；同時，截獲數(shù)據(jù)包中的數(shù)據(jù)報文，并監(jiān)控網(wǎng)絡(luò)中路由器的狀態(tài)，在相應(yīng)時機進行指定次數(shù)的最大年齡測試和序列號測試，然后轉(zhuǎn)到步驟（4）；

其中，最大年齡測試的時機為路由器周期性地進行連接狀態(tài)詢問時，測試方式為，將截獲的正常OSPF協(xié)議LSU報文中的年齡字段修改為0XFF，然后將修改后的報文發(fā)送出去，若造成路由器鏈路重置并使通信異常產(chǎn)生丟包，則表明目標(biāo)路由器存在安全缺陷；

序列號測試的時機為路由器周期性地進行連接狀態(tài)詢問時，測試方式為，將截獲的正常OSPF協(xié)議LSU報文中的序列號字段修改為0X7FFFFFFF，然后將修改后的報文發(fā)送出去，若造成路由器鏈路重置并使通信異常產(chǎn)生丟包，則表明目標(biāo)路由器存在安全缺陷；

DD報文測試的時機為路由收斂并更新DD數(shù)據(jù)庫時，測試方式為，將截獲的正常OSPF協(xié)議DD報文中的LSA字段修改為隨機構(gòu)造的偽字段，然后將修改后的報文發(fā)送出去，若造成目標(biāo)路由器CPU使用率大幅上升從而影響其他業(yè)務(wù)運行，則表明目標(biāo)路由器存在安全缺陷；

路由表篡改測試的時機為新路由接入或有路由器退出網(wǎng)絡(luò)造成路由表更新時，測試方式為，將截獲的正常OSPF協(xié)議LSU報文中的TransitID字段修改為偽造的網(wǎng)段，然后將修改后的報文發(fā)送出去，若造成目標(biāo)路由器路由表產(chǎn)生變化，影響到路由器的數(shù)據(jù)轉(zhuǎn)發(fā)路徑，則表明目標(biāo)路由器存在安全缺陷；

（4）生成測試報告，所述測試報告中包括被測路由器的ID、各項測試的測試次數(shù)以及每次測試的結(jié)果。