The present invention provides a method and system for detecting and recovering double LSA attacks on OSPF protocol based on NFV. The system includes an analysis server and multiple detection middleboxes. The analysis server is a virtual network function VNF server device with specific analysis function, which is used to collect message information from the detection middlebox. Analyses and judges whether there are double LSA attacks in the router system; the multiple detection middleboxes are composed of VNF servers with specific detection and recovery functions, which are used to collect information on double LSA attacks in open shortest path priority OSPF routers and send the information to the analysis server for analysis; Server instructions to restore polluted routing information to routers adjacent to the attacker. This method and system are convenient to implement and improve the performance-price ratio. The invention belongs to the field of network security.
【技术实现步骤摘要】
一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统
本专利技术属于网络安全领域,具体涉及一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统。
技术介绍
路由器是IP网络的核心组件,路由选择协议是路由器决定分组传输路径的关键协议。开放式最短路径优先(OSPF)路由协议是互联网中一个应用最为广泛的内部网关协议,尽管OSPF协议具有良好的扩展性、快速汇聚、支持流量工程和安全性较强等优点,但研究表明OSPF协议仍存在着某些安全漏洞。攻击者利用OSPF协议存在的缺陷,通过设计特定的攻击方法,使得路由器产生路由错误,造成部分网络用户无法正确地到达目的地,或者让路由经过不安全的区域等等,并且有时这些攻击不易被人觉察发现,对于互联网健康发展造成严重的影响。双链路状态通告(LSA)攻击方法就是一种能够对OSPF协议产生严重威胁的网络攻击方法。所谓双LSA攻击是指攻击者利用OSPF协议判断LSA新旧规则的漏洞,篡改链路状态数据库中的真实LSA,达到路由欺骗的目的。图1给出了双LSA攻击路由器OSPF协议的一种典型场景。攻击者(可以是路由器或运行OSPF协议的主机)通过发送LSA报文,来篡改区域内其他路由器链路状态数据库中到达路由器R4的信息,使其他路由器不能正确到达R4,其中R4为受害路由器。首先攻击者向R2发送关于R4的恶意LSA,称为“触发LSA(图1中的①)”,它的序列号比当前R4的LSA序列号大。过了1~5s后,攻击者发送另一个关于R4的恶意LSA,称为“抗反击LSA(图1中的②)”,该LSA具有与“自反击LSA”相同的序列号和校验和,且两者L ...
【技术保护点】
1.一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统,其特征在于:所述系统包括分析服务器和多台检测中间盒;所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备,它用于收集来自检测中间盒的报文信息,分析判断路由器系统中是否存在双LSA攻击;所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成,其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息,并将所述信息发送给所述分析服务器进行分析;接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。
【技术特征摘要】
1.一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统,其特征在于:所述系统包括分析服务器和多台检测中间盒;所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备,它用于收集来自检测中间盒的报文信息,分析判断路由器系统中是否存在双LSA攻击;所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成,其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息,并将所述信息发送给所述分析服务器进行分析;接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。2.根据权利要求1所述系统的检测恢复方法,其特征在于:所述方法首先从运输层端口接收从检测中间盒发送的踪迹trace记录,将其加上时间戳形成trace记录流;然后所述分析服务器分析由所述trace记录构成的流;若检测到攻击就告警,并对相关路由器恢复被污染的路由信息。3.根据权利要求2所述的检测恢复方法,其特征在于:每条trace流的包括下列字段:时间戳,链路ID,媒体访问控制MAC目的地址,MAC源地址,IP目的地址,IP源地址,OSPF分组类型,路由器ID,区域号,认证类型,链路状态包LSP的序列号,链路状态LinkStateID;其中的时间戳取自分析服务器的时钟。4.根据权利要求2所述的检测恢复方法,其特征在于:所述方法具体过程为:首先,采用一种滑动窗口机制以适应在线分析trace记录流的需求,所述窗口包括了具有报文数...
【专利技术属性】
技术研发人员:陈鸣,李鹏飞,钱红燕,
申请(专利权)人:南京航空航天大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。