一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统技术方案

本发明专利技术提出一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统，所述系统包括分析服务器和多台检测中间盒；所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。该方法及系统方便实施该方法和提升其性能价格比。本发明专利技术属于网络安全领域。

A Method and System for Detecting and Recovering OSPF Protocol from Double LSA Attacks Based on NFV

The present invention provides a method and system for detecting and recovering double LSA attacks on OSPF protocol based on NFV. The system includes an analysis server and multiple detection middleboxes. The analysis server is a virtual network function VNF server device with specific analysis function, which is used to collect message information from the detection middlebox. Analyses and judges whether there are double LSA attacks in the router system; the multiple detection middleboxes are composed of VNF servers with specific detection and recovery functions, which are used to collect information on double LSA attacks in open shortest path priority OSPF routers and send the information to the analysis server for analysis; Server instructions to restore polluted routing information to routers adjacent to the attacker. This method and system are convenient to implement and improve the performance-price ratio. The invention belongs to the field of network security.

【技术实现步骤摘要】
一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统
本专利技术属于网络安全领域，具体涉及一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统。
技术介绍
路由器是IP网络的核心组件，路由选择协议是路由器决定分组传输路径的关键协议。开放式最短路径优先(OSPF)路由协议是互联网中一个应用最为广泛的内部网关协议，尽管OSPF协议具有良好的扩展性、快速汇聚、支持流量工程和安全性较强等优点，但研究表明OSPF协议仍存在着某些安全漏洞。攻击者利用OSPF协议存在的缺陷，通过设计特定的攻击方法，使得路由器产生路由错误，造成部分网络用户无法正确地到达目的地，或者让路由经过不安全的区域等等，并且有时这些攻击不易被人觉察发现，对于互联网健康发展造成严重的影响。双链路状态通告(LSA)攻击方法就是一种能够对OSPF协议产生严重威胁的网络攻击方法。所谓双LSA攻击是指攻击者利用OSPF协议判断LSA新旧规则的漏洞，篡改链路状态数据库中的真实LSA，达到路由欺骗的目的。图1给出了双LSA攻击路由器OSPF协议的一种典型场景。攻击者(可以是路由器或运行OSPF协议的主机)通过发送LSA报文，来篡改区域内其他路由器链路状态数据库中到达路由器R4的信息，使其他路由器不能正确到达R4，其中R4为受害路由器。首先攻击者向R2发送关于R4的恶意LSA，称为“触发LSA(图1中的①)”，它的序列号比当前R4的LSA序列号大。过了1～5s后，攻击者发送另一个关于R4的恶意LSA，称为“抗反击LSA(图1中的②)”，该LSA具有与“自反击LSA”相同的序列号和校验和，且两者LS时限差小于15分钟。当然，R4也会收到从R1转发来的有关自己路由的触发LSA，会立即向R1发送自反击LSA(图1中的③)。然而，由于R1中已经存放着伪造的抗反击LSA，且系统默认两者相同，就会丢弃该自反击LSA。此时，R1链路状态数据库中关于R4的路由就被成功篡改。由于双LSA攻击存在抗反击LSA和自反击LSA的时间竞争问题，先到的LSA会被存放在链路状态数据库中，后到的会被丢弃，所以对触发LSA和抗反击LSA发送间隔有一定的要求。LSA接收间隔是指协议进程接收LSA新实例之间的时间间隔。系统默认的时间间隔为1s。若触发LSA和抗反击LSA的发送间隔小于1s，后发送的抗反击LSA则无法被系统接收。LSA生成间隔是指协议进程构造一个新LSA，并发送出的最小间隔。系统默认为5s。当路由器接收到触发LSA后，过5s才能向网络中发送自反击LSA。所以在忽略链路状态数据库的更新时间以及洪泛时间的情况下，触发LSA和抗反击LSA的发送间隔在1s到5s之间，且间隔时间越接近1s，被污染的区域越大。目前对于检测这种对OSPF协议的攻击还缺乏实际有效方法。并且，也不存在一种当检测到这种攻击后恢复被害路由器受该攻击影响的方法。即使解决了双LSA攻击路由器OSPF协议的检测和恢复技术，能够提升实施网络安全技术的性价比也是一个不容忽视的问题。近些年新兴的NFV是一种基于虚拟化技术利用软件代替传统硬件实现各种网络功能或网络设备的技术。通过NFV技术，能够降低了对专用硬件的依赖，减少了网络设备的成本，加快了网络新业务的部署以及网络的创新，同时也为网络安全技术发展注入新的动力。如果网络是一个运行在宿主服务器上的虚拟化的NFV网络，NFV安全技术可以较好地与使用OSPF协议的虚拟路由器(如由基于Linux的容器LXC的路由器软件构成)网络融合在一起。如果网络是由使用OSPF协议的IP路由器实体构成，能够利用NFV安全技术实现与实体OSPF路由器的虚实互通，保障该网络的安全。
技术实现思路
本专利技术为了保证路由器中的OSPF协议免受双LSA攻击的威胁，提出了一种检测双LSA攻击OSPF协议的方法以及恢复受害路由器的方法，同时为使该方法具有高性能价格比，提出了一种基于NFV实现这些方法的技术。为了实现上述技术目的，本专利技术的技术方案为：一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统，所述系统包括分析服务器和多台检测中间盒；所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。所述方法首先从指定的运输层端口接收从检测中间盒发送的踪迹trace记录，将其加上时间戳形成trace记录流；然后所述分析服务器分析由所述trace记录构成的流；若检测到攻击就告警，并对相关路由器恢复被污染的路由信息。进一步的，每条trace流的包括下列字段：时间戳，链路ID，媒体访问控制MAC目的地址，MAC源地址，IP目的地址，IP源地址，OSPF分组类型，路由器ID，区域号，认证类型，链路状态包LSP的序列号，链路状态LinkStateID；其中的时间戳取自分析服务器的时钟。进一步的，所述方法具体过程为：首先，采用一种滑动窗口机制以适应在线分析trace记录流的需求，所述窗口包括了具有报文数量约束的报文序列，检测分析报文是否合法、是否是攻击报文对；其次，检测链路上是否存在抗反击LSA，如果存在抗反击LSA，则判断该抗反击LSA的合法性；然后，判断哪段链路最先出现了攻击报文対；最后，受害路由器发送自反击报文，使得区域内所有链路状态数据库中有关受害路由器LSA得到恢复更新，从而让检测的OSPF双LSA攻击失效。进一步的，判断所述链路上是否存在抗反击LSA满足下列条件：该抗反击LSA的序列号比触发LSA的序列号大1，时间戳比触发LSA的时间戳大1至5s，LSID与触发LSA的相同，源地址和触发LSA相同；如果符合上述检测条件，则判断抗反击LSA的合法性；所述抗反击LSA的合法性判定规则为：若抗反击LSA的LSAck存在，则说明该抗反击LSA已被系统认可，即可判断该链路已经出现了抗反击LSA。由于所有洪泛出去的触发LSA之间的LSID和序列号都相同，通过比较前后两次告警触发LSA的LSID和序列号，就可以判断告警是否重复，找出最先发送攻击报文对的路由器或主机。进一步的，首先从指定端口接收从检测中间盒发送的踪迹trace记录具体包括以下步骤：俘获流经路由器的各端口链路的OSPF分组，过滤掉其中的OSPFHello报文；将收到的OSPF报文加上链路ID信息形成trace记录。采用上述方案后，本专利技术与现有技术相比具有如下双LSA攻击对运行OSPF路由协议的IP网络会产生重大危害，目前尚无检测这种攻击的方法，也没有恢复这种攻击对路由器造成危害的方法。本专利技术提出一种检测双LSA攻击OSPF的方法以及恢复被害路由器的方法。此外，本专利技术还提出了一种基于NFV的设计实现检测中间盒与分析服务器的技术，以便于实施该方法和提升其性能价格比。附图说明图1双LSA攻击过程的一种典型场景；图2基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统；图3分析服务器和检测中间盒的信息处理流程；图4实施本专利技术的网络环境本文档来自技高网...

【技术保护点】
1.一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统，其特征在于：所述系统包括分析服务器和多台检测中间盒；所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。

【技术特征摘要】
1.一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统，其特征在于：所述系统包括分析服务器和多台检测中间盒；所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。2.根据权利要求1所述系统的检测恢复方法，其特征在于：所述方法首先从运输层端口接收从检测中间盒发送的踪迹trace记录，将其加上时间戳形成trace记录流；然后所述分析服务器分析由所述trace记录构成的流；若检测到攻击就告警，并对相关路由器恢复被污染的路由信息。3.根据权利要求2所述的检测恢复方法，其特征在于：每条trace流的包括下列字段：时间戳，链路ID，媒体访问控制MAC目的地址，MAC源地址，IP目的地址，IP源地址，OSPF分组类型，路由器ID，区域号，认证类型，链路状态包LSP的序列号，链路状态LinkStateID；其中的时间戳取自分析服务器的时钟。4.根据权利要求2所述的检测恢复方法，其特征在于：所述方法具体过程为：首先，采用一种滑动窗口机制以适应在线分析trace记录流的需求，所述窗口包括了具有报文数...

【专利技术属性】
技术研发人员：陈鸣，李鹏飞，钱红燕，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：江苏,32