一种双LSA攻击防御方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种双LSA攻击防御方法、装置、设备及存储介质，涉及网络安全技术领域，包括：当在预设的时间范围内先后获取到第一LSA报文和第二LSA报文时，依次判断两个LSA报文是否是自身发送的；若是自身发送的，则依次判断两个LSA报文是否为新报文；若为旧报文，则依次判断两个LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同；若否则判定该网络通信设备节点受到了双LSA攻击，并依次生成一个比LSA报文的链路状态序列号大的新LSA实例，再将新LSA实例封装成报文发送到网络中。本申请能够有效防御双LSA报文攻击带来的持久性危害，增强网络设备的安全性和可靠性，并纠正网络中被攻击网络设备的错误LSA数据。据。据。

【技术实现步骤摘要】
一种双LSA攻击防御方法、装置、设备及存储介质


[0001]本申请涉及网络安全
，特别涉及一种双LSA攻击防御方法、装置、设备及存储介质。

技术介绍

[0002]互联网的高速发展带来了网络规模的持续增长以及拓扑结构的愈加复杂，同时给网络安全(Cyber Security)提出了巨大的挑战，网络安全已成为制约互联网发展的重要因素之一。OSPF(Open Shortest Path First，开放式最短路径优先)已经成为网络部署中使用最为广泛的路由协议，OSPF作为一种典型链路状态协议，通过LSA(Link State Advertisement，链路状态通告)的形式发布路由，依靠在OSPF区域内各设备间交互OSPF报文来达到路由信息的统一。
[0003]但是，实际的网络环境中存在着大量恶意伪造的虚假OSPF路由信息，如果没有防范保护措施，将会面临路由信息被篡改，当恶意的路由信息插入并洪泛到网络中时，会导致网络级联式瘫痪。
[0004]目前，对于普通的单LSA攻击，如最大序列号攻击、序列号增量攻击、最大年龄攻击、周期注入LSA攻击等，虽能造成路由信息被篡改，但通过OSPF自带的反击保护机制，如可靠的认证机制、层次化路由、双向链路机制、反击机制等，能够使被篡改的路由信息得到修正，其影响是短暂的。但是对于双LSA攻击，包括触发LSA和伪装LSA，由于利用了OSPF校验和可预测性的缺陷，如当网络中的OSPF路由器收到伪装LSA后，更新链路状态数据库(LSDB，Link State Data Base)，但由于用于反击所述触发LSA的反击LSA可能晚于伪装LSA到达，因此会被误当作副本丢弃，使得反击LSA失效，因此双LSA攻击能够规避OSPF自带的反击机制，并且，一旦攻击者控制了网络中某台内部设备，并通过特种方式获取到MD5(Message
‑
Digest Algorithm，信息摘要算法)的键值，发起此类攻击，对于OSPF协议构建的网络自治系统的危害是严重的、持久的。另外，更新链路状态数据库会增加字段，进而导致网络通信设备内存空间占用大的问题。
[0005]综上，如何对OSPF协议攻击中最严重和最持久的双LSA攻击进行防御是目前还有待进一步解决的问题。

技术实现思路

[0006]有鉴于此，本申请的目的在于提供一种双LSA攻击防御方法、装置、设备及存储介质，能够在不增加OSPF链路状态数据库字段的前提下，有效防御双LSA报文攻击带来的持久性危害，增强网络设备的安全性和可靠性，并纠正网络中被攻击网络设备的错误LSA数据。其具体方案如下：
[0007]第一方面，本申请公开了一种双LSA攻击防御方法，应用于支持OSPF协议的网络通信设备节点，包括：
[0008]当在预设的时间范围内先后获取到第一LSA报文和第二LSA报文时，依次判断所述
第一LSA报文和所述第二LSA报文是否是自身发送的；
[0009]若所述第一LSA报文和所述第二LSA报文是自身发送的，则依次判断所述第一LSA报文和所述第二LSA报文是否为新报文；
[0010]若所述第一LSA报文和所述第二LSA报文为旧报文，则依次判断所述第一LSA报文和所述第二LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同；
[0011]若否，则判定所述网络通信设备节点受到了双LSA攻击，并依次生成一个比所述第一LSA报文的链路状态序列号大的第一新LSA实例和一个比所述第二LSA报文的链路状态序列号大的第二新LSA实例，再将所述第一新LSA实例和所述第二新LSA实例封装成报文发送到网络中，以纠正所述网络中被攻击的所有网络通信设备节点中的错误LSA信息。
[0012]可选的，所述判断所述第一LSA报文和所述第二LSA报文是否是自身发送的，包括：
[0013]根据所述第一LSA报文和所述第二LSA报文中的链路状态ID和通告路由器判断所述第一LSA报文和所述第二LSA报文是否是自身发送的。
[0014]可选的，所述判断所述第一LSA报文和所述第二LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同之后，还包括：
[0015]若所述第一LSA报文和所述第二LSA报文中携带的LSA信息与所述本地链路状态数据库中记录的LSA信息相同，则将所述第一LSA报文和所述第二LSA报文作为副本进行丢弃。
[0016]可选的，所述纠正所述网络中被攻击的所有网络通信设备节点中的错误LSA信息，包括：
[0017]当所述网络中除所述网络通信设备节点外的其他网络通信设备节点接收到所述第一新LSA实例和所述第二新LSA实例时，依次利用所述第一新LSA实例和所述第二新LSA实例中携带的LSA信息覆盖自身链路状态数据库中保存的LSA信息。
[0018]可选的，所述判断所述第一LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同，包括：
[0019]分别获取所述第一LSA报文和本地链路状态数据库中LSA信息的长度，得到相应的第一长度和第二长度；
[0020]分别获取所述第一LSA报文和所述本地链路状态数据库中LSA信息的内容，得到相应的第一内容和第二内容；
[0021]判断所述第一长度与所述第二长度、所述第一内容与所述第二内容是否均相同。
[0022]可选的，所述若否，则判定所述网络通信设备节点受到了双LSA攻击，包括：
[0023]若所述第一长度与所述第二长度，和/或所述第一内容与所述第二内容不相同，则判定所述网络通信设备节点受到了双LSA攻击。
[0024]可选的，所述判断所述第一LSA报文和所述第二LSA报文是否为新报文，包括：
[0025]根据LSA新旧比较原则判断所述第一LSA报文和所述第二LSA报文是否为新报文。
[0026]第二方面，本申请公开了一种双LSA攻击防御装置，应用于支持OSPF协议的网络通信设备节点，包括：
[0027]第一判断模块，用于当在预设的时间范围内先后获取到第一LSA报文和第二LSA报文时，依次判断所述第一LSA报文和所述第二LSA报文是否是自身发送的；
[0028]第二判断模块，用于如果所述第一LSA报文和所述第二LSA报文是自身发送的，则依次判断所述第一LSA报文和所述第二LSA报文是否为新报文；
[0029]第三判断模块，用于所述第一LSA报文和所述第二LSA报文为旧报文，则依次判断所述第一LSA报文和所述第二LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同；
[0030]双LSA攻击判定模块，用于如果所述第一LSA报文和所述第二LSA报文中携带的LSA信息与本地链路状态数据库中记录的LSA信息不相同，则判定所述网络通信设备节点受到了双LSA攻击；
[0031]攻击防御模块，用于依次生成一个比所述第一LSA报文的链路状态序列号大的第一新LSA实例和一个比所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种双LSA攻击防御方法，其特征在于，应用于支持OSPF协议的网络通信设备节点，包括：当在预设的时间范围内先后获取到第一LSA报文和第二LSA报文时，依次判断所述第一LSA报文和所述第二LSA报文是否是自身发送的；若所述第一LSA报文和所述第二LSA报文是自身发送的，则依次判断所述第一LSA报文和所述第二LSA报文是否为新报文；若所述第一LSA报文和所述第二LSA报文为旧报文，则依次判断所述第一LSA报文和所述第二LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同；若否，则判定所述网络通信设备节点受到了双LSA攻击，并依次生成一个比所述第一LSA报文的链路状态序列号大的第一新LSA实例和一个比所述第二LSA报文的链路状态序列号大的第二新LSA实例，再将所述第一新LSA实例和所述第二新LSA实例封装成报文发送到网络中，以纠正所述网络中被攻击的所有网络通信设备节点中的错误LSA信息。2.根据权利要求1所述的双LSA攻击防御方法，其特征在于，所述判断所述第一LSA报文和所述第二LSA报文是否是自身发送的，包括：根据所述第一LSA报文和所述第二LSA报文中的链路状态ID和通告路由器判断所述第一LSA报文和所述第二LSA报文是否是自身发送的。3.根据权利要求1所述的双LSA攻击防御方法，其特征在于，所述判断所述第一LSA报文和所述第二LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同之后，还包括：若所述第一LSA报文和所述第二LSA报文中携带的LSA信息与所述本地链路状态数据库中记录的LSA信息相同，则将所述第一LSA报文和所述第二LSA报文作为副本进行丢弃。4.根据权利要求1所述的双LSA攻击防御方法，其特征在于，所述纠正所述网络中被攻击的所有网络通信设备节点中的错误LSA信息，包括：当所述网络中除所述网络通信设备节点外的其他网络通信设备节点接收到所述第一新LSA实例和所述第二新LSA实例时，依次利用所述第一新LSA实例和所述第二新LSA实例中携带的LSA信息覆盖自身链路状态数据库中保存的LSA信息。5.根据权利要求1所述的双LSA攻击防御方法，其特征在于，所述判断所述第一LSA报文中携带的LSA信息是否与本地链路状态数据库中记录的LSA信息相同，包括：分别获取所述第一LSA报文和本地链路状态数据库中LSA信息的长度...

【专利技术属性】
技术研发人员：朱绪全，包婉宁，张思绮，张进，江逸茗，马海龙，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：