CN108881315B - 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统 - Google Patents

Abstract

本发明提出一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统，所述系统包括分析服务器和多台检测中间盒；所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。该方法及系统方便实施该方法和提升其性能价格比。本发明属于网络安全领域。

Description

一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统

技术领域

本发明属于网络安全领域，具体涉及一种基于NFV的检测和恢复双LSA攻击OSPF协议的方法及系统。

背景技术

路由器是IP网络的核心组件，路由选择协议是路由器决定分组传输路径的关键协议。开放式最短路径优先(OSPF)路由协议是互联网中一个应用最为广泛的内部网关协议，尽管OSPF协议具有良好的扩展性、快速汇聚、支持流量工程和安全性较强等优点，但研究表明OSPF协议仍存在着某些安全漏洞。攻击者利用OSPF协议存在的缺陷，通过设计特定的攻击方法，使得路由器产生路由错误，造成部分网络用户无法正确地到达目的地，或者让路由经过不安全的区域等等，并且有时这些攻击不易被人觉察发现，对于互联网健康发展造成严重的影响。

双链路状态通告(LSA)攻击方法就是一种能够对OSPF协议产生严重威胁的网络攻击方法。所谓双LSA攻击是指攻击者利用OSPF协议判断LSA新旧规则的漏洞，篡改链路状态数据库中的真实LSA，达到路由欺骗的目的。图1给出了双LSA攻击路由器OSPF协议的一种典型场景。攻击者(可以是路由器或运行OSPF协议的主机)通过发送LSA报文，来篡改区域内其他路由器链路状态数据库中到达路由器R4的信息，使其他路由器不能正确到达R4，其中R4为受害路由器。首先攻击者向R2发送关于R4的恶意LSA，称为“触发LSA(图1中的①)”，它的序列号比当前R4的LSA序列号大。过了1～5s后，攻击者发送另一个关于R4的恶意LSA，称为“抗反击LSA(图1中的②)”，该LSA具有与“自反击LSA”相同的序列号和校验和，且两者LS时限差小于15分钟。当然，R4也会收到从R1转发来的有关自己路由的触发LSA，会立即向R1发送自反击LSA(图1中的③)。然而，由于R1中已经存放着伪造的抗反击LSA，且系统默认两者相同，就会丢弃该自反击LSA。此时，R1链路状态数据库中关于R4的路由就被成功篡改。由于双LSA攻击存在抗反击LSA和自反击LSA的时间竞争问题，先到的LSA会被存放在链路状态数据库中，后到的会被丢弃，所以对触发LSA和抗反击LSA发送间隔有一定的要求。LSA接收间隔是指协议进程接收LSA新实例之间的时间间隔。系统默认的时间间隔为1s。若触发LSA和抗反击LSA的发送间隔小于1s，后发送的抗反击LSA则无法被系统接收。LSA生成间隔是指协议进程构造一个新LSA，并发送出的最小间隔。系统默认为5s。当路由器接收到触发LSA后，过5s才能向网络中发送自反击LSA。所以在忽略链路状态数据库的更新时间以及洪泛时间的情况下，触发LSA和抗反击LSA的发送间隔在1s到5s之间，且间隔时间越接近1s，被污染的区域越大。目前对于检测这种对OSPF协议的攻击还缺乏实际有效方法。并且，也不存在一种当检测到这种攻击后恢复被害路由器受该攻击影响的方法。即使解决了双LSA攻击路由器OSPF协议的检测和恢复技术，能够提升实施网络安全技术的性价比也是一个不容忽视的问题。近些年新兴的NFV是一种基于虚拟化技术利用软件代替传统硬件实现各种网络功能或网络设备的技术。通过NFV技术，能够降低了对专用硬件的依赖，减少了网络设备的成本，加快了网络新业务的部署以及网络的创新，同时也为网络安全技术发展注入新的动力。如果网络是一个运行在宿主服务器上的虚拟化的NFV网络，NFV安全技术可以较好地与使用OSPF协议的虚拟路由器(如由基于Linux的容器LXC的路由器软件构成)网络融合在一起。如果网络是由使用OSPF协议的IP路由器实体构成，能够利用NFV安全技术实现与实体OSPF路由器的虚实互通，保障该网络的安全。

发明内容

本发明为了保证路由器中的OSPF协议免受双LSA攻击的威胁，提出了一种检测双LSA攻击OSPF协议的方法以及恢复受害路由器的方法，同时为使该方法具有高性能价格比，提出了一种基于NFV实现这些方法的技术。

为了实现上述技术目的，本发明的技术方案为：一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统，

所述系统包括分析服务器和多台检测中间盒；

所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；

所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。

所述方法首先从指定的运输层端口接收从检测中间盒发送的踪迹trace记录，将其加上时间戳形成trace记录流；然后所述分析服务器分析由所述trace记录构成的流；若检测到攻击就告警，并对相关路由器恢复被污染的路由信息。

进一步的，每条trace流的包括下列字段：时间戳，链路ID，媒体访问控制MAC目的地址，MAC源地址，IP目的地址，IP源地址，OSPF分组类型，路由器ID，区域号，认证类型，链路状态包LSP的序列号，链路状态Link State ID；

其中的时间戳取自分析服务器的时钟。

进一步的，所述方法具体过程为：

首先，采用一种滑动窗口机制以适应在线分析trace记录流的需求，所述窗口包括了具有报文数量约束的报文序列，检测分析报文是否合法、是否是攻击报文对；

其次，检测链路上是否存在抗反击LSA，如果存在抗反击LSA，则判断该抗反击LSA的合法性；

然后，判断哪段链路最先出现了攻击报文対；

最后，受害路由器发送自反击报文，使得区域内所有链路状态数据库中有关受害路由器LSA得到恢复更新，从而让检测的OSPF双LSA攻击失效。

进一步的，判断所述链路上是否存在抗反击LSA满足下列条件：该抗反击LSA的序列号比触发LSA的序列号大1，时间戳比触发LSA的时间戳大1至5s，LS ID与触发LSA的相同，源地址和触发LSA相同；

如果符合上述检测条件，则判断抗反击LSA的合法性；

所述抗反击LSA的合法性判定规则为：若抗反击LSA的LSAck存在，则说明该抗反击LSA已被系统认可，即可判断该链路已经出现了抗反击LSA。

由于所有洪泛出去的触发LSA之间的LS ID和序列号都相同，通过比较前后两次告警触发LSA的LS ID和序列号，就可以判断告警是否重复，找出最先发送攻击报文对的路由器或主机。进一步的，首先从指定端口接收从检测中间盒发送的踪迹trace记录具体包括以下步骤：

俘获流经路由器的各端口链路的OSPF分组，过滤掉其中的OSPF Hello报文；将收到的OSPF报文加上链路ID信息形成trace记录。

采用上述方案后，本发明与现有技术相比具有如下

双LSA攻击对运行OSPF路由协议的IP网络会产生重大危害，目前尚无检测这种攻击的方法，也没有恢复这种攻击对路由器造成危害的方法。本发明提出一种检测双LSA攻击OSPF的方法以及恢复被害路由器的方法。此外，本发明还提出了一种基于NFV的设计实现检测中间盒与分析服务器的技术，以便于实施该方法和提升其性能价格比。

附图说明

图1双LSA攻击过程的一种典型场景；

图2基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统；

图3分析服务器和检测中间盒的信息处理流程；

图4实施本发明的网络环境；

图5trace记录流中的攻击记录。

具体实施方式

下面结合附图和具体实例对本发明做更进一步的解释：

本发明提供的一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统，它包括：一台分析服务器和多台检测中间盒，系统的组成如图2所示；

所述的一台分析服务器是由运行在Linux操作系统下的LXC中的具有特定分析功能的虚拟网络功能(VNF)构成，它用于收集来自检测中间盒的报文信息，分析判断路由器系统中是否存在双LSA攻击；

所述的多台检测中间盒是由运行在Linux操作系统下的LXC中的具有特定检测和恢复功能的VNF构成，它们用于收集OSPF双LSA攻击信息，并将这些信息发送给分析服务器进行分析；接收分析服务器指令以对相邻路由器恢复被污染路由的信息；

上述分析服务器，它包括：

(1)其主要功能包括：一是从指定端口接收从检测中间盒发送的踪迹(trace)记录，二是利用分析检测算法分析由trace记录构成的流；每条trace流的包括下列字段：时间戳，链路ID，媒体访问控制(MAC)目的地址，MAC源地址，IP目的地址，IP源地址，OSPF分组类型，路由器ID，区域号，认证类型，链路状态包(LSP)的序列号，链路状态(Link State)ID等。其中的时间戳取自分析服务器的时钟；

(2)其信息处理流程如图3(b)所示，接收来自中间盒的trace记录，将其加上时间戳形成trace记录流；调用分析检测算法分析处理trace记录流，若检测到攻击就告警，并发送指令让分析服务器对相关路由器恢复被污染的路由信息；

(3)其检测双LSA攻击的算法包括：第一部分是一种滑动窗口机制以适应在线分析trace记录流的需求，窗口包括了具有报文数量约束的报文序列，以便于检测分析报文是否合法、是否是攻击报文对等。例如，每当检测到触发LSA报文后，该窗口的后沿停留在该报文处不动，而其前沿就会根据需要向前移动，以包含后继的报文；直至窗口中的分析得到结论，释放窗口中的报文信息，窗口向前滑动；第二部分最为重要，检测链路上是否存在抗反击LSA，判断是否满足下列条件：该抗反击LSA的序列号比触发LSA的大1，时间戳比触发LSA的大1到5s，LS ID与触发LSA的相同，源地址和触发LSA相同。如果符合上述检测条件，则需判断抗反击LSA的合法性。其判断方法与判断触发LSA合法性类似。若抗反击LSA的LSAck存在，该抗反击LSA则被系统认可，即可判断链路中已经出现了抗反击LSA；第三部分是判断哪段链路最先出现了攻击报文对。由于所有洪泛出去的触发LSA之间的LS ID和序列号都相同。通过比较前后两次告警触发LSA的LS ID和序列号，就可以判断告警是否重复，找出最先发送攻击报文对的路由器或主机。检测双LSA攻击的算法描述如下：

本发明提供的一种基于NFV的检测双LSA攻击OSPF协议的方法它包括：

(1)其主要功能包括：负责俘获流经路由器的各端口链路的OSPF分组；过滤掉其中的OSPFHello报文；将收到的OSPF报文加上链路ID等信息形成trace记录；将trace记录发送给分析服务器；接收分析服务器指令恢复被污染路由的信息；

(2)其组织结构包括：为了给该VNF提供中间盒运行环境，先要基于LXC配置一台虚拟路由器，再基于其中的TCP/IP网络协议栈，通过安装libpcap接口以获取和解析OSPF报文。该VNF的主要工作过程包括：基于libpcap在被监测端口的数据链路层增加一个旁路接口，当Linux内核通过驱动程序直接从网卡获取到数据时，libpcap将通过创建AF_PACKET类型的Socket获得分组拷贝；然后定义BSD Packet Filter(BPF)规则以获得所需类型的分组，对收集的报文进行过滤；再将符合条件的分组传递给上层的程序；

(3)负责俘获流经路由器的各端口链路的OSPF分组；过滤掉其中的OSPF Hello报文；将收到的OSPF报文加上链路ID等信息形成trace记录；将trace记录发送给分析服务器；接收分析服务器指令恢复被污染路由的信息；

本发明提供的恢复被害路由器方法，一旦分析服务器检测到存在OSPF双LSA攻击，就能通过分析抗反击LSA得知受害路由器信息。此时分析服务器根据网络拓扑，决定由某个检测中间盒发送一个有关受害路由器的触发LSA，让其序列号大于抗反击LSA的序列号，这样必定引发受害路由器的自反击机制。受害路由器发送自反击报文，使得区域内所有链路状态数据库中有关受害路由器LSA得到恢复更新，从而让检测的OSPF双LSA攻击失效。

实施例1

1.实施本发明的网络环境

如图4所示，原型系统使用了一台型号为ThinkServer RD550的宿主服务器，内存8GB，Xeon(R)CPU 4核x5647@2.93GHZ。在该宿主服务器上基于LXC构建了一个NFV网络。该网络的虚拟设备是在LXC基础上通过运行quagga、NETEAM等配置成虚拟路由器或虚拟主机，再通过虚拟网桥将各个虚拟设备连接起来。接下来为虚拟设备配置相应的端口IP地址及其掩码等，如果是虚拟路由器还要配置路由协议，为了满足原型系统的试验需要，虚拟路由器都配置运行了OSPF协议。该NFV网络是由10台OSPF路由器r1-r10组成，它分为三个区域Aera0、Aera1和Aera2。该网络还有5台虚拟主机h1-h5。

2.检测系统的部署

为了进行试验，设置了两个检测中间盒和一个分析服务器。中间盒1、中间盒2分别负责对r4左边、右边所有的链路上的数据包进行过滤，捕获OSPF分组；加上链路ID通过UDP发送给分析服务器的8888端口；接收服务器指令后进行相应的故障恢复。分析服务器与路由器r9相连，负责接收trace记录，加上时间戳形成trace流；调用检测算法对trace流实时检测；告警后给检测中间盒发送指令以恢复污染路由。

实施案例

1.实施双LSA攻击的方法

试验中，攻击者程序在某个时刻实施OSPF双LSA攻击，假定攻击者r6向r5注入关于r10的触发LSA以及抗反击LSA。该触发LSA的序列号必须大于现存链路状态数据库中的LSA，抗反击LSA必须比触发LSA的序列号大1，因为自反击LSA通常比触发LSA的序列号大1，只有这样才能保证自反击LSA和抗反击LSA的序列号相同。并且在构造抗反击LSA时，要提前通过Fletcher算法计算出自反击LSA的校验和，然后通过添加矫正字段，使抗反击LSA和自反击LSA的校验和相同，老化时间设为0s(只要和自反击LSA的老化时间差在15分钟以内即可)。这样既能保证抗反击LSA和自反击LSA的序列号和校验和相同，又能让老化时间差在15分钟以内。抗反击LSA的具体参数如表1所示。

在实际环境中，攻击者程序通常是运行在主机上。而在本试验中，由于采用了NFV技术，攻击程序可以运行在虚拟主机或者虚拟路由器中。我们可以在宿主服务器机上用该试验方法在任何时间、在网络的任何位置向某个路由器发起实际的OSPF路由攻击，以验证我们设计的检测机制和系统是否能够实时、准确地发现攻击并消除攻击的影响。

表1抗反击LSA的主要参数

2.双LSA攻击和告警

试验中设置了两次攻击，将第一次攻击发送触发LSA的时间设为0，两次攻击发送触发LSA的时间相差1s。攻击1：运行在r2上的攻击者程序在时刻0s向r3注入关于r1的触发LSA报文，在时刻2s注入抗反击LSA报文；攻击2：运行在r7上的攻击者程序在时刻1s向r5注入关于r10的触发LSA报文，在时刻3s注入抗反击LSA报文。表2和表3分别给出了被攻击路由器r3和r5在双LSA攻击前后路由表表项的主要参数。试验表明，我们的检测系统对这两次攻击都进行了准确、及时的告警。

在表2攻击前的情况中，r3中去往192.168.3.0的流量都会转发到r4的30.1.1.4端口，并且存在去往192.168.1.0网段的路径。攻击后，r3中去往192.168.3.0的流量都会转发到r1，r1收到数据后将数据包丢弃，导致了流量黑洞。而且路由表中不含192.168.1.0的表项，攻击使得主机h2与r1逻辑上断开连接。表中的“Metric”表示从该路由器去往目的网段的开销。

表2路由器r3被攻击前后的路由表项

表3路由器r5被攻击前后的路由表项

图5中列出了分析服务器根据确定OSPF双LSA攻击者T的3个必要条件过滤出来的攻击1的trace记录。其中第一条记录中的路由器LSA为触发LSA，它的序列号为0x80000c06，LS ID为1.1.1.1，源地址为r2的接口地址10.2.1.2。根据LS ID、序列号、源地址可以判断第二条记录中的数据包是触发LSA的LSAck包。第三条记录中的路由器LSA为抗反击LSA，因为它的序列号比触发LSA的大1，LS ID、源地址和触发LSA相同。同理，可判断第四条记录为抗反击LSA的LSAck包。这样可判断trace记录中的报文满足必要条件1，r2按序发送合法的触发LSA报文与抗反击LSA报文。通过比较第一条、第三条记录的时间戳，它们相差2s左右，判断它们也满足必要条件2。由于算法中重复的告警会忽略，所以图5中trace记录必定也满足必要条件3。据此，分析服务器能够准确及时地告警：链路lbr2上存在双LSA攻击，攻击源为r2。

3.恢复被害路由器路由

系统设计分析服务器检测到攻击后，它以接收到触发LSA的时间戳为标准，推迟3s启动检测中间盒，发送新的触发LSA。试验中，当分析服务器检测到攻击1并告警后，它在时刻5s发送指令启动检测中间盒1，由检测中间盒1立即向路由器r1发送新的触发LSA报文。当分析服务器检测到攻击2并告警后，它在时刻6s发送指令启动检测中间盒2，由检测中间盒2立即向路由器r10发送新的触发LSA报文。

本发明的思路及方法，具体实现该技术方案的方法和途径很多，以上仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部份均可用现有技术加以实现。

Claims (7)

1.一种基于NFV的支持检测和恢复双LSA攻击OSPF协议的系统，其特征在于：

所述系统包括分析服务器和多台检测中间盒；

所述的分析服务器是具有特定分析功能的虚拟网络功能VNF服务器设备，它用于收集来自检测中间盒的报文信息，通过活动窗口机制分析trace记录流、检测链路上是否存在抗反击LSA并判断合法性、判断出先攻击报文対的路由器或主机，分析判断路由器系统中是否存在双LSA攻击；

所述的多台检测中间盒是具有特定检测和恢复功能的VNF服务器构成，其用于收集开放式最短路径优先OSPF路由器双LSA攻击信息，并将所述信息发送给所述分析服务器进行分析；接收分析服务器指令以对与攻击者相邻的路由器恢复被污染路由的信息。

2.一种检测恢复方法，该方法基于权利要求1所述系统实现，其特征在于：

所述方法首先从运输层端口接收从检测中间盒发送的踪迹trace记录，将其加上时间戳形成trace记录流；然后所述分析服务器分析由所述trace记录构成的流；若检测到攻击就告警，并对相关路由器恢复被污染的路由信息。

3.根据权利要求2所述的检测恢复方法，其特征在于：

每条trace流的包括下列字段：时间戳，链路ID，媒体访问控制MAC目的地址，MAC源地址，IP目的地址，IP源地址，OSPF分组类型，路由器ID，区域号，认证类型，链路状态包LSP的序列号，链路状态Link State ID；

其中的时间戳取自分析服务器的时钟。

4.根据权利要求2所述的检测恢复方法，其特征在于：所述方法具体过程为：

所述方法具体过程为：

首先，分析服务器采用一种滑动窗口机制以适应在线分析trace记录流的需求，所述窗口包括了具有报文数量约束的报文序列，检测分析报文是否合法、是否是攻击报文对；

其次，分析服务器检测链路上是否存在抗反击LSA，如果存在抗反击LSA，则判断该抗反击LSA的合法性；

然后，分析服务器判断哪段链路最先出现了攻击报文対；

最后，分析服务器向检测中间盒发送恢复请求，中间检测盒向受害路由器发送触发LSA，受害路由器发送自反击报文，使得区域内所有链路状态数据库中有关受害路由器LSA得到恢复更新，从而让检测的OSPF双LSA攻击失效。

5.根据权利要求4所述的检测恢复方法，其特征在于：判断所述链路上是否存在抗反击LSA满足下列条件：该抗反击LSA的序列号比触发LSA的序列号大1，时间戳比触发LSA的时间戳大1至5s，LS ID与触发LSA的相同，源地址和触发LSA相同；

如果符合上述检测条件，则判断抗反击LSA的合法性；

所述抗反击LSA的合法性判定规则为：若抗反击LSA的LSAck存在，则说明该抗反击LSA已被系统认可，即可判断该链路已经出现了抗反击LSA。

6.根据权利要求4所述的检测恢复方法，其特征在于：由于所有洪泛出去的触发LSA之间的LS ID和序列号都相同，通过比较前后两次告警触发LSA的LS ID和序列号，就可以判断告警是否重复，找出最先发送攻击报文对的路由器或主机。

7.根据权利要求4所述的检测恢复方法，其特征在于：

首先从指定端口接收从检测中间盒发送的踪迹trace记录具体包括以下步骤：

俘获流经路由器的各端口链路的OSPF分组，过滤掉其中的OSPF Hello报文；将收到的OSPF报文加上链路ID信息形成trace记录。

Images