基于OSPF协议的拓扑发现与攻击检测技术研究_范双娇.docx

《基于OSPF协议的拓扑发现与攻击检测技术研究_范双娇.docx》由会员分享，可在线阅读，更多相关《基于OSPF协议的拓扑发现与攻击检测技术研究_范双娇.docx（63页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 独创性（或创新性）声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包 含其他人己经发表或撰写过的研究成果，也不包含为获得北京邮电大学或 其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研宄所 做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名 : 日 期 ： 心 | 关于论文使用授权的说明 本人完全了解北京邮电大学有关保留和使用学位论文的规定，即：研宄生 在 校攻读学位期间论文工作的知识产权单位属北京邮电大学。

2、学校有权保留并 向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅； 学校 可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复 制手段 保存、汇编学位论文。 本学位论文不属于保密范围，适用本授权书。 本人签名 : 导师签名 : 日期 : 日期 :2J/ S. 基于 OSPF 协议的拓扑发现与攻击检测技术研究 摘要 随着互联网的快速发展，社会已经进入网络时代，网络的大规 模应 用促进了信息的传播与社会的变更。路由器是网络的基础设施， 路由协 议是互联网的重要组成部分，不同区域之间通过路由器等设 备进行信息 的交流厂路由协议则是规范这些通信的一个重要手段。 OSP

3、F 协议，是一种分布式的链路状态协议，是目前应用最为广 泛 的域内路由协议，其具有收敛速度快，网络流量少，无路由自环 等优点。 本文研宄了基于 OSPF 协议的拓扑发现技术以及针对 OSPF 协议的的攻 击检测技术。 本文首先介绍了 OSPF 协议的相关知识，提出了一种基于 OSPF 协 议的实时网络拓扑算法，该算法采用被动的数据包捕获方法，通 过分析 LSU 报文中的 Router-LSA 和 Network-LSA，能够在不影响 网络流量的 情况下进行实时拓扑构建，准确性高、时效性好。通过 分析 OSPF 协议 的安全机制与脆弱性，详细描述了基于特征识别的 细粒度攻击检测方法； 最后，以拓

4、扑发现算法和攻击检测方法为理 论基础，设计并实现了一个 路由攻击监测系统，详细介绍了该系统 的模块组成与具体实现并针对系 统的各项功能进行了相关的测试， 通过测试发现，该系统能够准确的实 现实时拓扑构建并能对路由攻 击进行告警。 关键词 ： OSPF 协议 拓扑 发现 攻击 检测 路由 检测 系统 THE RESEARCH OF TOPOLOGY DISCOVERY AND ATTACK DETECTION TECHNOLOGY BASED ON OSPF PROTOCOL ABSTRACT With the rapid development of the internet, our soc

5、ial has entered into the age of network, large-scale application of the network promotes the spread of information and the development of the society. Routers are the infrastructures of the network and routing protocol is an important part of the internet. Exchange of information between different r

6、egions through routers and other equipment, routing protocol is an important method to regulate these communications. The OSPF protocol which is a distributed link state protocol, it is one kind of the most widely used intra-domain routing protocol which has the advantages of fast rapidity of conver

7、gence, low network traffic and non-routing loop at the current.This paper paied close attention to topology discovery and attack detection based on OSPF protocol. Firstly, this paper introduces some basic knowledge of OSPF protocol; Secondly, a new algorithm of real-time network topology discovery b

8、ased on OSPF protocol has been proposed, the algorithm uses a passive packet capture method can obtains the information of network topology such as the relationship of the links between routers without making influence of network by analyzing the Router-LSA and Network-LSA, it has high accuracy and

9、good real-time performance. Thirdly, this paper described the attack detection method based on feature recognition by analyzing the security mechanism and vulnerability of OSPF protocol in detail. Finally, we finished the design and implementation of a routing attack detection system based on the to

10、pology discovery algorithm and attack detection method proposed before, then described detailed the modules and the implement method of the system. After that, we used some related operation to test the function of the system. In the end, the testing result shows that, the system can get a complete

11、and accurate network topology in a short period of time and have the real-time attack alarms. KEY WORDS: ospf protocol, topology discovery, attack detection, routing monitoring system 目录 . , . 第一章绪论 . 1 1.1 研宄背景及意义 . 1 1.2 国内外研宄现状 . 2 1.3.研宄内容及章节安排 . 4 第二章 OSPF 路由协议臟 . . Z5 2.1 路由选择协议 . 5 2.2 OSPF 协

12、议 . 5 2.2.1 OSPF 协议简介 . 5 2.2.2 OSPF 协议工作机制 . 6 2.3 OSPF 协议网络类型 . 7 2.4 OSPF 协议路由器类型 . 8 2.5 OSPF 协议报文结构 . 10 2.5.1 Hello 报文 . 10 2.5.2 DD 报文 . 12 2.5.3 LSR 报文 . 12 2.5.4 LSU 报文 . 13 2.5.5 LSAck 报文 . 17 2.6 本章小结 . 17 第三章基于 OSPF 协议的实时网络拓扑发现算法 . 18 3.1 算法描述 . 18 3.2 算法实现 . 21 3.3 实验结果 . 23 3.4 拓扑发现方法比

13、较 . 25 3.5 本章小结 . 27 第四章 OSPF 协议攻击检测技术研宄 . 28 4.1 OSPF 协议的安全机制 . 28 4.1.1 OSPF 分层结构 . 28 4.1.2 可靠的泛洪机制 . 28 4.1.3 源路由反击机制 . 29 4.1.4 报文的校验机制 . 29 4.2 OSPF 协议脆弱性 . 30 4.2.1 Hello 报文攻击 . 30 4_2.2 LSU 报文攻击 . 30 4.3 基于特征识别的细粒度攻击检测技术 . 31 4.3.1 细粒度解析 . 32 4.3.2 特征识别 . 32 4.4 本章小结 . 37 第五章珞由攻击监测系统的设计与实现 .

14、 ： . 38 5.1 整体模块设计 . 38 5.2 系统设计 . 39 5.2.1 信息采集模块 . 39 5.2.2 拓扑探测模块 . 41 5.2.3 攻击检测模块 . 41 5.2.4 用户结构模块 . 44 5.2.5 系统工作流程 . 45 5.3 功能测试 . 45 5.3.1 实验环境 . 45 5.3.2 效果验证 . 46 5.4 本章小结 . 48 第六章麟与展望 . 49 6.1 本文主要工作 . 49 6.2 下一步展望 . 49 #诚 . 51 賴 . 54 攻读学 间发表的学术论文目录 . 55 第 一 章绪 论 1 第一章绪论 1.1 研究背景及意义 人类的脚

15、步早已迈入 21 世纪，随着 Internet 发展的日新月异，网络从吃、穿、 住、行等各个方面影响着人们的生活。为了能更好的利用渗透到社会各行 各业的 网络，相关机构拟定了很多协议规范，路由协议就是其中的一种。 互联网是由许多有权自主决定在本系统中采用何 种 路由协议的自治系 统 AS (Autonomous System)组成， 自 治系统之间采 用 EGP (Exterior Gateway Protocol, 外 部 网 关 协 议 是 一 种 在 自 治 系 统 的 相 邻 两 个 网 关 主 机 间 交 换 路 由 信 息 的 协 议 )， 目 前使用的 外 部网关协议 为 BGP

16、(BorderGatewayProtocol);而自 治 系统之内 采 用 的 则 是 IGP (Interior Gateway Protocol， 内部网关 协 议是一种专 用 于一个自 治 网 络 系统 中 网关间交换 数 据流转通道 信 息的协议 ） ，常见的内 部 网 关 协议 有 链路状 态 路 由 ISIS (Intermediate system to intermediate system)协 议 、 开 放 式 最 短 路 径 优 先 OSPF (Open Shortest Path First)协 议 、 路 由 信 息 RIP (Routing Information

17、Protocol)协 议 等 1。 目前，路由协议已被广泛使用，但由于大多路由协议都是早期拟定的，在 当 时，为了使用起来方便，并没有在协议的安全运作与网络控制上进行深入考 量。 所以，路由协议的工作机制并不如想象中完美，即使针对后来实际运用过 程中出 现的问题陷做了一定的改进与升级，但仍不尽如人意，其中就包括 OSPF 协议 a OSPF 协议是一个内部网关协议，由于其收敛速度快 、 开销控制好、支 持 可 变长 子 网 掩码 等 诸 多 优点 ， 且 其 为真 正 的 LOOP-FREE (无 路 由 自 环）路 由 协 议 ， 成为 了 目 前 应 用 最 广 的 内 部 网 关 协 议

18、 。 它 最 早 是 在 1987 年 由 IETF (Internet Engineering Task Force,互 联 网 工 程任 务 组） 进 行 开 发， 在 1991 年 ， 初 次 发 布 了 SPFv2,其中规范 了 OSPF 协议的基 本 内容；经 过 7 年的探讨 与 修订， 在 1998 年发布 了最终版 本 的 OSPFv2,具体 内 容参 见 RFC 文 档 2328; 随 后 ， 针 对 IPvf 地 址 的 匮乏 与 网络 的 快 速 发 展 ， IETF 在 1999 年 发 布 了 基 于 IPv6 的 0SPFv3 及 i 相 应 的 RFC 文档 27

19、40， 并 经 过 一 系 列 的 修订 ， 在 2008 年 使 用 RFC5340 替 代 了 RFC274021。 虽然 OSPF 协议经过了一次一次的更改升级，但其仍不够完善，存在着许 多 容易被网络黑客攻击的协议漏洞。例如，若运行 OSPF 协议的路由器没有配 置加 密验证或被攻击者攻破了验证机制，则可以进行路由报文的截取与篡改， 北 京 邮电 大 学工 学 硕丄 学 位论 文 实 施 中 间 人攻 击 ， 可 能 会 造 成网 络 动 荡 或拒 绝 服务 3;而 一 种 名 为 nemesis-ospf 的 攻 击软 件 可以发起针 对 OSPF 协议 的 最大链路序 列 号、序列

20、号 加 一以及最 大 链路 年 龄 等 攻击 行 为 4。 另 外， OSPF 协 议 的复 杂 性对 于 配 置 OSPF 协 议 路由 器 的 网 络 管 理 员 来 说 要 求 较 高 ， 通 常 他 们 不 会 考 虑 安 全 等 其他 因 素 ， 只 在 意 网 络 的 连 通 性 5。 为保 障 OSPF 路由 协 议能够安全 高 效的工作， 应 该深入研宄 如 何 实时 监 测并把 握 整 个 OSPF 网 络 的 拓 扑 结 构 与 运 行 情 况 。 综上所述，虽然 OSPF 路由协议本身具有一定的安全性，但其工作机制与 协 议体质还不能完全胜任新形势下的网络安全要求，为此，

21、我们必须要加强对 路由 协议的相关研究。如何能在不影响网络正常工作的情况下实时、高效、准 确的获 取相关路由信息，了解网络结构，监测网络环境对当前的信息社会尤为 重要。 本文在深入研究 OSPF 协议的工作原理基础上，提出了基于 OSPF 协议的 实 时网络拓扑算法，详细地介绍了针对 OSPF 协议攻击的检测技术，通过被动 捕获 网络中的 OSPF 协议交互数据包，实时构建网络拓扑以及对攻击事件进行 告警。 由于是在完全被动的情况下获取路由报文，所以不会影响网络的正常通 信，同时 又提高了网络的可靠性与安全性。 1.2 国内外研究现状 OSPF 协议作为目前应用最广泛的内部路由协议，针对它的研

22、宄主要分为 两 方面：拓扑探测与安全性分析。 拓扑探测作为网络管理的重要部分，可以帮助网络管理员直观的掌握当前 网 络情况，调整网络设备部署，提高网络运行效率；网络拓扑图的完整性与准 确性， 对网络进行故障管理、配置管理和安全管理有着至关重要的作用。 基 于 Internet 控制报 文 ICMP (Internet Control Message Protocol)协议和 简 单网 络 管 理 SNMP (Simple Network Management Protocol)协议 的 拓扑发现 是 国 内 外 研 究 最多 的 两 种 拓 扑 发现 技 术 6。 基 于 ICMP 协 议 的

23、 拓 扑发 现 方 法 ： 使 用 ping 命 令 或 Tracroute 命 令 来 检 测 网 络 设 备的 状 态 和 可 达 性 以 及 探 测指 定 主 机 的 路 由 信 息 ， 此方 法 适 用 范围 广 ，实 现 简 单 ，但 网 络流 量 消耗 较 大 ， 难以 得 到 完 整的 网 络 拓 扑 信息 ， 例 如 网络 设 备之 间 的 链 接关 系 ，需 要 结合 其 他 网 络 数 据 才 能进 行 完 整 的拓扑探测 ； 基 于 SNMP 的拓扑发现 方 法：算法简单，网络 和 系统开销小 ， 效 率 较 高 ， 但 是 ， 这 种 方法 需 要 通 过 查 询 MI

24、B 管 理 信 息 库 中 的 信 息 才 可 以 了 解 当 前 网 络 ， 实时 性 不 够 好且 会 向网 络 输入 附 加的 流量 7。 还 有 一 些 其 他的 网 络 拓 扑发 现 方 法 ，如基 于 ARP (Address Resolution Protocol,地 址 解 析 协议） 和 基 于 DNS 协 议 路 由 表 （ Domain Name System,域 名 系 统 ） 的 拓 第 一 章 绪 论 3 扑 搜 索 方法 8， 但 都 因 协 议 自 身 的 局 限 性 ， 不 能 很 好 的 完 成 网 络 拓 扑 发 现 。 在 国 外 ，最 早 由 AT&T

25、 实 验 室 提 出 利 用 OSPF 协 议 其 可 靠 的 洪 泛 机 制 被 动 接 受数据包进行网络拓扑构建。文献 9设计了一种 OSPF 拓扑服务器，通过被 动监 听网络中的路由信息，获取链路信息进行拓扑构建，并将其与基于 “ 推拉 ” 模式 的 SNMP 拓扑发现方法在实时性和可靠性方面进行了对比，基于 OSPF 协 议的拓 扑发现在时间、准确度以及网络负载上都有更好的效果；国内也有不少 利用 OSPF 协议进行拓扑发现的研宄，文献 7通过分析 OSPF 协议报文，利用 数据结构存储 链路信息并进行拓扑构建，能够较为快速准确地获得网络拓扑图， 但对网络拓扑 的实时变化，无法做出有效

26、更新；文献 10利用 OSPF 协议中的 链路更新数据包， 调用画图方法绘制路由器之间的关系，实时性较好，但实现 过程较为复杂，效率 不高；文献 11通过分析 OSPF 协议自身的数据库表项， 对网络拓扑进行构造， 能够较为准确的实现网络拓扑，但算法较为复杂且实时 性有待提高；文献 12采 用了 OSPF 和 BGP 协议结合的方式，在全被动的情况 下来发现整个网络拓扑， 使其更具实时性和可靠性，但效率不够高。 路由器是网络通信的基础设备，而路由协议规定了路由器之间如何进行通 信。 路由器通过计算收到的数据包信息，构建出路由表，完成数据包的有效转 发。如 果路由器无法收到完整准确的数据包，则信

27、息无法在网络中被正确的转 发，可能 导致信息传输的低效或失败。 OSPF 协议作为路由协议的重要部分，在国外，针对 OSPF 协议的各种研 宄 很早就开始了。文献 13使用多个分布式的检测工具对 OSPF 网络进行了长 达一 年的路由信息采集，通过分析采集到的数据获取网络运行情况，得出一些 外部协 议会对 OSPF 的运行造成不同程度影响的结论；文献 14中提出使用数 字签名技 术，将数字签名加入到 LSA 数据中，既保护了数据源的准确性，又防 御了外来攻 击者；文献 15设计并实现了一种 OSPF 路由检测系统，它被动的 监听网络中泛 洪的 LSA，通过分析提供实时告警和针对网络时间的报告并

28、支持 离线与事后分析， 该系统主要由 3 个部分组成： LSAR( LSA Reflector),其支 持 3 种不同模式来捕 获网络中的 LSA; LSAG(LSAaGgregator)，对路由信息 进行实时分析； OSPFScan， 提供对 LSA 的离线分析。 虽然，在国内针对 OSPF 协议的各种研究起步较晚，但经过前人不懈努力，在 安全方面也取得了一些成果。文献 2基于 6SPF 协议对数据进行采集与交互， 实 现动态感知链路状态与网络设备；文献 9基于深入研究 OSPF 的协议原理与 安全 机制，通过实时捕获数据包和由路由器上导出的 OSPF database 库路由信 息两种 途

29、径实现了 OSPF 网络拓扑的发现与构造，对网络的异常与攻击行为作 出及时告 警，最终实现了针对 OSPF 协议的路由检测系统；文献 16中详细介 北 京 邮电 大 学工 学 硕士 学 位论 文 4 ; 绍 了 OSPF 协 议 的 脆 弱 性 以 及 相 关 的 几 种 典 型 攻 击 ， 并 基 于 时 间 自 动 机 理 论 ， 提 出 了 一 种 入 侵 检 测 系 统 16 文 献 17通 过 分 析 OSPF 的 协 议 漏 洞 以 及 现 阶 段 的 安 全 解 决 方 法 ， 对 基 于 数 字 签 名 的 OSPF 协 议 作 了 改 进 ， 使 得 其 实 现 更 简 单

30、， 安 全 性 更 高 。 1.3 研究内容及章节安排 本文通过对 OSPF 协议原理的深入了解与研究，提出了基于 OSPF 协议的 实 时网络拓扑算法和攻击检测方法，并应用两者，结合实际情况，实现了一个 针对 OSPF 协议的路由攻击监测系统。该系统通过被动捕获网络中的路由数据 包，进 行字段值的细粒度分析，能够实时构建当前网络拓扑结构，动态检测网 络攻击行 为，为管理员提供网络上的监控与参考。 本文的组织结构如下所示： 第一章，绪论，本章节主要介绍了论文的研究背景、意义、国内外研宄现 状 及重点研究内容和本文的组织结构。 第二章， OSPF 路由协议综述，本章节首先详细介绍了 OSPF 协议的原理、 工作机制网络类型以及路由器类型等；然后列举了 OSPF 协议的 Hello、 DD、 LSR、 LSU、 LSAck 五类报文结构，最后对 LSU 报文及其各种类型的 LSA 详 细展开说 明。 第三章，基于 OSPF 协议的实时拓扑发现算法，本章通过对 LSA 的深入研 究， 提出了一种基于 OSPF 协议的实时网络拓扑发现算法，该算法能够在不对 网络环 境和负载造成任何影响的条件下，采用被动方式在相关节点进行数据包 捕获，通 过分析 LSU 报文中的