OSPF路由协议脆弱性研究及分析

互联网的高速发展带来了网络规模的持续增长以及拓扑结构的愈加复杂,同时给网络安全提出了巨大的挑战,OSPF (Open Shortest Path First)已经成为网络部署中使用最为广泛的路由协议,OSPF等路由协议的安全是网络安全的重要组成部分,没有正确的路由信息,也就没有了网络的安全与稳定。本文论述了OSPF路由协议内在的交互机制,挖掘了自身机制存在的漏洞,深入研究了基于OSPF协议脆弱性的攻击技术,通过分析协议的设计缺陷,突破协议自带的保护机制,扰乱正常协议交互达到攻击目的。本文详细描述了几种典型的攻击原理,在仿真软件中搭建网络环境证实了漏洞的存在。本文对OSPF安全隐患与常见漏洞做了详细的量化评估与分析,基于OSPF漏洞特点对CVSS3.0评分系统进行扩展,创新地增加攻击范围的修正系数,提高了OSPF协议漏洞评价的合理性,量化评估结果能为漏洞防御的研究工作提供指导,对其他路由协议的脆弱性研究分析有积极的示范作用。最后针对本文描述的漏洞提出了相应的安全防范措施,提出一个路由威胁监测预防系统用于路由协议攻击的监测和预防。总之,保护OSPF等路由协议的安全需要建立一个整体的安全观,从多个层面来保障网络安全。     

基于OSPF协议的路由器安全防范

路由器组网过程中,OSPF协议是比较常用的一种网络协议,但因为OSPF路由协议在设计时本身的一些缺陷及安全考虑上的不足,导致该协议容易遭受黑客的攻击。本文在对OSPF路由协议研究的基础上,对其一些漏洞进行了分析,并提出了一些建议及配置,以巩固和加强OSPF协议的安全性。     

OSPF路由协议的攻击分析与安全防范

路由协议安全是网络安全的一个重要组成部分.由于路由协议自身设计的问题,加上路由器IOS的漏洞,使得RIP、BGP、OSPF等协议运行存在会被黑客利用的安全隐患.分析了OSPF路由协议当前版本中存在的漏洞和脆弱性,以及可能遭受的攻击,介绍了目前针对这些漏洞所提出的防范策略,对加强OSPF路由协议的安全性提出了一些建议和典型配置.     

开放最短路径优先协议原理及攻击分析

首先介绍了OSPF(Open Shortest Path First开放最短路径优先)路由协议,接下来介绍了OSPF的HELLO报文、DD报文、LSR报文、LSU报文、LSAck报文等5种报文以及OSPF协议计算路由的过程。针对OSPF的攻击与防范问题,介绍了基于LSA(链路状态广播)攻击的基本原理及基本防范方法。     

基于虚拟化的OSPF协议安全性仿真评估方法

OSPF(Open Shortest Path First)协议是重要域内路由协议，但存在诸多安全隐患.为提升OSPF协议的安全性，有必要构建可靠、高效的安全评估体系.鉴于基于实物网络的评估方法存在成本高、灵活性差的不足，以及基于网络仿真软件(如GNS3)的评估方法存在可扩展性差的不足，设计了一种基于虚拟化的OSPF协议安全性仿真评估体系.借助于云计算、虚拟化技术，该体系可为OSPF协议安全性评估提供可扩展、可灵活构建的基础环境.进一步，面向OSPF协议安全性评估的需求，重点研究了基于虚拟化的路由协议仿真技术、OSPF协议安全评估场景的自动化灵活加载技术、面向OSPF协议安全评估的数据采集与效果评估方法.实验验证表明：该体系可对多种典型的OSPF协议攻击场景的进行逼真、灵活且自动化的仿真评估，且在仿真规模上具有可扩展的优势；通过与其他仿真技术的对比表明，该方法在部署时间、仿真性能方面具有优势.     

拟态防御体系OSPF协议研究及分析

网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术，通过引入多个异构冗余的执行体，增强广义鲁棒性，通过对多个执行体的策略或者周期性调度，对外呈现特征的不确定性变化，增强安全性。路由协议安全是网络安全的重要组成部分，OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议，如何实现各异构执行体OSPF协议功能的等价，是支持拟态防御的网络设备亟需解决的问题。首先，科学阐述了拟态防御的设计思想，详细描述了支持拟态防御的路由器的体系结构，论述了OSPF协议在拟态防御体系结构中的处理方法，通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价，在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后，结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证，实验表明该方法能够有效提高其应对OSPF网络攻击的能力。     

OSPF路由协议安全性分析

本文通过论述OSPF的内建安全机制,分析面对攻击时OSPF的脆弱性,表明OSPF并不足够安全,并就此给出了保障OSPF安全的相关建议。     

OSPF路由协议安全性分析

本文通过论述OSPF的内建安全机制,分析面对攻击时OSPF的脆弱性,表明OSPF并不足够安全,并就此给出了保障OSPF安全的相关建议.     

IPSec VPN安全性漏洞分析及验证

网络边界是提供访问服务的主要通道,而IPSec VPN作为网络边界防护中的关键技术,对于保障网络整体安全至关重要。分析IPSec VPN中IKE协议激进模式和OSPF路由选择协议的安全性漏洞,研究三种常规OSPF路由欺骗方式在IPSec VPN中间人攻击中的性能表现,构建IPSec VPN流量劫持模型及攻击数据包,设计IPSec VPN流量劫持算法与KEYMAT密钥获取算法。通过搭建仿真环境并选取双LSA注入路由欺骗攻击方式,实现跨网段IPSec VPN中间人攻击并验证了IPSec VPN协议的脆弱性,该结论对于网络边界设备防护、骨干网络流量保护具有重要作用。     

基于OSPF路由欺骗的“黑洞”攻击及防御措施研究

文章详细分析了“黑洞”攻击的基本原理,研究了基于“黑洞”攻击的网络监听方法,给出了中转数据报的详细结构,提出了防御黑洞攻击的两种策略,即采用复杂密码加MD5认证方式和尽量缩小OSPF协议的扩散区域,可以在一定程度上预防“黑洞”攻击。     

静态黑洞路由网络架构在校园网应用的配置方案

路由协议是TCP/IP协议族中重要成员之一,包含内部网络协议和外部网络协议,高校常见的网络协议是静态路由及OSPF路由. 本文分析和总结OSPF协议及静态路由相关概念,针对高校网络安全管理工作需求,引入静态黑洞路由来主动查封部分网络服务. 基于此,本文将黑洞路由网络架构引入到校园网的安全管理中,给出核心网络架构及具体的配置流程,借助黑洞路由能第一时间快速查封事故点降低二次危害,并降低其对整个校园网络的负面影响,最终通过网络测试其黑洞路由配置的有效性.     

基于不同物理链路OSPF网络类型配置研究

动态路由协议OSPF的网络类型参数,对于路由器上OSPF进程的正常运行,有至关重要的作用。对于不同的物理链路类型,路由器的OSPF进程需要进行不同的网络类型的选择和配置,这往往是OSPF配置中很容易出错的部分。本文就针对OSPF的网络类型配置参数,以CISCO路由器配置命令为例,研究在不同的物理链路下如何正确配置该参数。     

IPv 6下OSPF路由协议的研究及应用

IPv6技术作为下一代互联网核心技术,日益受到人们的重视。同时,如何部署高效而稳定的IPv6网络也已成为当前研究及应用的热点。该文在对IPv6技术进行研究的基础上,对应用广泛的OSPF动态路由协议进行了较为深入的分析,重点阐述了其工作原理与近邻关系的建立过程。在文章的最后,通过一个具体的IPv6试验网实例,介绍了OSPFv3路由协议在IPv6中的使用方法。     

OSPF的区域类型、路由类型和末梢区域的配置

OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的,作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。     

OSPF协议测试中网络拓扑建模及其算法研究

OSPF协议是一种广泛使用的内部网关路由协议,文中提出了一种用于OSPF协议测试的网络拓扑建模方法以及相关算法。首先从实际网络中抽取出其中的网络拓扑模型,并将OSPF网络定义为一个有向加权图。之后在这个抽象网络拓扑模型的基础上,提出了一种最短路径树生成算法,并利用该算法实现了路由信息和路由表的生成。文中的模型与算法很好地体现了OSPF协议分层的特点,是构造测试内容的一种有效方法。     

OSPF路由监测系统

OSPF协议是一种广泛使用的内部网关路由协议。设计了一种OSPF路由监测系统,并分别实现了适用于IPv4和IPv6平台的版本。该监测系统通过被动地侦听OSPF协议的洪泛信息—LSA(Link State Advertisement),对域内的路由状态进行跟踪重现。实时监测路由变化,并以路由负载变更图的形式,及时准确地呈现域内路由变更。经过在Cernet2上的系统部署实验,收集到大量有效数据,同时表明这是一个轻载且易用的监测系统。     

OSPF协议互操作性测试建模方法研究

随着互联网的快速发展,稳定可靠的路由协议变得越来越重要。OSPF协议作为中型网络最常用的路由协议。文章对互操作性测试的关键问题例如协议形式化建模及协议的不确定性进行了深入的分析。采用扩展Petri网对OSPF协议进行建模,并依此模型分析了OSPF协议的互操作性测试中存在的不确定性。同时,依据Petri网模型和MSC消息序列图,给出了交互模型的生成算法,最后为全文总结及未来的研究工作。     

OSPF应用研究

OSPF是目前使用最广泛的IGP路由协议,被广泛应用于高校校园网、大型企业网等大型网络中。OSPF协议应用可靠,有着广阔的应用前景。     

Better Alternatives to OSPF Routing

The current standard for intra-domain network routing, Open Shortest Path First (OSPF), suffers from a number of problems-the tunable parameters (the weights) are hard to optimize, the chosen paths are not robust under changes in traffic or network state, and some network links are over-used at the expense of others. We present prototypical scenarios that illustrate these problems. Then we propose several variants of a protocol to eliminate or alleviate them and demonstrate the improvements in performance under those scenarios. We also prove that these protocols never perform significantly worse than OSPF and show that for at least a limited class of network topologies, it is possible to find efficiently the optimal weight settings. Some of the problems with OSPF are well known; indeed, there are several routing protocols that perform better than OSPF in routing quality (i.e., in terms of congestion, delay, etc.). OSPF’s popularity persists in part because of its efficiency with respect to several resource bounds. In contrast, many competing protocols that provide routing superior to OSPF are computationally prohibitive. Motivated by this consideration, we designed our protocols not only to achieve better routing quality than OSPF, but also to use resources in amount comparable with OSPF with respect to offline broadcast communication, size of and time to compute routing tables, packet delivery latency, and packet header structure and size.