OSPF路由协议脆弱性研究及分析

互联网的高速发展带来了网络规模的持续增长以及拓扑结构的愈加复杂,同时给网络安全提出了巨大的挑战,OSPF(OpenShortestPathFirst)已经成为网络部署中使用最为广泛的路由协议,OSPF等路由协议的安全是网络安全的重要组成部分,没有正确的路由信息,也就没有了网络的安全与稳定。本文论述了OSPF路由协议内在的交互机制,挖掘了自身机制存在的漏洞,深入研究了基于OSPF协议脆弱性的攻击技术,通过分析协议的设计缺陷,突破协议自带的保护机制,扰乱正常协议交互达到攻击目的。本文详细描述了几种典型的攻击原理,在仿真软件中搭建网络环境证实了漏洞的存在。本文对OSPF安全隐患与常见漏洞做了详细的量化评估与分析,基于OSPF漏洞特点对CVSS3.0评分系统进行扩展,创新地增加攻击范围的修正系数,提高了OSPF协议漏洞评价的合理性,量化评估结果能为漏洞防御的研究工作提供指导,对其他路由协议的脆弱性研究分析有积极的示范作用。最后针对本文描述的漏洞提出了相应的安全防范措施,提出一个路由威胁监测预防系统用于路由协议攻击的监测和预防。总之,保护OSPF等路由协议的安全需要建立一个整体的安全观,从多个层面来保障网络安全。

拟态防御体系OSPF协议研究及分析

网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术,通过引入多个异构冗余的执行体,增强广义鲁棒性,通过对多个执行体的策略或者周期性调度,对外呈现特征的不确定性变化,增强安全性。路由协议安全是网络安全的重要组成部分,OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议,如何实现各异构执行体OSPF协议功能的等价,是支持拟态防御的网络设备亟需解决的问题。首先,科学阐述了拟态防御的设计思想,详细描述了支持拟态防御的路由器的体系结构,论述了OSPF协议在拟态防御体系结构中的处理方法,通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价,在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后,结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证,实验表明该方法能够有效提高其应对OSPF网络攻击的能力。