擬態(tài)防御體系OSPF協(xié)議研究及分析*

朱緒全，江逸茗，馬海龍，包婉寧，張 進(jìn)

(1.紫金山實驗室，江蘇 南京 210000;2.國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心,河南 鄭州 450000)

1 引言

互聯(lián)網(wǎng)的高速發(fā)展帶來了網(wǎng)絡(luò)規(guī)模的持續(xù)增長以及網(wǎng)絡(luò)應(yīng)用的廣泛普及，同時給網(wǎng)絡(luò)安全帶來了巨大的挑戰(zhàn)，網(wǎng)絡(luò)空間中充斥著各種未知漏洞和后門等安全隱患，現(xiàn)實世界中，潛在的漏洞和后門無法避免，也無法窮盡，導(dǎo)致當(dāng)今網(wǎng)絡(luò)空間存在易攻難守的非對稱局面，漏洞和后門問題是網(wǎng)絡(luò)空間安全中最嚴(yán)重的問題之一[1]。傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)如入侵檢測系統(tǒng)IDS(Intrusion Detection System)[2]、入侵防御系統(tǒng)IPS(Intrusion Prevention System)[3]、防火墻[4]、漏洞挖掘、特征提取、蜜罐技術(shù)[5]、沙箱技術(shù)[6]或通過查漏補缺，或通過攻擊行為特征等手段來應(yīng)對網(wǎng)絡(luò)中頻繁出現(xiàn)的各種攻擊。一些新型的網(wǎng)絡(luò)防御手段，如移動目標(biāo)防御[7,8]采用有效地址突變[9]、IP 地址隨機化[10]、端口隨機化[11]和加密隨機化[12]等多樣性技術(shù)增強系統(tǒng)脆弱攻擊面的不確定性和動態(tài)性，有效限制系統(tǒng)脆弱性暴露及被攻擊的機會，增加攻擊者掃描攻擊難度，但是缺乏一定的效能評估機制，存在系統(tǒng)開銷過高、影響服務(wù)性能等問題。

近年來，鄔江興院士提出的擬態(tài)防御理論得到了相關(guān)研究人員的關(guān)注，通過向系統(tǒng)引入動態(tài)(Dynamical)、異構(gòu)(Heterogeneous)和冗余(Redundant)等特性增強系統(tǒng)廣義魯棒性和安全性，提升系統(tǒng)應(yīng)對未知威脅的能力。目前擬態(tài)防御技術(shù)已成功應(yīng)用于路由器[13]、交換機[14]、域名服務(wù)器、軟件定義網(wǎng)絡(luò)SDN(Software Defined Network)控制器[15]和文件存儲服務(wù)器等。

路由協(xié)議安全是網(wǎng)絡(luò)安全的重要組成部分，路由器等網(wǎng)絡(luò)通信設(shè)備在網(wǎng)絡(luò)中的位置和路由轉(zhuǎn)發(fā)功能決定了其是最佳的攻擊實施點。傳統(tǒng)的路由設(shè)備一般沒有防火墻、防病毒等對惡意攻擊相關(guān)的安全防護手段，并且其潛在的漏洞和后門眾多，一旦攻擊者控制了路由設(shè)備，通過注入惡意網(wǎng)絡(luò)路由和虛假DNS路由實現(xiàn)網(wǎng)絡(luò)欺騙、郵箱密碼嗅探、中間人攻擊及DNS欺騙，進(jìn)行敏感數(shù)據(jù)竊取或篡改，甚至導(dǎo)致網(wǎng)絡(luò)大規(guī)模癱瘓。針對主機的攻擊，只是攻擊了一個點，而對于路由器的攻擊則會危及整個網(wǎng)絡(luò)。

開放式最短路徑優(yōu)先OSPF(Open Shortest Path First)作為一種典型的鏈路狀態(tài)協(xié)議，具有收斂速度快、無路由環(huán)路、支持變長子網(wǎng)掩碼和匯總、層次區(qū)域劃分等優(yōu)點，目前已經(jīng)成為網(wǎng)絡(luò)部署中使用最為廣泛的路由協(xié)議。

擬態(tài)防御體系結(jié)構(gòu)通過引入多個異構(gòu)冗余的執(zhí)行體，增強廣義魯棒性，通過不同執(zhí)行體的策略或者周期性調(diào)度，對外呈現(xiàn)特征的不確定性變化，增強安全性。如何實現(xiàn)各異構(gòu)執(zhí)行體OSPF協(xié)議功能的等價，是支持?jǐn)M態(tài)防御的網(wǎng)絡(luò)設(shè)備亟需解決的問題。本文將聚焦支持?jǐn)M態(tài)防御技術(shù)的路由器(以下簡稱擬態(tài)路由器)，詳細(xì)論述OSPF路由協(xié)議在擬態(tài)防御體系結(jié)構(gòu)中的處理方法，引入依據(jù)報文類型進(jìn)行相應(yīng)處理的OSPF協(xié)議代理組件，保證OSPF路由數(shù)據(jù)的多元化，便于網(wǎng)絡(luò)防御中擬態(tài)防御方案的有效實施。并在擬態(tài)路由器原型樣機實現(xiàn)中驗證了該方法的可行性和有效性。最后，結(jié)合幾種經(jīng)典的OSPF路由攻擊產(chǎn)生的路由器安全風(fēng)險進(jìn)行了具體說明及實驗驗證，實驗證明擬態(tài)路由器通過OSPF協(xié)議代理能夠?qū)崿F(xiàn)各個執(zhí)行體的等價輸入，并通過裁決機制發(fā)現(xiàn)某個執(zhí)行體存在的安全漏洞，做出正確的路由選擇，有效提高了其應(yīng)對OSPF網(wǎng)絡(luò)攻擊的能力。

2 擬態(tài)防御體系相關(guān)研究

2.1 擬態(tài)防御核心思想

擬態(tài)防御使用系統(tǒng)架構(gòu)技術(shù)解決了擬態(tài)防御界內(nèi)基于未知漏洞、后門或病毒木馬等不確定威脅，提供了“改變游戲規(guī)則”的新途徑[16]，其核心思想是動態(tài)、異構(gòu)、冗余及負(fù)載反饋機制。

(1)動態(tài)性:通過不定時地改變對外呈現(xiàn)的執(zhí)行體，降低單位時間內(nèi)特定部件的暴露時間，減小漏洞被發(fā)現(xiàn)的風(fēng)險，在感知到威脅發(fā)生時,動態(tài)替換并隔離被感染執(zhí)行體,可有效阻斷攻擊者對目標(biāo)系統(tǒng)的持續(xù)控制。

(2)異構(gòu)性:基于相異性設(shè)計理念，構(gòu)建多個具備相同功能，但構(gòu)成原理不同的軟硬件執(zhí)行體環(huán)境。理論上這些異構(gòu)體存在共生漏洞和相同后門的幾率微乎其微，確保同樣的攻擊不會導(dǎo)致2個執(zhí)行體同時失效。

(3)冗余性：采用多模裁決機制對多個在線的異構(gòu)執(zhí)行體的輸出結(jié)果進(jìn)行一致性裁決,檢測是否發(fā)生攻擊行為。

擬態(tài)防御技術(shù)通過引入裁決和負(fù)反饋機制，使得系統(tǒng)在具有內(nèi)在攻擊面不確定性的同時，還可根據(jù)裁決信息有針對性地調(diào)整系統(tǒng)內(nèi)部結(jié)構(gòu)，對外呈現(xiàn)動態(tài)性和廣義不確定性，極大地增加了攻擊者的攻擊難度。

2.2 基于擬態(tài)防御的路由器設(shè)計思路

路由器是體系結(jié)構(gòu)和協(xié)議族最復(fù)雜的網(wǎng)絡(luò)設(shè)備之一，它支持多種管理配置協(xié)議、路由控制協(xié)議以及各種數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)。

擬態(tài)路由器通過在傳統(tǒng)路由器架構(gòu)中引入多個異構(gòu)冗余的路由執(zhí)行體，實現(xiàn)平臺異構(gòu)、系統(tǒng)異構(gòu)及應(yīng)用異構(gòu)[17,18]。由于不同執(zhí)行體之間存在共性漏洞或后門的概率極低，攻擊者難以通過一種攻擊方法控制所有執(zhí)行體，從而極大地提高了路由器的安全性。擬態(tài)路由器異構(gòu)執(zhí)行體如圖1所示。

Figure 1 Mimic router heterogeneous executive actor圖1 擬態(tài)路由器異構(gòu)執(zhí)行體示意圖

圖2展示了擬態(tài)路由器架構(gòu)，擬態(tài)模塊將管理終端的遠(yuǎn)程配置命令通過配置代理處理后分發(fā)給各個執(zhí)行體；將鄰居路由器的路由協(xié)議報文通過路由協(xié)議代理處理后分發(fā)給各個執(zhí)行體；對各個執(zhí)行體管理平面下發(fā)的配置指令進(jìn)行比較裁決，發(fā)現(xiàn)并阻斷下發(fā)惡意配置攻擊；通過對各個執(zhí)行體的路由更新行為進(jìn)行比較裁決，發(fā)現(xiàn)并阻斷篡改路由攻擊；通過對各個執(zhí)行體按照裁決模塊和系統(tǒng)監(jiān)測模塊的反饋信息實施調(diào)度，對外呈現(xiàn)特征的動態(tài)變化。

Figure 2 Architecture of mimic router圖2 擬態(tài)路由器架構(gòu)圖

路由協(xié)議是運行在路由器上的協(xié)議，主要用來進(jìn)行路徑選擇。由于很多路由協(xié)議如：OSPF、中間系統(tǒng)到中間系統(tǒng)IS-IS(Intermediate System to Intermediate System)、邊界網(wǎng)關(guān)協(xié)議BGP(Border Gateway Protocol)需要進(jìn)行會話狀態(tài)維持，因此協(xié)議代理復(fù)雜度大幅增加，而且輸入輸出在系統(tǒng)異側(cè)，多鏈并行處理交織輸出，需要在多個部位設(shè)置分發(fā)器與裁決點。本文以O(shè)SPF協(xié)議為例，詳細(xì)論述了OSPF協(xié)議在擬態(tài)防御體系結(jié)構(gòu)中的處理方法。

3 OSPF協(xié)議相關(guān)研究

OSPF作為內(nèi)部網(wǎng)關(guān)協(xié)議IGP(Interior Gateway Protocol)的典型代表，將自治系統(tǒng)AS(Autonomous System)劃分成邏輯意義上的一個或多個區(qū)域，通過鏈路狀態(tài)通告LSA(Link State Advertisement)的形式發(fā)布路由，依靠在OSPF區(qū)域內(nèi)各設(shè)備間交互OSPF報文達(dá)到路由信息的統(tǒng)一。

OSPF協(xié)議通過Hello報文建立與維持鄰居關(guān)系，在廣播網(wǎng)絡(luò)或者非廣播多路訪問網(wǎng)絡(luò)中選舉指定路由器DR(Designated Router)和備份指定路由器BDR(Backup Designated Router)，未被選中的路由器統(tǒng)稱為DR other；通過DD(Database Description)描述網(wǎng)絡(luò)拓?fù)洌煌ㄟ^LSR(Link State Request)請求在數(shù)據(jù)庫同步交換過程中發(fā)現(xiàn)本路由器中沒有或已過時的LSA包內(nèi)容；通過LSU(Link State Update)存儲和傳遞路徑信息；通過LSAck(Link State Acknowledge)對收到的LSU進(jìn)行應(yīng)答確認(rèn)[19 - 21]。

OSPF作為一種典型的鏈路狀態(tài)協(xié)議，包含常用的7種狀態(tài)，沒有收到Hello時為Down狀態(tài)；收到Hello時進(jìn)入Init狀態(tài)；相互間周期發(fā)送Hello的狀態(tài)為2way鄰居狀態(tài)；交換DD信息初始為Exstart狀態(tài)；交換DD信息時為Exchange狀態(tài)；在Loading時發(fā)送LSR、LSU和LSAck消息并學(xué)習(xí)對端的LSA的詳細(xì)信息；學(xué)習(xí)完成后進(jìn)入Full鄰接狀態(tài)。

OSPF協(xié)議報文的認(rèn)證分為3種：空認(rèn)證、簡單密碼認(rèn)證(Simple Password Authentication)和密碼學(xué)認(rèn)證(Cryptographic Authentication)。對于簡單密碼認(rèn)證的OSPF協(xié)議報文，僅針對OSPF協(xié)議報文進(jìn)行認(rèn)證。對于密碼學(xué)認(rèn)證的OSPF協(xié)議報文，在對OSPF協(xié)議報文進(jìn)行認(rèn)證的同時，還需要考慮OSPF協(xié)議報文的密碼學(xué)序列號(Cryptographic Sequence Number)，以確保收到的密碼學(xué)序列號符合標(biāo)準(zhǔn)規(guī)定的原則。

4 基于擬態(tài)防御體系的OSPF協(xié)議報文處理方法

根據(jù)第2節(jié)的描述，OSPF協(xié)議維護多種狀態(tài)，OSPF協(xié)議進(jìn)程在各狀態(tài)存續(xù)期間對于接收到的OSPF報文的處理方法不同，如DD報文只能在Exstart、Exchange狀態(tài)時處理；LSU報文在Loading、Full狀態(tài)下處理，在其他狀態(tài)時直接丟棄。擬態(tài)路由器往往包含多個執(zhí)行相同功能的異構(gòu)軟件(或硬件)結(jié)構(gòu)，在非攻擊條件下，簡單的復(fù)制分發(fā)并不能使得各個執(zhí)行體的OSPF協(xié)議狀態(tài)保持一致。

本文引入依據(jù)報文類型進(jìn)行相應(yīng)處理的OSPF協(xié)議代理組件，實現(xiàn)各異構(gòu)執(zhí)行體中OSPF協(xié)議功能的等價輸入，確保OSPF路由數(shù)據(jù)的多元化，便于網(wǎng)絡(luò)防御中擬態(tài)防御方案的有效實施。

4.1 OSPF協(xié)議代理組件

OSPF協(xié)議代理組件(以下簡稱OSPF代理)是用于協(xié)調(diào)外部設(shè)備與內(nèi)部各個執(zhí)行體之間OSPF協(xié)議報文的交互而新增的一個功能模塊，能夠有針對性地依據(jù)OSPF協(xié)議報文類型進(jìn)行轉(zhuǎn)發(fā)處理，隱藏內(nèi)部多個執(zhí)行體，對外部呈現(xiàn)出一個單一的路由設(shè)備，以保證外部設(shè)備以及擬態(tài)設(shè)備內(nèi)部各個執(zhí)行體對OSPF報文的交互及認(rèn)證的正確性。

擬態(tài)路由器在啟動時會指定一個執(zhí)行體為主執(zhí)行體，用于外部設(shè)備與擬態(tài)路由器之間的交互。如圖3所示，其中N為執(zhí)行體數(shù)量，OSPF代理將透傳主執(zhí)行體與外界交互的OSPF報文，內(nèi)部其他執(zhí)行體的OSPF報文只能與路由協(xié)議代理交互，并不發(fā)送給外部設(shè)備，外部設(shè)備不會感知到內(nèi)部多個執(zhí)行體的存在。OSPF協(xié)議代理能夠?qū)崿F(xiàn)其他執(zhí)行體的OSPF狀態(tài)、OSPF鏈路狀態(tài)數(shù)據(jù)庫與主執(zhí)行體一致， 在廣播網(wǎng)絡(luò)或者非廣播多路訪問網(wǎng)絡(luò)中選舉的DR和BDR與主執(zhí)行體一致，支持新執(zhí)行體上線后，OSPF狀態(tài)及OSPF 鏈路狀態(tài)數(shù)據(jù)庫與主執(zhí)行體達(dá)到一致。

Figure 3 OSPF protocol processing in mimic routers圖3 擬態(tài)路由器OSPF協(xié)議處理示意圖

結(jié)合報文發(fā)送的方向，OSPF協(xié)議代理將對來自外部設(shè)備的OSPF報文以及來自擬態(tài)設(shè)備內(nèi)各執(zhí)行體的OSPF報文分別進(jìn)行相應(yīng)的處理。OSPF代理已經(jīng)成功應(yīng)用于擬態(tài)路由器、擬態(tài)交換機等網(wǎng)絡(luò)設(shè)備中。

4.1.1 OSPF代理處理外部設(shè)備發(fā)送的OSPF報文

(1)OSPF代理處理DD報文。

OSPF代理收到第1條DD報文，說明外部設(shè)備與主執(zhí)行體已經(jīng)通過Hello消息建立鄰居關(guān)系，OSPF代理開始執(zhí)行鄰居信息緩存的初始化建立流程，具體處理如下：

①將鄰居設(shè)備的MAC地址、IP地址、路由器標(biāo)識Router ID、區(qū)域標(biāo)識Area ID、擬態(tài)設(shè)備的MAC地址和IP地址添加到緩存列表，這6個字段唯一標(biāo)識一個鄰居設(shè)備。

②緩存LSA。根據(jù)OSPF標(biāo)準(zhǔn)規(guī)定，外部設(shè)備與主執(zhí)行體到達(dá)鄰接狀態(tài)后，僅會周期性地發(fā)送更新報文或者網(wǎng)絡(luò)有變化時發(fā)送增量更新報文。擬態(tài)設(shè)備的各個執(zhí)行體啟動時間不同，可能會出現(xiàn)啟動時間延遲或執(zhí)行體被調(diào)度后重新上線等情形，導(dǎo)致其鏈路狀態(tài)數(shù)據(jù)庫為空。因此，緩存列表需要緩存鄰居設(shè)備發(fā)送的LSA，用于后啟動的執(zhí)行體在與OSPF代理建立鄰接關(guān)系時，構(gòu)造報文將LSA通告給執(zhí)行體，使得各執(zhí)行體鏈路狀態(tài)數(shù)據(jù)庫保持同步，實現(xiàn)各個執(zhí)行體的OSPF LSU報文的等價輸入。

③緩存密碼學(xué)序列號。根據(jù)OSPF標(biāo)準(zhǔn)規(guī)定，如果配置MD5檢驗，設(shè)備在接收OSPF報文時，需要保證本次收到的OSPF報文中的密碼學(xué)序列號大于或等于上次接收到的值，因此需要緩存當(dāng)前收到的OSPF報文的密碼學(xué)序列號，用于與從執(zhí)行體之間的所有OSPF消息交互。

④將報文發(fā)送給主執(zhí)行體。若OSPF代理收到剩余的DD報文，根據(jù)OSPF報文攜帶的源IP、路由器標(biāo)識Router ID、區(qū)域標(biāo)識Area ID、目的IP查詢之前建立的緩存。如果命中，說明外部設(shè)備與主執(zhí)行體已經(jīng)建立鄰居關(guān)系,更新鄰居緩存中的密碼學(xué)序列號為報文攜帶的密碼學(xué)序列號，并將報文發(fā)送給主執(zhí)行體。

(2)OSPF代理處理Hello報文。

根據(jù)OSPF報文攜帶的源IP、路由器標(biāo)識Router ID、區(qū)域標(biāo)識Area ID查詢緩存是否有該設(shè)備的信息。如果命中，說明外部設(shè)備與主執(zhí)行體已經(jīng)建立鄰居關(guān)系，更新鄰居緩存中的密碼學(xué)序列號為報文攜帶的密碼學(xué)序列號，用于密碼學(xué)認(rèn)證時與從執(zhí)行體交互，將報文發(fā)送給各個執(zhí)行體，用于維持鄰居關(guān)系。

(3)OSPF協(xié)議代理處理LSU報文。

根據(jù)OSPF報文攜帶的源IP、路由器標(biāo)識Router ID、區(qū)域標(biāo)識Area ID、目的IP查詢緩存是否有該設(shè)備的信息。如果命中，說明外部設(shè)備與主執(zhí)行體已經(jīng)建立鄰居關(guān)系。

①更新鄰居緩存中的密碼學(xué)序列號為報文攜帶的密碼學(xué)序列號。

②將報文攜帶的LSA添加或者更新到緩存的LSA列表中。根據(jù)標(biāo)準(zhǔn)規(guī)定，更高鏈路狀態(tài)序列號、更大校驗和、最大年齡條件(缺省為1 h)、老化時間超過Max-Age-Diff(缺省為15 min)且老化時間越小的LSA信息包為最新的LSA。

③將報文發(fā)送給各個執(zhí)行體，用于路由信息的實時更新。

(4)OSPF代理處理LSR和LSAck報文。

根據(jù)OSPF報文攜帶的源IP、路由器標(biāo)識Router ID、區(qū)域標(biāo)識Area ID查詢緩存是否有該設(shè)備的信息。如果命中，說明外部設(shè)備與主執(zhí)行體已經(jīng)建立鄰居關(guān)系，更新鄰居緩存中的密碼學(xué)序列號為報文攜帶的密碼學(xué)序列號，并將報文發(fā)送給主執(zhí)行體。

算法1展示了OSPF處理外部設(shè)備發(fā)送的OSPF報文的過程，該算法的時間復(fù)雜度為O(J*M*K),空間復(fù)雜度為O(N*M*K)，其中,N為執(zhí)行體數(shù)量，J為擬態(tài)路由器的網(wǎng)絡(luò)接口數(shù)，M為一個網(wǎng)絡(luò)接口下與之建立鄰接關(guān)系的鄰居數(shù)，K為該鄰居的LSA數(shù)量，即路由數(shù)量。

算法1OSPF代理處理外部設(shè)備發(fā)送的報文

輸入:外部設(shè)備發(fā)送的報文。

輸出:緩存外部設(shè)備信息的列表CCList。

Step1讀入外部設(shè)備發(fā)送的OSPF報文II。

Step2依據(jù)報文類型進(jìn)行相應(yīng)的處理。

Step3OSPF代理處理DD報文：

Step3.1如果收到的是首條DD，提取報文中關(guān)于鄰居設(shè)備的關(guān)鍵信息到緩存CC中；如果配置了MD5校驗，則更新密碼學(xué)序列號到緩存中；轉(zhuǎn)發(fā)DD報文給主執(zhí)行體。

CC.srcMac=II.srcMac；

CC.dstMac=II.dstMac；

CC.srcIP=II.srcIP；

CC.dstIP=II.dstIP；

CC.routerID=II.routerID；

CC.AreaID=II.AreaID；

CC.lsaList={}；

ifII.auth==MD5then

CC.cryptoSeqNum=II.cryptoSeqNum;

endif

CCList.append(CC)；

sendToMainActor(II);

Step3.2如果收到后續(xù)DD報文，說明之前已經(jīng)建立過緩存，查詢到該緩存CC，如果配置MD5校驗，則更新密碼學(xué)序列號到緩存中，并轉(zhuǎn)發(fā)DD報文給主執(zhí)行體。

forCCinCCListdo

ifCC.srcMac==II.srcMacand

CC.srcIP==II.srcIPand

CC.routerID==II.routerIDand

CC.AreaID==II.AreaIDthen

ifII.auth==MD5then

CC.cryptoSeqNum=II.cryptoSeqNum;

endif

endif

endfor

sendToMainActor(II)；

Step4OSPF代理處理LSU報文,查詢緩存列表CCList，若命中緩存CC，則將外部設(shè)備發(fā)送的LSA添加或者更新到緩存的lsaList；如果配置MD5校驗，則更新密碼學(xué)序列號到緩存中；轉(zhuǎn)發(fā)LSU報文給所有執(zhí)行體。

forlsainII.lsalistdo

iflsainCC.lsaListthen

CC.lsaList.update(lsa);

else

CC.lsaList.append(lsa)；

endif

ifII.auth==MD5then

CC.cryptoSeqNum=II.cryptoSeqNum;

endif

endfor

sendToAllActor(II);

Step5OSPF代理處理Hello、LSR、LSAck報文:

Step5.1查詢緩存列表CCList，若命中緩存CC，如果配置MD5校驗，則更新密碼學(xué)序列號到緩存中。

Step5.2將Hello轉(zhuǎn)發(fā)給所有執(zhí)行體。

Step5.3將LSR、LSAck發(fā)送給主執(zhí)行體。

4.1.2 OSPF代理處理內(nèi)部執(zhí)行體發(fā)送的OSPF報文

根據(jù)4.1.1節(jié)描述，外部設(shè)備的Hello消息周期性發(fā)送，并直接透傳給各個從執(zhí)行體，因此內(nèi)部各個從執(zhí)行體與外部設(shè)備之間通過Hello消息交互建立鄰居關(guān)系。

(1)OSPF代理處理主執(zhí)行體發(fā)送的OSPF報文。

將所有類型的OSPF報文直接發(fā)送給外部設(shè)備。

(2)OSPF代理處理從執(zhí)行體發(fā)送的DD報文。

OSPF代理模擬外部設(shè)備與多個從執(zhí)行體進(jìn)行消息交互，根據(jù)輸入報文的源IP、目的IP、區(qū)域ID查詢4.1.1節(jié)生成的緩存列表。如果命中，說明外部設(shè)備與主執(zhí)行體已經(jīng)建立鄰居關(guān)系，構(gòu)造DD報文回復(fù)給該執(zhí)行體。

根據(jù)OSPF標(biāo)準(zhǔn)規(guī)定，Router ID值較大的設(shè)備為主動發(fā)起后續(xù)DD交互的一方，DD報文的序列號字段以主動發(fā)起的一方為準(zhǔn)。OSPF代理將接收DD報文的Router ID與查詢命中的緩存信息中的鄰居設(shè)備Router ID進(jìn)行比較，確定主從關(guān)系以及后續(xù)的DD序列號的值，分為如下2種情況：

①如果鄰居設(shè)備為主，OSPF代理模擬鄰居設(shè)備，內(nèi)生構(gòu)造DD報文發(fā)送給從執(zhí)行體，序列號字段從1開始累加。若是第1條DD報文，則填寫DB Description中的Init字段為1；否則，填寫內(nèi)生DD報文中DB Description中的Init字段為0，并填寫DB Description中的More字段為0。DD報文不攜帶任何關(guān)于LSA Header的相關(guān)信息，執(zhí)行體使用該序列號作為確認(rèn)序列號與OSPF代理進(jìn)行交互，主從雙方利用序列號來保證DD報文傳輸?shù)目煽啃院屯暾浴?/p>

②如果執(zhí)行體為主，執(zhí)行體主動發(fā)起DD報文。OSPF代理模擬內(nèi)生構(gòu)造DD報文進(jìn)行回復(fù)，并使用執(zhí)行體發(fā)送的序列號作為確認(rèn)序列號與執(zhí)行體進(jìn)行交互，若是第1條DD報文，則填寫DB Description中的Init字段為1；否則，填寫DB Description中的Init字段為0，并將DB Description中的More字段設(shè)置為0，不攜帶任何關(guān)于LSA Header的相關(guān)信息。

若收到最后一條執(zhí)行體發(fā)送的DD，將命中緩存的LSA構(gòu)造成LSU報文發(fā)送給該執(zhí)行體。對于以上構(gòu)造的DD和LSU報文，如果配置了MD5校驗，根據(jù)配置的鍵值等信息重新計算生成新的消息摘要，添加到報文后面，并將命中緩存的密碼學(xué)序列號填入到構(gòu)造報文中的密碼學(xué)序列號字段。

(3)OSPF代理處理從執(zhí)行體發(fā)送的LSR報文。

根據(jù)輸入報文的源IP、目的IP、區(qū)域ID查詢生成的緩存列表，如果命中，說明外部設(shè)備與主執(zhí)行體已經(jīng)建立鄰居關(guān)系，協(xié)議代理構(gòu)造LSAck報文進(jìn)行答復(fù)。

對于以上構(gòu)造的LSAck報文，如果配置了MD5校驗，根據(jù)配置的鍵值等信息重新計算生成新的消息摘要，添加到報文后面，并將命中緩存的密碼學(xué)序列號填入到構(gòu)造報文中的密碼學(xué)序列號字段。

(4)OSPF代理不處理從執(zhí)行體發(fā)送的Hello和LSAck報文。

算法2是OSPF代理對內(nèi)部執(zhí)行體發(fā)送報文的核心偽代碼。該算法的時間復(fù)雜度為O(N*J*M*K),空間復(fù)雜度為O(N*M*K)，其中,N為執(zhí)行體數(shù)量，J為擬態(tài)路由器的網(wǎng)絡(luò)接口數(shù)，M為一個網(wǎng)絡(luò)接口下與之建立鄰接關(guān)系的鄰居數(shù)，K為該鄰居的LSA數(shù)量，即路由數(shù)量。

算法2OSPF代理處理內(nèi)部執(zhí)行體發(fā)送的報文

輸入:執(zhí)行體發(fā)送的報文II，緩存列表CCList。

輸出:模擬外部設(shè)備構(gòu)造報文DD、LSU和LSAck。

Step1讀入內(nèi)部執(zhí)行體發(fā)送的OSPF報文II。

Step2若報文來自主執(zhí)行體，則轉(zhuǎn)發(fā)到外部設(shè)備。

Step3若報文來自從執(zhí)行體,OSPF代理依據(jù)報文類型進(jìn)行相應(yīng)的處理。

Step4OSPF代理處理從執(zhí)行體發(fā)送的DD報文：

Step4.1查詢緩存列表CCList，若命中緩存CC，說明外部設(shè)備與主執(zhí)行體已經(jīng)建立鄰居關(guān)系，模擬構(gòu)造DD報文與執(zhí)行體進(jìn)行交互。

Step4.2根據(jù)緩存信息填寫DD報文的關(guān)鍵字段。

Step4.3如果配置了MD5校驗，則將緩存中的密碼學(xué)序列號填充到DD。

Step4.4發(fā)送DD報文到執(zhí)行體：

DD.srcMac=II.dstMac；

DD.dstMac=II.srcMac；

DD.srcIP=II.dstIP；

DD.dstIP=II.srcIP；

DD.AreaID=II.AreaID；

DD.RouterID=CC.RouterID；

DD.moreFlag=0；

DD.lsaHeads={}；

ifII.auth==MD5then

獲取配置Key ID，計算消息摘要，并填入DD;

DD.crypSeqNum=CC.crypSeqNum;

endif

ifII.DD.InitFlag==1then

ifII.RouterID

DD.seqNum=1;

else

DD.seqNum=II.seqNum;

endif

DD.InitFlag=1;

elseifII.DD.moreFlag==1then

DD.InitFlag=0;

endif

DD.seqNum=II.seqNum+1;

elseifII.DD.moreFlag==0then

ifII.RouterID>CC.key.RouterIDthen

DD.InitFlag=0；

endif

DD.seqNum=II.seqNum+1；

endif

replyToActor(DD)；

Step4.5在DD報文結(jié)束后，將緩存信息鄰居設(shè)備的所有LSA 填充在LSU報文中，并發(fā)送給執(zhí)行體：

LSU.srcMac=CC.srcMac；

LSU.dstMac=CC.dstMac；

LSU.srcIP=CC.srcIP；

LSU.dstIP=CC.dstIP；

LSU.AreaID=CC.AreaID；

LSU.RouterID=CC.RouterID；

ifII.auth==MD5then

獲取配置Key ID，計算消息摘要，并填入LSU；

LSU.cryptoSeqNum=CC.cryptoSeqNum;

endif

forlsainCCList.lsaListdo

LSU.append(lsa);

endfor

sendToActor(LSU);

Step5OSPF代理處理從執(zhí)行體發(fā)送的LSU報文:

Step5.1查詢緩存列表CCList，若命中緩存CC，模擬構(gòu)造LSAck報文與執(zhí)行體進(jìn)行交互；

Step5.2根據(jù)緩存信息填寫LSAck報文的關(guān)鍵字段；

Step5.3如果配置了MD5校驗，則將緩存中的密碼學(xué)序列號填充到LSAck中；

Step5.4對于LSU報文中每一個LSA，構(gòu)造對應(yīng)的LSA Header填充到LSAck中：

LSAck.srcMac=CC.srcMac;

LSAck.dstMac=CC.dstMac;

LSAck.srcIP=CC.srcIP;

LSAck.dstIP=CC.dstIP;

LSAck.AreaID=CC.AreaID;

LSAck.RouterID=CC.RouterID;

ifII.auth==MD5then

獲取配置Key ID，計算消息摘要,并填入LSAck;

LSAck.crypSeqNum=CC.crypSeqNum;

endif

forlsainII.lsaListdo

LSAck.lsaHeaders.append(lsa.header);

endfor

sendToActor(LSAck);

Step6OSPF代理丟棄從執(zhí)行體發(fā)送的Hello、LSAck和LSR報文。

5 擬態(tài)路由器OSPF協(xié)議功能和性能驗證與分析

擬態(tài)路由器原型樣機采用分布式架構(gòu)，由業(yè)務(wù)單元、主控單元、執(zhí)行體單元和交換單元構(gòu)成。

5.1 OSPF協(xié)議功能驗證與分析

本文實驗1在擬態(tài)路由器原型樣機部署OSPF協(xié)議代理模塊，與思科路由器對接，對OSPF協(xié)議代理模塊功能進(jìn)行測試驗證。測試網(wǎng)絡(luò)拓?fù)淙鐖D4所示。

Figure 4 Test network topology圖4 測試網(wǎng)絡(luò)拓?fù)?/p>

圖4中，R4作為擬態(tài)路由器原型樣機，部署OSPF協(xié)議代理模塊。R1、R2、R3、R5和R6使用了Cisco 3700系列路由器的IOS軟件,版本號為12.4(25d)。分別在R1～R6對應(yīng)接口上配置OSPF，默認(rèn)Hello發(fā)送的間隔時間是10 s，并通告對應(yīng)的loopback口的IP地址。

圖5展示了擬態(tài)路由器R4主執(zhí)行體上的OSPF鄰居表和路由信息表，可以看到，R4已經(jīng)與R3建立鄰接關(guān)系，并且R4作為DR，R3作為BDR。R4與R5，R6分別建立鄰接關(guān)系，R5作為BDR，R6作為DR，R4作為DR other。通過查看R4 OSPF生成的路由表可以看出，R4的 OSPF進(jìn)程已經(jīng)計算出其他路由器接口的路由。

Figure 5 Neighbor table and routing table of master actor圖5 主執(zhí)行體鄰居表和路由信息表

按照算法2流程，OSPF代理模擬外部設(shè)備與執(zhí)行體報文交互流程，其中源IP為3.3.3.1的DB Description、LSU、LSAck報文均由OSPF代理根據(jù)算法1進(jìn)行內(nèi)生構(gòu)造后發(fā)送給從執(zhí)行體，如圖6所示。

Figure 6 Packets between OSPF agent and slave actor圖6 OSPF代理與從執(zhí)行體報文交互消息

圖7顯示了在擬態(tài)路由器R4中一個內(nèi)部執(zhí)行體上觀察到的鄰居表及路由信息表，可以看出，擬態(tài)路由器各執(zhí)行體的鄰接狀態(tài)和路由表在未收到攻擊或者觸發(fā)后門的前提下，與主執(zhí)行體的報文的鄰居狀態(tài)和路由表是一致的，從而證實了OSPF代理模塊功能的可行性和有效性。

Figure 7 Neighbor table and routing table of slave actor圖7 從執(zhí)行體鄰居表和路由信息表

5.2 OSPF協(xié)議性能驗證與分析

實驗2與測試儀表對接，對OSPF代理模塊性能進(jìn)行測試驗證，測試儀表使用思博倫公司提供的TC(Test Center)。

TC直連擬態(tài)路由器原型樣機，分別發(fā)送10，100，500，1 000，3 000，5 000條路由，通過計算各執(zhí)行體同步時間來研究OSPF協(xié)議代理性能。圖8顯示了各執(zhí)行體在同步不同數(shù)量路由時，成功建立鄰接關(guān)系(Full狀態(tài))的時間。其中，執(zhí)行體2、執(zhí)行體3、執(zhí)行體4均為從執(zhí)行體。通過實驗可以看出，主執(zhí)行體由于與TC直接交互，在20 s以內(nèi)基本完成鄰接關(guān)系的建立，狀態(tài)到達(dá)Full狀態(tài)。而各從執(zhí)行體與代理建立鄰接關(guān)系達(dá)到Full狀態(tài)的時間在35 s以內(nèi)。由此可見，通過OSPF協(xié)議代理，各執(zhí)行體與主執(zhí)行體建立鄰接關(guān)系的時間能夠控制在不到15 s的范圍內(nèi)，并且不受路由數(shù)量的影響。

Figure 8 Completion time of full state per actor圖8 各執(zhí)行體的鄰居建立完成時間

圖9表示了各執(zhí)行體在同步不同數(shù)量路由時的路由同步完成時間。通過實驗可以看出，各執(zhí)行體所有路由同步完成的時間幾乎相同，并且與主執(zhí)行體完成的時間相差在10 s以內(nèi)。這充分說明OSPF協(xié)議代理能夠處理的路由容量滿足內(nèi)部網(wǎng)關(guān)協(xié)議測試要求，并且能夠保持各執(zhí)行體的高效同步。

Figure 9 Route sync completion time of each actor圖9 各執(zhí)行體的路由同步完成時間

以上2個實驗說明，通過引入OSPF協(xié)議代理，能夠使得擬態(tài)路由器各執(zhí)行體達(dá)到相同的狀態(tài)，并正確計算出路由表，這充分表明了OSPF協(xié)議代理功能的可行性和有效性。通過路由更新數(shù)量的增長，各執(zhí)行體依然能夠在可接受的時間內(nèi)同步完成，充分驗證了OSPF協(xié)議代理的高性能。

6 擬態(tài)路由器OSPF協(xié)議安全性驗證與分析

OSPF路由協(xié)議的正確運行依賴于鄰居路由器信息的正確性。現(xiàn)實世界中，網(wǎng)絡(luò)空間存在著大量虛假的OSPF路由信息，如果未加防范，可能導(dǎo)致路由信息被篡改、惡意路由信息插入等后果，嚴(yán)重危及網(wǎng)絡(luò)。OSPF協(xié)議自身的安全機制具有一定的保護作用，但這些安全機制并非無懈可擊，仍具有一定的脆弱性。攻擊者通過分析OSPF協(xié)議內(nèi)在的交互機制，研究基于OSPF協(xié)議脆弱性的攻擊技術(shù)，挖掘協(xié)議的設(shè)計缺陷，突破協(xié)議自帶的保護機制，擾亂正常協(xié)議交互達(dá)到攻擊目的。在正常狀態(tài)下，借助OSPF代理能夠?qū)崿F(xiàn)擬態(tài)路由器內(nèi)部各個執(zhí)行體狀態(tài)和路由信息的一致性，如果攻擊觸發(fā)了某個執(zhí)行體的后門或者漏洞，將導(dǎo)致該執(zhí)行體處于異常狀態(tài)，擬態(tài)路由器能夠有效阻斷和防范此類攻擊。以下將介紹2種經(jīng)典的OSPF攻擊，并對擬態(tài)路由器的安全性進(jìn)行實驗驗證與分析。

(1)最大序列號攻擊：攻擊者向OSPF網(wǎng)絡(luò)發(fā)送攜帶序列號為0x7FFFFFFF(最大序列號)的LSA信息包，成功將惡意LSA安裝到網(wǎng)絡(luò)設(shè)備中，由于很多路由設(shè)備的OSPF協(xié)議實現(xiàn)存在缺陷，導(dǎo)致正確的LSA會被當(dāng)作過期的LSA而丟棄，導(dǎo)致網(wǎng)絡(luò)失效。

(2)單LSA攻擊：文獻(xiàn)[22]中描述了單LSA攻擊并驗證了攻擊的真實性。路由器在處理接收的LSU報文時，沒有對鏈路狀態(tài)標(biāo)識與通告路由器(Advertise Router)的一致性進(jìn)行檢查，攻擊者利用該缺陷，成功將惡意LSA安裝到所有路由器中，從而生成惡意路由信息，該LSA到達(dá)目標(biāo)路由器時，協(xié)議進(jìn)程發(fā)現(xiàn)通告路由器不是自己，所以不會觸發(fā)協(xié)議保護機制。

實驗網(wǎng)絡(luò)拓?fù)淙鐖D10所示，左側(cè)設(shè)備為攻擊者所在主機，R2～R4是思科路由器，R1為擬態(tài)路由器原型樣機，其中1個執(zhí)行體采用思科IOS軟件，版本號為12.4(25d)，其他3個執(zhí)行體分別安裝不同的FRRouting發(fā)布的穩(wěn)定版本。分別在R1～R4、攻擊主機上配置OSPF，網(wǎng)絡(luò)互相連通。

Figure 10 Security test network topology圖10 安全性測試網(wǎng)絡(luò)拓?fù)?/p>

6.1 最大序列號攻擊安全驗證

攻擊主機發(fā)起最大序列號攻擊，攻擊目標(biāo)為R1，構(gòu)造并發(fā)送一條惡意Router LSA，設(shè)置SequenceNumber為0x7FFFFFFF(最大序列號)。

根據(jù)上文描述，OSPF協(xié)議代理實現(xiàn)了LSA報文在各個執(zhí)行體上的等價輸入。登錄到R1可知，思科執(zhí)行體由于未對此類攻擊進(jìn)行防范，導(dǎo)致LSA被篡改，如圖11所示，可以看出鏈路狀態(tài)序列號被修改成0x7FFFFFFF，年齡字段也不正常(年齡默認(rèn)最大為3 600 s)。

Figure 11 LSA of Cisco actor圖11 思科執(zhí)行體的LSA

而其他3個執(zhí)行體不存在該漏洞，因此該攻擊并不會對其造成影響，如圖12所示，LSA各字段正常。

Figure 12 LSA of other actors圖12 其他執(zhí)行體的LSA

擬態(tài)路由器通過裁決機制，遵循少數(shù)服從多數(shù)的原則，實際生效的OSPF配置及路由表仍以多數(shù)執(zhí)行體為準(zhǔn)，也不會將該攻擊LSA擴散給網(wǎng)絡(luò)中的其他設(shè)備，所以能夠有效防范此類攻擊帶來的網(wǎng)絡(luò)失效問題。

表1展示了發(fā)起最大序列號攻擊時，將攻擊目標(biāo)R1分別替換成擬態(tài)路由器和思科路由器后，網(wǎng)絡(luò)的中其他設(shè)備的路由信息。以R4為例，可以看出，如果攻擊思科路由器，將使得網(wǎng)絡(luò)的路由器中與受害者相關(guān)的路由表項被惡意刪除，導(dǎo)致網(wǎng)絡(luò)中斷。實驗結(jié)果表明，擬態(tài)路由器能夠識別出最大序列號攻擊，有效提高網(wǎng)絡(luò)防護能力。

Table 1 Route table of R4 in max sequence number attack表1 最大序列號攻擊中R4路由表對比

6.2 單LSA攻擊安全驗證

該攻擊能夠?qū)е戮W(wǎng)絡(luò)的路由器中與受害者相關(guān)的路由表項被惡意修改，攻擊者通過此類組合攻擊實現(xiàn)任意路由的修改、添加和刪除，嚴(yán)重危及網(wǎng)絡(luò)安全。

在攻擊主機構(gòu)造并發(fā)送一條惡意Router LSA，發(fā)起單LSA攻擊，攻擊目標(biāo)為R1，設(shè)置Advertising Router為與link state ID 不一致的值118.192.11.139，并增加一條目的地為99.99.99.99的惡意路由。

由于該漏洞在思科路由器中被發(fā)現(xiàn)，思科執(zhí)行體的路由表受此攻擊影響，鏈路狀態(tài)數(shù)據(jù)庫中相應(yīng)的LSA被篡改，而其他執(zhí)行體則正常。表2展示了分別將擬態(tài)路由器和思科路由器放在攻擊目標(biāo)R1所在位置時，R4的路由表信息。可以看出，單LSA攻擊導(dǎo)致R4中與R1相關(guān)路由表項已經(jīng)被攻擊者成功修改。實驗結(jié)果表明，擬態(tài)路由器能夠識別單LSA攻擊，通過裁決機制，發(fā)現(xiàn)并阻斷篡改路由攻擊，有效保護了網(wǎng)絡(luò)中路由信息的正確性。

Table 2 Route table of R4 in single LSA attack表2 單LSA攻擊中R4 路由表對比

以上2個實驗表明，擬態(tài)路由器能夠通過OSPF協(xié)議代理實現(xiàn)各個執(zhí)行體的等價輸入，通過部署多個異構(gòu)冗余的執(zhí)行體使得執(zhí)行體存在共性漏洞的可能性極低，通過裁決機制識別出OSPF攻擊在執(zhí)行體上觸發(fā)的安全漏洞后門，做出正確的路由選擇，有效提高了其應(yīng)對OSPF網(wǎng)絡(luò)攻擊的能力。

7 結(jié)束語

本文詳細(xì)描述了擬態(tài)防御體系結(jié)構(gòu)以及擬態(tài)路由器的設(shè)計原理，論述了OSPF協(xié)議報文在擬態(tài)防御體系結(jié)構(gòu)中的處理方法，通過引入OSPF協(xié)議代理實現(xiàn)在非攻擊條件下各異構(gòu)執(zhí)行體OSPF協(xié)議等價的功能，詳細(xì)闡述了OSPF協(xié)議代理模塊的處理過程。最后，在擬態(tài)路由器原型樣機實現(xiàn)中驗證了該方法的可行性和有效性，并針對2種經(jīng)典的OSPF路由攻擊條件下產(chǎn)生的路由器安全風(fēng)險進(jìn)行了具體說明及實驗驗證。通過實驗結(jié)果分析可知，OSPF協(xié)議代理模塊的引入能夠提升擬態(tài)路由器內(nèi)部各個執(zhí)行體的安全性以及功能的一致性，能夠保證OSPF路由數(shù)據(jù)的多元化，提升通信系統(tǒng)中數(shù)據(jù)交互的正常有效性，結(jié)合裁決機制能夠發(fā)現(xiàn)并識別執(zhí)行體存在的安全漏洞，做出正確的路由選擇，有效提高了其應(yīng)對OSPF網(wǎng)絡(luò)攻擊的能力，便于網(wǎng)絡(luò)防御中擬態(tài)方案的有效實施，能夠為其他路由協(xié)議代理(如IS-IS、BGP等)提供解決問題的思路。