logo好方法网

一种基于OSPF协议的自动化安全测试方法

发布时间:2020-09-29 发布人:admin 分类:专利技术 资料大小:1.30M 资料格式:pdf

技术摘要:
本发明公开了一种基于OSPF协议的自动化安全测试方法,属于路由器安全测试技术领域。该方法通过串接接入或旁路接入的方法接入路由网络,侦听交互的OSPF协议,自动获取安全测试所需的各项参数,并根据需要执行最大年龄、最大序列号、DD报文伪造、LSU报文篡改等安全测试方  全部
背景技术:
路由器的安全性一向是网络安全的关键,一旦路由器出现路由震荡、资源耗尽等 问题,就会对整个网络的通信造成灾难性后果。为了保障路由器的安全,就需要对路由器进 行安全性测试。 目前,路由器安全测试的方法均为专业性很高的人工测试方法,存在以下问题: (1)测试流程复杂,需要对测试人员进行长时间的培训,测试成本高昂; (2)测试结果不明确,难以确定经过测试的路由器是否真的存在安全性问题。
技术实现要素:
有鉴于此,本发明提出一种基于OSPF协议的自动化安全测试方法,该方法简单易 行,可自动化运行,无需人工干预,测试结果明确。 为了实现上述目的,本发明所采用的技术方案为: 一种基于OSPF协议的自动化安全测试方法,应用于联网的双网卡设备,包括以下步骤: (1)判断两网卡能否接收到网络中路由器所发送的OSPF组播报文,若两个网卡均能收 到OSPF组播报文,则转入步骤(2),若只有一个网卡能收到OSPF组播报文,则转入步骤(3); (2)将两块网卡连接成网桥,并将网卡本身的IP地址删除,设置网卡为混杂模式,利用 无IP地址的网桥透明转发所有通过的数据包;同时,截获数据包中的数据报文,并监控网络 中路由器的状态,在相应时机进行指定次数的最大年龄测试、序列号测试、DD报文测试和路 由表篡改测试,然后转到步骤(4); (3)生成一台虚拟OSPF路由器,通过虚拟路由器与网络中的路由器进行正常的OSPF协 议交互以及数据包的正常接发;同时,截获数据包中的数据报文,并监控网络中路由器的状 态,在相应时机进行指定次数的最大年龄测试和序列号测试,然后转到步骤(4); 其中,最大年龄测试的时机为路由器周期性地进行连接状态询问时,测试方式为,将截 获的正常OSPF协议LSU报文中的年龄字段修改为0XFF,然后将修改后的报文发送出去,若造 成路由器链路重置并使通信异常产生丢包,则表明目标路由器存在安全缺陷; 序列号测试的时机为路由器周期性地进行连接状态询问时,测试方式为,将截获的正 常OSPF协议LSU报文中的序列号字段修改为0X7FFFFFFF,然后将修改后的报文发送出去,若 造成路由器链路重置并使通信异常产生丢包,则表明目标路由器存在安全缺陷; DD报文测试的时机为路由收敛并更新DD数据库时,测试方式为,将截获的正常OSPF协 议DD报文中的LSA字段修改为随机构造的伪字段,然后将修改后的报文发送出去,若造成目 标路由器CPU使用率大幅上升从而影响其他业务运行,则表明目标路由器存在安全缺陷; 路由表篡改测试的时机为新路由接入或有路由器退出网络造成路由表更新时,测试方 4 CN 111614518 A 说 明 书 2/6 页 式为,将截获的正常OSPF协议LSU报文中的TransitID字段修改为伪造的网段,然后将修改 后的报文发送出去,若造成目标路由器路由表产生变化,影响到路由器的数据转发路径,则 表明目标路由器存在安全缺陷; (4)生成测试报告,所述测试报告中包括被测路由器的ID、各项测试的测试次数以及每 次测试的结果。 进一步的,所述双网卡设备中预先存有最大年龄测试、序列号测试、DD报文测试和 路由表篡改测试的报文模板,其中,最大年龄测试的报文模板为正常OSPF协议中LSU报文的 格式,序列号测试的报文模板为正常OSPF协议中LSU报文的格式,DD报文测试的报文模板为 正常OSPF协议中DD报文的格式,路由表篡改测试的报文模板为正常OSPF协议中LSU报文的 格式; 在执行步骤(2)之前先执行如下步骤: (before-2)初始化最大年龄测试、序列号测试、DD报文测试和路由表篡改测试的报文 模板,将最大年龄测试报文模板中的年龄字段设定为0XFF,将序列号测试报文模板中的序 列号字段设定为0X7FFFFFFF,将DD报文测试报文模板中的LSA字段设定为随机构造的伪字 段,将路由表篡改测试报文模板中的TransitID字段设定为伪造的网段; 在执行步骤(2)时,通过从截获的相应数据报文中提取信息并填入到初始化后的相应 报文模板中,来生成相应的修改后报文; 在执行步骤(3)之前先执行如下步骤: (before-3)初始化最大年龄测试和序列号测试,将最大年龄测试报文模板中的年龄字 段设定为0XFF,将序列号测试报文模板中的序列号字段设定为0X7FFFFFFF; 在执行步骤(3)时,通过从截获的相应数据报文中提取信息并填入到初始化后的相应 报文模板中,来生成相应的修改后报文。 本发明与现有技术相比,所取得的有益效果为: 1、本发明创新性地提出了自动化测试路由安全性的安全测试方法,并可自动生成测试 报告,无需人工干预,测试结果明确。 2、本发明通过自动化获取路由器各项参数,自动判断路由器状态,获取发送伪造 报文或捕获报文进行篡改的时机,极大地简化了路由器安全测试的流程。 3、本发明能够有效降低测试人员所需的专业知识,降低测试的学习周期和成本。 附图说明 图1是本发明实施例中的测试软件的架构示意图。 图2是本发明实施例中的测试方法的流程图。
下载此资料需消耗2积分,
分享到:
收藏

相关推荐