面向OSPF脆弱點的分節點污染方法研究

周季璇，顧巧云，鳳 丹

(江南計算技術研究所，江蘇 無錫 214083)

0 引 言

近年來，路由協議的缺陷[1]導致各種針對路由協議的脆弱性利用呈現增長的趨勢，因此路由協議的安全研究成為一項十分急迫的任務[2]。OSPF協議是目前應用廣泛的內部網關路由協議，其安全性研究一直受到業界學者的廣泛關注，近年來也有不少研究成果。文獻[3-5]對OSPF協議脆弱性被利用后的檢測恢復以及防范進行了研究，文獻[6-8]進一步分析研究了OSPF協議的安全機制。OSPF協議在協議細節、認證和配置等方面的相關脆弱點也陸續被發現[9]。Gabi Nakibly團隊在2013年公布了一個關于OSPF協議的新型脆弱點并且提出了該脆弱點的利用方法[10]，同時在自治域只有一個骨干區域的情況下進行了實驗驗證，得出只需要發送一個包到任意位置的目標路由器就能持久改變該路由器的鏈路狀態數據庫，控制其路由表并且污染整個自治域內的其他路由器的結論。國內外也有文獻[11-13]針對該脆弱點進行了分析研究，但沒有對網絡拓撲特征以及目標路由器在網絡拓撲中的位置對污染效果的影響進行深入探討。

對此，文中在Gabi Nakibly團隊的研究基礎上做了進一步探索，在自治域分為多個區域的情況下，提出一種OSPF脆弱點分節點污染方法，并且對該方法進行了仿真測試?？偨Y出網絡拓撲和目標路由器位置選擇對污染范圍和效果的影響，并提出了利用該脆弱點的污染路徑生成樹確定方法，最后針對該脆弱點，特別是在分節點污染情況下的特征提出了防范措施。

1 OSPF安全機制及脆弱點

OSPF協議有三個內建的安全機制，分別是可靠泛洪與自反擊機制，層次路由和信息隱藏，程序性檢測及約束，它們使得OSPF協議更加強壯，攻擊更加困難[14]。其中，可靠泛洪與自反擊機制是最重要的一條，尤其是自反擊機制，是指一旦某節點路由器收到了一條Advertising Router等于自身ID的LSA實例，便會認為該LSA是自己的實例，而這個實例比該路由器中對應的實例更新，那么該路由器就會立即泛洪一條比接收到的LSA更新的實例[15]。因為自反擊機制的存在，攻擊者冒充網絡中路由器發送的惡意LSA很快就會被更新的正確LSA所覆蓋，因此，為了能夠有效修改鏈路狀態數據庫中的LSA項，攻擊者必須持續不斷地發送攻擊包，成本較高。

GabiNakibly團隊經過研究發現，OSPF協議進程在將LSA放入鏈路狀態數據庫時，僅以Link State ID項來標識唯一的LSA實例并且不對Link State ID和Advertising Router項是否相等進行校驗，而對于Router-LSA(描述產生路由器接入某區域的接口狀態)，這兩項必須相等[13,16〗。因此，假設發送一條包含惡意Router-LSA的數據更新包給某一個目標路由器，滿足以下條件：

(1)Link State ID=目標路由器的ID；

(2)Advertising Router≠Link State ID，且不等于網絡內任何一個路由器的ID；

(3)LSA的序列號(即sequence number項)大于該路由器對應的有效LSA的序列號。

那么，此惡意Router-LSA就能成功避開OSPF的自反擊機制替換原來正確有效的LSA，進入目標路由器的鏈路狀態數據庫，并且通過泛洪機制擴散出去，污染其他的路由器，參與到路由表的計算中。由于目標路由器自身產生的Router-LSA信息從鏈路狀態數據庫中清除了，目標路由器的路由功能基本失效。此外，如果在惡意Router-LSA中精心構造虛假鏈接就能夠欺騙被污染路由器，造成流量黑洞或路徑劫持等諸多危害，被污染的路由器越多，危害范圍越大。

發現這一脆弱點的Gabi Nakibly等在文獻[10]中表示，利用該脆弱點能影響到整個自治域內所有路由器而對目標路由器在自治域內的位置不作要求。文中在其基礎上進行了進一步的探索，提出了OSPF脆弱點分節點污染方法，在自治域分為多個區域的情況下，對該方法進行了仿真測試，總結出網絡拓撲和目標路由器節點位置對整個自治域污染范圍和效果影響，并且提出一種用于確定污染路徑及范圍的生成樹算法。

2 脆弱點分節點污染方法

2.1 節點分類方法

只考慮一個自治域的情況，在文獻[15]中，根據路由器的位置，可以將路由器分成內部路由器(IR)和區域邊界路由器(ABR)。在此基礎上，文中對每個位置的路由器節點進一步細分。如圖1所示，R1，R2，R3，R6是區域0的IR節點，R7是區域1的IR節點，R8是區域2的IR節點，R4和R5是區域0和區域1的ABR節點，R4也是區域0和區域2的ABR節點。

圖1 網絡拓撲

現根據每個節點的鄰居節點的種類，繼續將節點進行細分。以n-xIR-yABR的子類別進行分類，其中n表示該節點有n個鄰居節點(n=1時該節點為葉子節點)，xIR表示x個IR節點的鄰居，yABR表示y個ABR節點的鄰居，x+y=n。以圖1為例，R1的類別是IR，子類別是1-1IR，R4的類別是ABR，子類別是4-4IR，其他節點以此類推。

2.2 分節點污染方法

由于惡意Router-LSA包只能通過源節點向鄰居發出，所以在測試時選取鄰居數量及類型最多的節點為源節點，以它的某一個鄰居為目標節點，向目標節點發送惡意Router-LSA包，再利用同樣的方法選擇不同的鄰居為目標節點進行多次污染測試，對比分析結果。通過該方法能在控制一個源節點的情況下測試到更多數量和類型的目標節點，從而得到目標節點位置選擇對污染結果的影響規律。

分節點污染方法的步驟如下：

(1)根據提出的節點分類方法對網絡拓撲中每個路由器節點確定子類別(n-xIR-yABR)；

(2)選擇n，x，y均比較大的節點作為源節點；

(3)每次選擇源節點的某一個鄰居，利用脆弱點進行測試，記錄污染結果，直至所有鄰居都被作為目標節點進行過測試；

(4)對比分析不同節點作為目標節點時的污染結果，總結規律。

以圖1為例，采取分節點污染方法對其進行測試分析。選取R3(子類型4-2IR-2ABR)為源節點，通過R3分別以R2，R4，R5，R6為目標節點進行多次發包測試，針對這些不同類型和位置的目標節點分析總結每次測試的污染范圍和效果。

2.3 污染路徑生成樹確定方法

目標節點接收到惡意Router-LSA后，將其替換掉原本正確有效的LSA進入鏈路狀態數據庫的Router Link States項，并且通過泛洪機制將其從一些特定接口擴散到其他節點。目標節點會把惡意Router-LSA從接收到該條LSA的接口所在區域的其他所有接口泛洪出去，也就是說，惡意LSA只能在某一個區域里泛洪而不會泛洪進其他區域，值得注意的是，對于目標節點而言，惡意LSA將不會從接收接口泛洪。此外，當目標節點是ABR時，除了會在接收惡意Router-LSA的同區域內不作修改地泛洪惡意LSA之外，還會向其他區域泛洪描述區域網絡狀況的Summary-LSA(由ABR產生，向區域匯總路徑)的更新信息。Summary-LSA的泛洪機制和Router-LSA類似，只能在區域內泛洪且不從接收的接口進行泛洪。接收到Summary-LSA的其他區域節點的Summary Net Link States將會被污染。

根據以上對OSPF脆弱點以及泛洪機制的分析，文中提出了一種惡意LSA(假設宣告空鏈接)污染路徑的確定方法。首先，假設Rn是源節點，它的某鄰居節點Rt是目標節點，發送惡意Router-LSA包的接口在區域a，區域a以外的所有區域稱為其他區域。按照以下方法生成污染路徑樹。

(1)以Rn為根節點，子節點為Rt(接收惡意Router-LSA);

(2)Rt的子節點根據以下規則確定：Rt是IR時，其子節點是區域a內除了Rn的所有鄰居(接收Router-LSA)；

(3)Rt是ABR時，其子節點是區域a內除了Rn的所有鄰居(接收Router-LSA)以及其他區域的所有鄰居(接收Summary-LSA)。

完成前兩步之后，網絡中所有節點接收到有效的污染更新消息x并且會將其泛洪到的子節點由函數f(x)確定。

根據以上方法構造生成一棵污染路徑生成樹，從根節點(不包括根節點)到葉子節點即是一條污染路徑，如果路徑中存在某個節點是非區域a的IR，那么該條路徑是Summary-LSA的泛洪路徑(不包括作為根節點的子節點時的目標節點)，否則是惡意Router-LSA的泛洪路徑。

以圖1中的R3為源節點，R4為目標節點為例，利用上述方法構造的污染路徑生成樹如圖2所示。

圖2 污染路徑生成樹

從圖2中可以看出，惡意Router-LSA污染路徑是R4→R6→R3→R2→R1，R4→R6→R3→R4，R4→R6→R3→R5。而Summary-LSA污染路徑是R7→R5，R8。

3 仿真測試

3.1 測試環境

該脆弱點適用于一切遵從OSPF協議規范的路由器，主導著路由器市場的Cisco也未能幸免。文中選取Cisco型號為c7200(15.0)的路由器，利用脆弱點分節點污染方法進行了仿真測試。由于實物成本較高，在此采用GNS3模擬器對實驗環境進行仿真研究。

3.2 測試拓撲

采用的實驗拓撲如圖1所示。根據分節點污染方法，選擇R3作為測試源節點。在測試時，使R3與本地云相連接，偽裝成R3給目標節點(R3的鄰居節點)發送帶有惡意Router-LSA的協議包。

3.3 測試方法

利用Scapy，通過R3發送惡意Router-LSA包，每次選擇一個目標節點(R2，R4，R5，R6)，進行多次測試。將該條LSA的Link ID設置成目標路由器的ID，Advertising Router設置成任意不屬于該網絡中任何路由器的ID，并且序列號大于對應的有效LSA的序列號。同時，在惡意LSA里沒有宣告任何鏈接。以目標節點是R4時為例，測試代碼如下：

Fromscapy.all import *

Load_contrib(“ospf”)

R4_FALSE_LSA=IP(src=attacker_source_ip,dst=victim_destination_ip)/OSPF_Hdr(src=attacker_router_id)/OSPF_LSUpd(lsalist=[OSPF_router_LSA(options=0x22,type=1,id=victim_router_id,adrouter=false_adv_router,seq=seq_num,linklist=[]) ])

send(R4_FALSE_LSA,iface=“eth0”)

3.4 測試結果

測試之后，惡意Router-LSA替換掉原本有效的LSA進入目標節點的鏈路狀態數據庫，并逐步泛洪至其他節點，從而對一定范圍的網絡造成了污染。圖3和圖4是目標節點為R4時，R4和R7在測試前后鏈路狀態數據庫的變化圖。可以看到，對路由器鏈路狀態數據庫的污染確實主要表現在對路由器Router Link States項以及對Summary Net Link States項的篡改上。

圖3 R4數據庫中Router Link State項的變化

圖4 R7數據庫中Summary Net Link State項的變化

分析圖3圖4的結果可知，外部注入的惡意Router-LSA成功避開了自反擊機制替換掉原來正確有效的Router-LSA，進入到目標路由器R4的鏈路狀態數據庫，篡改了數據庫中的Router Link States(Area 0)項。Link ID是50.0.0.1的表項，ADV Router(即上文的Advertising Router)已經由原本R4的ID(50.0.0.1)變成了惡意LSA中宣告的虛假信息11.11.11.11。而R7的鏈路狀態數據庫中，Summary Net Link States(Area 1)項也遭到了篡改。由ABR之一的目標節點R4(50.0.0.1)宣告的所有區域0內的網絡狀態信息均被刪除了，只保留了由R4宣告的區域2的網絡狀態以及同為ABR的R5(40.0.0.1)宣告的網絡狀態。

選擇不同類型和位置的目標節點進行測試，得到的污染效果如表1所示。RLS即為路由器鏈路狀態數據庫中的Router Link States項，SNS即為數據庫中的Summary Net States項。對比表1由實驗得出的受污染節點的范圍和圖2通過污染路徑生成樹確定方法理論分析出的結果，可以看出，實驗測試結果與理論分析的污染結果完全相同，證實了污染路徑生成樹方法的有效性。因此當該脆弱點被利用后，可以通過該方法迅速確定整個網絡拓撲中所有路由器節點的受污染情況，從而及時做出應對策略。

表1 不同目標路由器節點的污染范圍

3.5 測試結論

文中利用提出的OSPF脆弱點分節點污染方法進行仿真測試，每次測試時向不同類型和位置的目標節點注入一條宣告空鏈接的惡意Router-LSA，證實了目標節點在網絡拓撲的節點位置對最終污染范圍和效果存在很大的影響，并且得出以下結論：

(1)提出的污染路徑生成樹方法可以有效確定污染范圍和路徑。

(2)發包的源節點無法從目標節點接收到惡意LSA，因此只有在拓撲成環時源節點才能收到惡意LSA。例如當目標節點是R4時，R3接收到惡意LSA的過程是R3→R4→R6→R3，而不是直接從R4接收。

(3)Summary Net Link States的更新信息只能在一個區域內泛洪。依然以文中的仿真測試為例，當R4是目標節點時，R4生成的Summary-LSA更新信息泛洪至區域1的R7，修改了R7的Summary Net Link States項，R7再將其泛洪到作為ABR的R5，但沒有通過R5泛洪到區域0的R3，即沒有能夠跨過ABR到達其他區域。

(4)只有當目標節點是ABR時，才會影響到其他節點路由器的Summary Net Link States項，ABR自身的Summary Net Link States項不會因為惡意Router-LSA而改變。

4 防范措施

針對該脆弱點，一般可以采取協議包加密認證，加大攻擊者攻擊難度；在實現OSPF協議時對LSA實例增加對Router-LSA的Link State ID和Advertising Router字段是否相等的校驗，從本質上消除脆弱點等措施預防該脆弱點被利用。

文中利用脆弱點分節點污染方法對脆弱點進行了仿真測試，基于對測試結果的分析，提出以下防范措施以減小該脆弱點被利用之后的影響。

(1)設計鏈路狀態數據的檢測和預警機制[12]，在其突然發生巨大變化時發出警報并及時采取重啟目標節點等有效手段進行防護。

(2)加強對關鍵節點的防護。首先該脆弱點的利用一定需要控制一個路由器節點。對于n-xIR-yABR類型節點，n,x,y三個值越大，說明該節點作為被控制的源節點或者目標節點時，可以污染到的節點數目和種類越多，危害也越大。因此要加強對該類節點防護。以圖1為例，R3，R4等節點都應該是重點防護節點。

(3)改進網絡拓撲的設計。盡可能解開拓撲中的環形。仍然以圖1測試拓撲為例，解開R3和R6之間鏈接，把環形拓撲打開，就能極大地減小污染范圍。改進拓撲后仍以R3為源節點進行仿真測試，結果如表2所示。

表2 拓撲改進后不同目標節點的污染范圍

R6的子類型發生了改變，也無法再成為目標節點，其他節點雖然子類別沒有變化，但是由于網絡拓撲的變化，污染范圍也明顯減小。

5 結束語

OSPF協議發展至今，已成為一項比較成熟和完善的路由協議，但是仍然不能忽略它可能存在的安全隱患和威脅。針對OSPF協議某脆弱點的污染特征，提出分節點污染方法和污染路徑生成樹的確定方法，并通過仿真測試驗證了這兩種方法的有效性。在構造惡意Router-LSA時宣告的是空鏈接，將來可考慮在惡意Router-LSA宣告不同形式的鏈接時，對污染效果的影響進行更深層次的探索和研究。

參考文獻：

[1] 梅鴻翔.OSPF路由協議的安全性評測研究[D].成都：電子科技大學，2010.

[2] 王先培,文云冬,高志新,等.OSPF路由協議的脆弱性分析[J].武漢大學學報:工學版,2004,37(3):98-101.

[3] SANGROHA D,GUPTA V.Analyzer router:an approach to detect and recover from OSPF attacks[C]//International symposium on security in computing and communication.Berlin:Springer,2014:370-378.

[4] LI Meng,JING Quanliang,YAO Zhongjiang,et al.On the prevention of invalid route injection attack[C]//International conference on intelligent information processing.Hanzhou,China:[s.n.],2014:294-302.

[5] SOSNOVICH A,GRUMBERG O,NAKIBLY G.Finding security vulnerabilities in a network protocol using parameterized systems[C]//International conference on computer aided verification.[s.l.]:[s.n.],2013:724-739.

[6] WANG Minghao.The security analysis and attacks detection of OSPF routing protocol[C]//7th international conference on intelligent computation technology and automation.Changsha,China:IEEE,2014:836-839.

[7] DIWAN D,NARANG V K,SINGH A K.Security mechanism in RIPv2,EIGRP and OSPF for campus network-a review[J].International Journal of Computer Science Trends and Technology,2017,5(2):399-404.

[8] SHEN N,AGGARWAL R,SHAFFER S.Extensions to OSPF for advertising optional router capabilities[J].Work in Progress,2007,11(3):82-89.

[9] 蔡昭權.OSPF路由協議的攻擊分析與安全防范[J].計算機工程與設計,2007,28(23):5618-5620.

[10] NAKIBLY G,MENAHEM E,WAIZEL A,et al.Owing the routing table part2[R].USA:Black Hat,2013.

[11] 夏云峰.基于OSPF路由協議的路由欺騙分析[D].南京:東南大學,2014.

[12] 周 軒,王永杰,覃志波.OSPF協議漏洞機理及其防范措施[J].指揮信息系統與技術,2015,6(5):40-45.

[13] NAKIBLY G,MENAHEM E.OSPF vulnerability to persistent poisoning attacks:a systematic analysis[C]//Proceedings of the 30th annual computer security applications conference.New Orleans,Louisiana,USA:ACM,2014:336-345.

[14] 鐘廷龍,李 鑫,郭云飛.OSPF路由協議安全性分析[J].微計算機信息,2005,24:15-17.

[15] MOY J.OSPF version 2[S].[s.l.]:IETF,1998.

[16] NAKIBLY G,KIRSHON A,GONIKMAN D,et al.Persistent OSPF attacks[C]//Proceedings of the 19th annual network and distributed system security symposium.[s.l.]:[s.n.],2012.