【摘要】：當(dāng)前,域間及域內(nèi)路由系統(tǒng)中普遍使用的路由協(xié)議分別是BGP及OSPF協(xié)議。這兩種協(xié)議的廣泛使用,證明了它們在路由功能上的設(shè)計已經(jīng)相當(dāng)?shù)耐陚洹５?為了高效的路由功能,便難以為路由協(xié)議施加復(fù)雜的安全性措施。在這一背景下,網(wǎng)絡(luò)路由異常監(jiān)測成為保障網(wǎng)絡(luò)路由系統(tǒng)安全的有力措施。路由異常監(jiān)測系統(tǒng)的設(shè)計一般圍繞著控制層面的協(xié)議報文分析,以及數(shù)據(jù)層面的目標(biāo)可達(dá)性探測展開。不過,就利用探測報文在數(shù)據(jù)層面進(jìn)行異常監(jiān)測來講,無論是單純的基于數(shù)據(jù)層面的探測,亦或是結(jié)合控制層面檢測結(jié)果的有節(jié)制和目的性的探測,探測報文的存在,都不可避免的對目標(biāo)網(wǎng)絡(luò)造成一定的負(fù)擔(dān)。本文在對OSPF和BGP協(xié)議進(jìn)行簡單介紹后,詳細(xì)分析了當(dāng)前常見的各種路由異常,結(jié)合對目前路由異常監(jiān)測研究現(xiàn)狀的分析,決定舍棄探測這一手段,設(shè)計并實現(xiàn)了一個僅基于控制層面的網(wǎng)絡(luò)路由異常監(jiān)測系統(tǒng)。系統(tǒng)實現(xiàn)以盡可能的減少目標(biāo)網(wǎng)絡(luò)負(fù)擔(dān)為前提,所涉及的主要研究內(nèi)容與路由數(shù)據(jù)采集、網(wǎng)絡(luò)拓?fù)浞治�、路由異常檢測等功能的設(shè)計與實現(xiàn)息息相關(guān)。在數(shù)據(jù)采集上,使用軟件模擬路由與真實路由器交互的方式,被動獲取協(xié)議報文信息。在拓?fù)浞治錾?通過采集而來的UPDATE報文與LSU報文,分別進(jìn)行BGP與OSPF的網(wǎng)絡(luò)拓?fù)浞治?并可以綜合兩種分析結(jié)果得出目標(biāo)網(wǎng)絡(luò)當(dāng)前的全網(wǎng)拓?fù)�。在異常檢測上,系統(tǒng)采用了基于目標(biāo)網(wǎng)絡(luò)模型的優(yōu)化方案,通過這一方案,系統(tǒng)在監(jiān)測效果以及可擴(kuò)展性方面都有了一定的提升,降低了僅基于控制層面而帶來的檢測準(zhǔn)確度上的缺失。此外,系統(tǒng)的實現(xiàn)基于典型的域間(BGP)、域內(nèi)(OSPF)協(xié)議,可以同時監(jiān)測域間和域內(nèi)路由系統(tǒng),并在某些異常的檢測上做出了一定的關(guān)聯(lián)分析。最后,文章針對系統(tǒng)的各項功能進(jìn)行了相關(guān)的測試,通過測試發(fā)現(xiàn),系統(tǒng)能夠正確的進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?完成指定的路由異常監(jiān)測功能。
【圖文】：

關(guān)的各種相關(guān)路由信息。逡逑因此，有的研宄提出了基于控制層與數(shù)據(jù)層關(guān)聯(lián)分析的異常監(jiān)測方式。例如逡逑圖１－１所涉及的異常，通過這種關(guān)聯(lián)便可以很好的結(jié)合兩種不同層面監(jiān)測方式的逡逑優(yōu)勢，得到準(zhǔn)確的監(jiān)測結(jié)果。但是，只需要攻擊者額外的留意這種探測，去捕獲逡逑探測報文，分析反饋確認(rèn)信息，路由異常監(jiān)測系統(tǒng)依舊會產(chǎn)生誤報。而且這種誤逡逑報是致命的，因為本來應(yīng)該報出的異常，因數(shù)據(jù)層的可達(dá)便成為了可信的前綴信逡逑息，后果嚴(yán)重。此外，雖然顯著減小了網(wǎng)絡(luò)的負(fù)擔(dān)，但是拋開必然增加的算法復(fù)逡逑雜度不談，在路由異常疑似發(fā)生階段去增加探測報文的發(fā)送，對于可能遭受攻擊逡逑的目標(biāo)網(wǎng)絡(luò)來說，這也許并不是一個很好的選擇。最不能繞開的，便是探測節(jié)點逡逑的部署問題，相較于本文第三章提出的被動采集方式，這種大量節(jié)點的部署顯然逡逑是高代價、低收益的。逡逑綜上所述

ＮＬＲＩ等關(guān)鍵信息，可以用于ＢＧＰ拓?fù)涞姆治�，也可以進(jìn)一步應(yīng)用到ＢＧＰ異常逡逑的檢測之中，下面對ＵＰＤＡＴＥ報文結(jié)構(gòu)做出介紹。逡逑首先，所有的ＢＧＰ報文都有統(tǒng)一的ＢＧＰ報文頭部，，其結(jié)構(gòu)如圖２－１所示。逡逑ｉ逡逑Ｍａｒｋｅｒ邋｜邋１６邋ｏｃｔｅｔｓ逡逑｜逡逑Ｌｅｎｇｔｈ邋丨邋２邋ｏｃｔｅｔｓ邐Ｔｙｐｅ邋｜邋１邋ｏｃｔｅｔ逡逑圖２－１邋ＢＧＰ報文頭部結(jié)構(gòu)示意圖逡逑報文頭部的Ｌｅｎｇｔｈ表示整個ＢＧＰ報文的字節(jié)個數(shù)，而Ｔｙｐｅ不同的取值則逡逑可以代表不同的ＢＧＰ報文類型，當(dāng)Ｔｙｐｅ取值為２時，這便是一個ＵＰＤＡＴＥ報逡逑文，除去ＢＧＰ頭部的ＵＰＤＡＴＥ報文數(shù)據(jù)部分結(jié)構(gòu)如圖２－２所示。逡逑ＵＰＤＡＴＥ報文數(shù)據(jù)部分的Ｗｉｔｈｄｒａｗｎ邋Ｒｏｕｔｅｓ邋Ｌｅｎｇｔｈ字段標(biāo)識了待撤銷前綴逡逑集合的總長度；如果長度不為０，那么ＷｉｔｈｄｒａｗｎＲｏｕｔｅｓ字段部分由一系列的二逡逑元組組成，二元組由地址前綴長度和地址前綴構(gòu)成；Ｔｏｔａｌ邋Ｐａｔｈ邋Ａｔｔｒｉｂｕｔｅ邋Ｌｅｎｇｔｈ逡逑字段則標(biāo)識了報文中路徑屬性集合所占用的字節(jié)數(shù)，如果取值不為０，那么Ｐａｔｈ逡逑Ａｔｔｒｉｂｕｔｅｓ字段部分由一系列的三元組構(gòu)成，三元組由屬性類型、屬性長度、屬逡逑性取值構(gòu)成
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.0

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 郭方平;;OSPF路由協(xié)議安全性探討[J];中國新通信;2014年15期

2 黎松;諸葛建偉;李星;;BGP安全研究[J];軟件學(xué)報;2013年01期

3 王立軍;;基于域間路由的分布式分組過濾有效性研究[J];軟件學(xué)報;2012年08期

4 鐘金鑫;魏更宇;李仲重;楊義先;;基于4字節(jié)ASN擴(kuò)展的BGP協(xié)議安全漏洞[J];北京郵電大學(xué)學(xué)報;2011年S1期

5 潘楠;王勇;陶曉玲;;基于OSPF協(xié)議的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)算法[J];計算機(jī)工程與設(shè)計;2011年05期

6 高崢;李林濤;;OSPF協(xié)議安全性分析[J];黑龍江科技信息;2011年11期

7 王慧;羅軍勇;寇曉蕤;;基于OSPF協(xié)議報文的網(wǎng)絡(luò)拓?fù)浞治鏊惴╗J];計算機(jī)工程;2008年06期

8 李長山;錢志軍;楊友紅;;數(shù)字簽名保護(hù)的OSPF路由協(xié)議的安全性研究[J];哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版);2007年04期

9 任云花;;OSPF路由協(xié)議的安全性分析[J];科技情報開發(fā)與經(jīng)濟(jì);2007年15期

10 劉魁星;汪斌強(qiáng);賈娟;;OSPF路由協(xié)議安全性分析與研究[J];電視技術(shù);2007年02期

相關(guān)博士學(xué)位論文 前2條

1 王禹;域間路由系統(tǒng)獨立監(jiān)控技術(shù)[D];解放軍信息工程大學(xué);2014年

2 劉欣;互聯(lián)網(wǎng)域間路由安全監(jiān)測技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2008年

相關(guān)碩士學(xué)位論文 前8條

1 王太紅;互聯(lián)網(wǎng)前綴劫持檢測與防御研究[D];清華大學(xué);2015年

2 范雙嬌;基于OSPF協(xié)議的拓?fù)浒l(fā)現(xiàn)與攻擊檢測技術(shù)研究[D];北京郵電大學(xué);2015年

3 景全亮;域間路由安全監(jiān)測系統(tǒng)的設(shè)計與實現(xiàn)[D];首都師范大學(xué);2014年

4 燕強(qiáng);基于多平面的域間路由安全監(jiān)測技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

5 曹華陽;域間路由安全多維監(jiān)測方法的研究[D];國防科學(xué)技術(shù)大學(xué);2010年

6 倪勇;OSPF路由拓?fù)浒l(fā)現(xiàn)與異常檢測技術(shù)[D];國防科學(xué)技術(shù)大學(xué);2008年

7 潘文熹;基于OSPF和BGP協(xié)議的拓?fù)浒l(fā)現(xiàn)系統(tǒng)研究與實現(xiàn)[D];電子科技大學(xué);2008年

8 孫文海;OSPF路由性能監(jiān)測與分析系統(tǒng)的設(shè)計與實現(xiàn)[D];北京郵電大學(xué);2008年

本文編號：2559373