在OSPF選路通訊協定下路由器安全性之研究

Abstract

路由器在網路上所扮演的角色十分重要。也因此對攻擊者而言，路由器是一個相當具有吸引力的目標。而當攻擊者控制了路由器之後，它可以藉由丟棄通過路由器的封包或是進行更改網路連接狀態來對網路攻擊。本論文提出一項架設在OSPF選路通訊協定下的路由器攻擊偵測系統架構。用來進行偵測網路上是否有路由器是否有進行丟棄通過路由器的封包，以及是否有針對OSPF選路通訊進行更改網路連接狀態的攻擊行為發生。 在這一篇論文中，我們探討OSPF選路通訊協定，以及研究如何利用路由器來產生攻擊行為。然後，我們提出了可以偵測到路由器攻擊行為的路由器攻擊攻擊偵測系統。我們所設計的路由器攻擊偵測系統是根據網路上流量的基本原則： 所有進入某一點的封包，如果該封包的目的地不是該點的話，則封包一定會流出該點。藉此來判斷網路上是否有路由器針對封包進行丟棄攻擊。在偵測LSA攻擊方面，我們是利用有限狀態機的方式來偵測。之後，我們利用模擬此偵測系統系統的運作方式來觀察門檻值的設定與我們系統偵測出攻擊者的影響。最後，我們將模擬的數據代入B.C.Soh與T.S. Dillion所提出的攻擊偵測系統安全性指標模型來探討門檻值的設定對我們系統的影響。

Router is very important in the network. And then it is very likely to be attacked by attackers. An attacker in control of a router can disrupt communication by dropping packets or modifying network link state. This thesis present a router attack detection system witch can detect router attacks. In this thesis, we investigate OSPF routing protocol and study the router security. We proposed an attack detection system for router protection. Our attack detection system is based on the principle of conservation of flow in a network: all packets sent into a node and not destined for that node are expected to exit the node. We use this principle to detect router flow attacks and use a finite state machine to detect LSA attack. And we simulate our attack detection system to ensure the correctness of the system and analyze the simulation results. We use attack detection system security model witch presented by B.C. Soh and T. C.Dillion to discuss how to set threshold in our attack detection system.