网络协议毕业设计.doc

《网络协议毕业设计.doc》由会员分享，可在线阅读，更多相关《网络协议毕业设计.doc（36页珍藏版）》请在三一办公上搜索。

1、摘 要网络协议是互联网通信的基本构架，不完备或错误的协议往往给攻击者提供了攻击的机会。因为协议本身的高并发性以及所处环境的复杂性，网络协议的设计是非常困难的。我们可以通过对协议设计完毕后进行安全建模，并进行自动化验证，来找到协议设计存在的安全隐患。在本文中，我们用两种方法分别对BGP协议进行建模。方法一基于规则推理，对协议进行完全分析，得到协议资源和具有某种推导关系的行为，基本资源可以作为协议行为的参数，通过用AND和OR来表示协议行为的推导关系。将此方法应用到BGP协议，最终在BGP协议的攻击规则图上得到了29条攻击路径。方法二用CSP对协议建模，用CSP来表示协议之间各个进程的并发作用，模

2、型包括协议本身、攻击者，以及所要满足的安全约束。并用FDR检验所建立的模型是否满足约束。用该方法来对BGP进行建模验证，检验结果为，该模型满足其中一个约束，而另一个没有被满足的约束得到了一个反例序列。本文提出了两种对协议进行分析以及建模的方法，一种是基于规则的，一种是用形式化的方法来进行建模。通过这两种方法，我们可以用建立的模型来准确的描述网络协议，使得更好的理解网络协议，并通过对协议的有效分析与验证，得到协议的攻击方法与协议的缺陷。关键词：CSP；网络协议；规则；安全建模；BGP协议ABSTRACTNetwork protocol is the basic framework of Inte

3、rnet communications, however, the incomplete or incorrect protocol often provides attackers some opportunities. Because of the high concurrency of a network protocol and the complexity of the environment where it works, it is difficult to design a network protocol with a reliable safety. We can find

4、 out a network potentials safety hazard through security modeling and automated verification. In this paper, well use two methods to model on the BGP protocol. The first method bases on the rule-based reasoning approach to analyze the protocol and get protocol resources as well as behaviors which ha

5、ve some kinds of derived relations. The basic resources serve as the parameters of the protocols behaviors and indicates the derived relations by “AND” and “OR”. Applying this method to BGP protocol, we successfully get 29 attack paths on the attacking rules diagram. The second method is to model wi

6、th CSP. Well use CSP to indicate the concurrency effect of every process among the protocols. This model contains not only the protocols but also the attackers and the security constraints which need to be satisfied. At the same time, we use FDR to test this model to exam whether it meets the constr

7、aints. In this way, we testify the BGP and the result is that one of the two constraints is satisfied while the other is unsatisfied from which we get a counter-example sequence.We propose two methods-one is rule-based, the other is formalized-to model and analyze the protocol. By using the model, w

8、e are able to precisely describe the network protocol, and then deepen the comprehension of it. By analyzing the protocol efficiently and testing, we obtain the types of attacks and the protocols defects.Key words：CSP；Network Protocol；Rule；Security Protocol；BGP；目 录第一章 绪论11.1.研究目的及意义11.2.国内外发展11.3.主要

9、工作和贡献21.4.论文组织结构3第二章 相关概念介绍42.1.网络协议42.2.通讯顺序进程42.3.FDR5第三章 基于有向图的网络协议建模63.1.网络协议攻击发现和分析架构63.2.网络协议建模73.3.攻击路径分析过程83.4.针对BGP的建模和攻击分析案例93.4.1.BGP协议资源分析103.4.2.BGP协议行为分析113.4.3.BGP协议危害与行为规则分析123.4.4.规则图以及攻击路径分析133.4.5.攻击路径的规范描述163.5.基于规则库的网络协议的攻击发现18第四章 基于CSP的网络协议建模194.1.形式化建模分析194.2.BGP协议的分析与建模案例194.

10、2.1.整体模型介绍204.2.2.BGP协议分析214.2.3.BGP协议模型介绍224.2.4.FDR检测结果27第五章 总结与展望295.1.总结295.2.展望29参考文献30第一章 绪论1.1. 研究目的及意义随着Internet的不断发展，人们对互联网的依赖已经变得越来越重要。互联网作为信息技术革命的一个重要环节，已经深深的影响着每个人的工作，学习和生活。互联网更多的涉及到了金钱利益，隐私，版权专利，是绝大多数机关企业单位正常运维的关键砝码。但同时互联网也存在风险，攻击者找到系统的缺陷和漏洞，对系统进行攻击，从而进行破坏、牟利的行为，造成损失。网络协议是互联网通信的基本构架，网络协

11、议的安全性直接影响互联网的安全。网络协议作为数据交换的准则被广泛的实现和应用在网络设备中，而这些设备对网络协议的实现很大程度制约网络环境的安全系数。所以协议实现的安全性得到保证才能使得用户不会受到攻击。网络协议的开发过程也包括设计、分析、实现、测试与维护等阶段，设计一个安全的协议非常困难，主要原因在于：协议本身所具有的微妙性，还有协议所存在环境的复杂性，攻击者模型的复杂性以及协议的高并发性。通过在设计阶段对网络协议进行形式化的建模，可以实现网络协议的形式化规格，从而对协议模型进行分析，可以界定协议的边界，可以准确描述协议的行为，定义安全协议的特性，并可以验证网络协议是否满足其说明。因此通过对网

12、络协议的安全建模及其形式化，能够更好的理解网络协议，进而可以找到网络协议所存在的安全隐患，通过对这些安全问题进行修补，提出缓和方案，最终能提高网络协议的安全性能。1.2. 国内外发展当前主要都是对于安全协议进行形式化研究，而专门对于网络协议进行的研究比较少，不过他们对于协议形式化描述的方法大同小异。1982年，Dolev和Yao用算法的手段分析了两类特殊的协议的安全性，随后Dolev、Even和Karp的分析方法与之一脉相承，都是用多项式时间的算法对于某些特定类型的安全协议进行判定。不过这些方法只能针对特殊的协议，Dolev与Yao结果的意义开启了用形式化方法分析安全协议的先河。在安全协议的领

13、域，如果把Dolev-Yao的工作视为形式化方法的标志性工作的话，那Burrows，Abadi和Needham的工作就是形式化方法的代表作和里程碑。他们利用知识和信念逻辑，描述和推理认证协议。这个逻辑系统被称为BAN逻辑。这种方法用一集公式表示协议主体的信念或者知识，用一集推理规则从原有公式得到新的信念公式，这个逻辑可以指出一些协议的漏洞。BAN逻辑之后，许多形式化方法被应用于安全协议的分析上。因为受到BAN逻辑的启发，许多人开始寻找或者开发一些安全协议的验证工具，以及一些成熟的形式化方法寻找应用领域。因此上个世纪90年代安全协议的形式化研究出现了空前的繁荣景象。模型检测技术被应用到安全协议的

14、形式化研究中，值得提出的是Lowe利用FDR（Failures-Divergence Refinement）发现Needham-Schroeder协议的一个漏洞。再之后类型检测方法、基于定理证明的方法以及基于计算复杂性的形式化方法发展起来。如今网络协议的建模现如今主要有四种技术：有限状态自动机、Petri网、时态逻辑和通信进程演算。有限状态自动机的建模方式是目前最流行的，基本思想协议是中的组件状态及其状态转换进行分析，在此基础上进行安全的分析和验证。通过对FSM模型的扩展，加入特定属性来完成协议信息的补充以达到特性的建模目的。以扩展FSM的模型描述网路协议，并通过FSM的化简算法降低模型的复杂

15、度，最后通过这种模型生成测试用例，来指导对网络协议实现的测试。Petri网是一种描述分布式系统的数学建模语言，通常以位置和迁移形式来表述系统所具有的状态及状态之间的迁移条件。Petri网的概念最早是由德国人的Carl Adam Petri与1962年在其博士论文自动机通信中提出来的，它是一种适合于开发、异步、分布式系统描述与分析的图形数学工具。近几年利用时间Petri网对网络协议的建模方法也层出不穷，通过时间Petri网对网络协议进行建模，并对模型进行验证确保协议的实现正确可靠。基于时态逻辑的网络协议建模是模态逻辑的扩展，它涉及含有时间信息的时间、状态及其关系的命题、谓词和演算。1977年Pn

16、ueli在计算机科学中提出线性时态逻辑后，线性时态逻辑被广泛的应用在有限状态系统的行为描述上。但是因为线性时态逻辑主要体现被描述系统的时序状态，所以一般配合FSM或Petri网进行建模。通信进程演算是计算机通信系统的基本理论模型，它是许多形式化语言的基础。CCS( Calculus of Communication System )的基本成分是事件与进程，而进程是通过顺序、选择和并行三个基本算子来定义的。通信进程演算最初是由英国学者R. Milner提出的，最初用来描述通信开发系统的代数理论。Hoare在CCS的基础上建立了通信顺序进程（CSP, Communication Sequentia

17、l Processes）1.3. 主要工作和贡献本文通过对网络协议BGP（Border Gateway Protocol，边界网关协议）的分析，用形式化的方法来进行安全建模，在研究过程中采取了两种方式对协议进行了形式化描述，一种方式主要是通过对协议进行分析，然后用扩展有向图的方式来对协议进行安全建模，最终建立相应的库，通过这种建模方式可以得出相应的攻击路径，并对得到的路径进行了形式化描述，但是这种建模方式的形式化程度还不够，在此基础上，用CSP（Communicating Sequential Processes，通讯顺序进程）对协议进行描述，将协议作为进程来分别建模，最终是多个进程的并行化，

18、并对协议的一致性与正确性进行了验证。具体工作主要包括：1) 对协议进行分析。基于协议的RFC文档，经过阅读与分析，得出协议的基本资源与行为，从这些基本知识中得出既定事实、相应的推理规则，查阅有关协议安全的RFC文档，得出协议受攻击的攻击目标，以及这些目标所可能涉及的危害。2) 针对以上的分析，建立相应的库，包括资源表、行为表、既定事实表、规则表以及危害表。 3) 将上面的资源与行为用扩展有向图进行描述，行为作为节点，资源作为节点参数，利用规则进行推理。4) 根据有向图来得出每条攻击路径，并用形式化的方式来表示每条攻击路径，这些攻击路径可以用来验证协议设计中是否会产生某些攻击危害。5) 对协议的

19、状态机进行分析，然后用CSP的方式来描述对协议进行建模。6) 对协议所满足的性质进行CSP描述，描述了要满足的一致性与正确性7) 利用FDR（Failures-Divergence Refinement）对协议模型与所要满足的描述进行验证8) 对验证得到的结果进行分析。1.4. 论文组织结构第一章主要阐述本论文的研究目的及意义，国内外发展状况以及主要工作第二章相关知识介绍，本章对于网络协议、通讯顺序进程与FDR进行了说明。第三章对有向图建模的方法进行介绍，并对BGP协议进行分析，得到最后结果。第四章用CSP对协议进行建模与验证，同时对BGP的建模过程以及验证进行分析，对得出的结果进行分析。第五

20、章总结与展望。通过对两种方法进行总结，提出了未来的研究方向。第二章 相关概念介绍2.2.1. 网络协议在计算机网络中要做到有条不紊的交换数据，就必须遵守一些事先规定好的规则。而这些规则明确规定了所交换的数据的格式以及有关的同步问题，这里的同步指的是在一定的条件下应当发生什么事件，因而同步含有时序的意思。而这些为进行网络中的数据交换而建立的规则、标准或约束称为网络协议。网络协议是计算机网络中不可缺少的组成部分，其功能在于确保计算机之间能够进行正常、可靠的数据通信。网络协议主要由三个要素组成：1) 语法 即数据与控制信息的结构或格式2) 语义 即需要发出何种控制信息，完成何种动作以及做出何种响应3

21、) 同步 即事件实现顺序的详细说明基于系统的工程方法是保证网络协议质量的唯一方式。网络协议的开发必须经过协议设计、协议描述、协议验证与性能分析、协议实现、协议测试、协议维护六个阶段。而一个协议是否正确与安全关键在于其设计是否满足满足应具备的性质，因此对设计的描述与验证遍显得极其重要。对设计的协议进行描述有三种方法：自然语言、程序设计语言以及形式化语言。用自然语言描述时，表达能力强，可读性较好，但描述不准确，存在二义性。而用程序设计语言来描述时便于协议的实现，但是可读性很差，表述协议的能力较差。形式化描述有严格的语法和语义定义。更准确简明的描述系统特征。所以通过形式化的对协议进行建模，对所建的模

22、型也可以更好的验证，因为非形式化的验证一般还是基于人工经验进行验证，而形式化验证有相应的工具支持，可以自动执行。综上所述，对协议的形式化建模显得尤为重要。2.2. 通讯顺序进程CSP（Communicating Sequential Processes，通讯顺序进程）是一个描述并行系统的概念，属于一种面向分布式系统的程序设计语言吗，是一种研究并发系统问题的良好工具。C.A.R.Hoare作为发明人写了一部很好的著作来介绍CSP。CSP将一个并发系统由若干个并行运行的顺序进程组成，每个进程不能对其他进程的变量赋值。一个进程是一序列的动作，由相互影响的不同成分组成，每个或者一系列动作是一个事件，C

23、SP的进程通过通信与其它进程或者环境进行交互。因此CSP主要是对进程进行刻画。可见的动作有若干种，所有动作的集合是。CSP的基本算子见表2-1。每个进程都由自己的轨迹，进程的轨迹模型是描述进程的重要手段，某个进程的一个有限轨迹实际上是这个进程通信至某个时刻为止发生的可见事件的序列，CSP的进程进程的轨迹模型即是它的轨迹集合。利用CSP描述协议的时候，主要是描述协议参与者的进程，描述入侵者的进程，然后将这些进程并行起来，构成了一个系统的进程。然后再进一步描述该系统所要满足的安全属性，最后来验证其是否满足。表2-1 CSP的基本算子Stop？x:APPQP|QP|QP|X|QP|QPRP=F(P)

24、aPc？x:APPX|YQSkipPXP;QuP.F(P)没有任何动作的进程事件前节选择在两个进程中进行外部选择两个进程中进行内部选择进程并行在字母表X集合上进行同步进程交替执行进程重命名递归定义事件前缀输入前节选择同步并行成功终止事件隐藏序列复合递归进程2.3. FDRFDR（Failures-Divergence Refinement）是基于CSP的一个模型检测工具，通过检测系统的状态，用来测试一个系统精简后是否满足所要验证的性质。FDR支持CSP的几种模型：traces model、stable failures model 、failures/divergences model、ref

25、usal testing model、revivals model以及priority model。在检测过程中，对不满足描述的例子，将会给出一个反例。第三章 基于有向图的网络协议建模3.3.1. 网络协议攻击发现和分析架构网络协议攻击发现和分析的架构图如图3-1所示： 图3-1 网络协议的攻击发现和分析的构架图网络协议攻击发现和分析主要包括三个部分：网络协议知识，规则知识库，以及分析推理系统。输入为网络协议相关内容，输出为针对该网络协议的攻击方法和攻击方法的缓和方案。包括的三个部分： 网络协议知识：为攻击发现和分析理论的数据源，主要为RFC所声明的网络协议以及实现这些网络协议的应用。网络协议

26、知识是理论的数据基础。 规则知识库：通过对网络协议知识的分类整理、提炼和抽象，提取出网络协议相关的协议资源库、行为库和规则库。协议资源库包括网络协议中涉及的网络数据，如一个IP地址，一个报文，服务器的进程池等；行为库为网络协议相关的组件和应用进行的交互，如验证报文，应答报文等；因为在网络组件进行交互的过程中，往往会涉及一部分的网络数据，所以网络行为往往伴随有网络资源，并且行为之间可能有推算关系，即某些网络行为通过AND和OR关系能够推理出下一步的行为，而规则库就是用来对这两部分的内容进行描述。 分析推理系统： 分析和推理系统输入规则知识库的数据知识，将这些知识进行建模，通过对模型的分析和推理，

27、能够推理出网络协议相关的攻击方式，并且通过规则的不断完善和改进迭代，最后得到针对协议的攻击方法，通过规则知识库中的资源和行为形式化定义，将这些攻击方法进行形式化。3.2. 网络协议建模网络协议的模型为带有网络相关特性的扩展有向图G(V,E)，扩展有向图的节点为分析的网络行为库中的内容，每个节点上带有若干相关的网络资源，这些资源可以作为节点的参数。有向图的边为规则库中定义的网络协议之间的推理过程，根据规则库中的定义，每个边都有AND或者OR的属性，用来标明节点之间进行推理关系。根据规则知识库进行建模的模型如图3-1所示：图3-2 网络协议规则的模型在图3-1表述的模型中，通过规则将行为与资源建立

28、包含关系，将行为与行为之间建立推理关系，我们用OR来表示行为之间存在的OR关系，AND来表示行为之间存在的AND关系。我们用浅蓝色方形来表示网络协议中基本的网络行为，深蓝色方形来表示网络协议中的既定事实，即任何时候都默认成立。黑色方形来表述协议相关的攻击目标，而红色椭圆来表述该攻击目标能够造成的直接危害，这些危害是协议无关的。3.3. 攻击路径分析过程首先从网络协议进行总结和分析，提取出网络协议所涉及的资源，行为和危害；然后对这些知识进行细粒度的建模，形成攻击规则图，通过对模型的分析和推理，能够获取针对网络协议的攻击方式；再然后是进行逆向验证，把所有节点上的可选参数选择并组合，推理所有的攻击模

29、式，即对所有可能的攻击路径进行搜索，这样就有可能发现新的攻击路径或攻击模式，整个过程是一个迭代的过程，对新发现的攻击模式重新总结和建模，以完善规则知识库；最后当迭代过程完成以后，对分析得到的攻击模式进行形式化并建立缓和方案，将这些数据保存到安全知识库中并生成安全报告。具体的步骤是：1) 从网络协议中总结所涉及的资源，行为和危害。网络协议由于其功能不同而千差万别，网络攻击也因此而各式各样，但是许多攻击的思路是相似的，所采用的攻击方法是相近的，可以被抽取为数量较少的攻击模式，同样道理，由于网络协议所使用的资源、发出的动作和攻击造成的危害的类型数量有限，为我们对协议和攻击模式的建模提供了可能性。在本

30、论文中，由于时间原因，只分析了BGP协议，能够总结的内容有限，可能使得我们后面所做的推理的效果不是很好，如果能够分析网络中的多数协议，推理的结果应该能够得到很多的提升。2) 对规则知识库建模，根据规则知识库中的规则，将网络资源，行为，危害等信息进行组合进行细粒度的建模，主要的工作是形成攻击规则图，在图3-1中行为是图中的节点，资源作为可选参数加入到行为中。建模后的规则图可以理解为多个攻击模式的抽象，图中的参数确定的路径都是潜在的攻击模式。抽取的规则和分析过的行为、行为被存储到规则知识库当中，作为推理步骤的支持。3) 逆向验证，完善知识库。攻击规则图中许多行为在不同的资源条件下会有不同的效果，由

31、于行为对应节点和资源对应参数，所以对图中所有节点的可选参数依次选择，它们的组合就是所有的潜在的攻击的可能。我们用自动推理的方式对所有的攻击可能进行搜索。对于新发现的攻击模式，使用迭代的方式对其重新总结，建模和推理。这样就使得所建立的规则知识库更加完善，增强了其推理能力。4) 攻击模式形式化。迭代过程完成以后，即不能再发现新的攻击模式，就可以认为已经利用现有的知识发现了所有可能的攻击模式，并把攻击模式进行形式化表示。3.4. 针对BGP的建模和攻击分析案例BGP（Border Gateway Protocol）是一种自治系统间的动态路由发现协议，它的基本功能是在自治系统间自动交换无环路的路由信息

32、，通过交换带有自治系统号（AS）序列属性的路径可达信息，来构造自治区域的拓扑图，从而消除路由环路并实施用户配置的路由策略。与OSPF和RIP 等在自治区域内部运行的协议对应，BGP是一类EGP（Exterior Gateway Protocol）协议，而OSPF和RIP等为IGP（Interior Gateway Protocol）协议。BGP协议经常用于ISP之间。通过对网络协议RFC文档的阅读与分析，需要得出它的资源表、行为表、危害表，并且总结出规则表。经过对BGP有关文档的分析与总结，得出了相关的协议内容。3.4.1. BGP协议资源分析BGP中，基本资源见表3-3，主要包括：网络环境，

33、即协议所处的环境；网络信息包，即协议传递信息包的统称；网关IP，客户端IP地址，指的是相关路由器的IP地址；MAC地址，相关主机的MAC地址；中央处理器，是相关主机的CPU；路由，即协议之间交换的路由；网络带宽，协议通信的带宽；BGP报文，该协议所传递的报文，有四种：OPEN、UPDATE、KEEPALIVENOTIFICATION；UPDATE报文中路由属性、网络可达信息、撤销路由，这些是UPDATE报文中的内容，UPDATE是几种报文中最重要的报文，路由的增删改都是通过该报文，所以报文中的属性会影响路由的变化，这些属性也将作为协议的基本资源，他们的变化对协议的行为有重要影响。表3-3 BG

34、P中网络资源表ID描述词汇1网络环境Environment2网络信息包Packet3网关IP，客户端IP地址IP4host的MAC地址MAC5host的中央处理器CPU6网络带宽bandwidth7BGP报文BGPBGP OPENBGP UPDATEBGP NOTIFICATIONBGP KEEPALIVE8Update报文中路由属性OriginNext_hopAS_PATHMED （Multi-Exit-Discriminators）Local-Preference9Update报文中网络可达信息NLRI10UPDATE报文中撤销路由Withdrawn routes11路由Route3.4.

35、2. BGP协议行为分析BGP所涉及的行为见表3-4，其中参数指的是该行为可能包括的资源，主要包括：不可靠的资源或环境：是指协议所处的环境不安全、不可靠，肯那个导致报文不安全。生成报文：指发送发对报文生成报文并进行封装，待发送。安全验证：对传递的报文进行验证。虚假信息：指的是一个虚假动作，可能包括虚假包，也可能有虚假路由，虚假的资源接收报文：接收所发来的报文报文过滤：对所发来的报文进行过滤资源耗尽：指主机的内存或CPU资源耗尽拒绝服务：是一种造成攻击的行为发送报文：发送端发送报文连接冲突：当两边同时建立TCP连接的时候会出现连接冲突TCP连接成功：双方主机成功建立连接产生回路：收到UPDATE

36、的AS号产生回路删除可用路由：在UPDATE有要删除的路由，但是有些路由可用有的不可用。关闭连接并释放资源，删除路由：当连接被关闭后，所有的资源会被释放，双方所交换的路由也将会被删除。选择错误路由：当UPDATE报文有粗的时候，会影响路由的选择结果，选择根本不能到达的路由选择费最有路由：当报文有误的时候，可能性选择的路由并非最优表3-4 BGP中网络行为表ID描述词汇参数1不可靠的资源或环境UntrustworthyEnvironment | packet | IP | MAC2生成报文EncapsulatePacketPACKET3安全验证Authenticatepacket4虚假信息Fak

37、ePacket，route5接收报文ReceivePacketBGP,CPU | bandwidth6报文的过滤FilterPacket7资源耗尽ExhaustCPU | bandwidth8拒绝服务DOSNull9确定终端身份Identiypacket10发送报文SendPacketBGP11连接冲突ConCollisionNull12TCP连接成功TcpConnectedNull13产生回路LoopNull14删除可用路由DeleteRouteNull15关闭连接并释放资源，删除路由ReleaseNull16选择错误路由ChooseFaultRouteNull17选择非最优路由Choose

38、WorseRouteNull3.4.3. BGP协议危害与行为规则分析在BGP行为中，有部分属于攻击目标，攻击目标就是可以直接导致攻击危害的行为，其中包括：选择错误路由，选择非最优路由，资源耗尽，连接冲突，产生回路，删除可用路由，关闭连接释放资源。攻击目标可能产生的危害见表3-5：表3-5 BGP中攻击危害表ID攻击目标攻击危害1ChooseFaultRoute网络中断数据包丢失数据包被修改数据包被窃取网络拥塞2ChooseWorseRoute网络拥塞网络延迟3Exhaust网络拥塞终端崩溃4ConCollision网络中断5Loop网络拥塞网络中断6DeleteRoute网络中断7Relea

39、se网络中断资源表、行为表以及危害表是BGP协议中的基本元素，在此基础上，需要将这三部分进行组合建模，表3-6是分析后的行为之间推导规则：表3-6 BGP中行为规则表ID触发条件及关系结果参数1ReceivePackageTrueExhaustBandwidth CPUFilterFalse2Untrustyworthy TrueUntrustworthyPacketEncapsulate True3ReceivePackageTrueUntrustworthyPacketAuthenticateFalseUntrustyworthyTrue4UntrustworthyTrueUntrustw

40、orthyPacket,BGP,Origin,Next_hop,AS_PATH,MED,Local-Preference,NLRI,Withdrawn routesContainTrue5UntrustyworthyTrueFakePacket,BGP,Origin,Next_hop,AS_PATH,MED,Local-Preference,NLRI,Withdrawn routes6FakeTrueConCollisionBGP OpenTcpConnectedTrue7FakeTrueLoopAS_PATH8FakeTrueDeleteRouteWithdrawn routes9FakeT

41、rueReleasePacket10FakeTrueChooseWorseRouteOrigin，AS_PATH，Next_hop，MED，Local-Preference,NLRI11FakeTrueChooseFaultRouteNext_hop，NLRI3.4.4. 规则图以及攻击路径分析在前面的基础上，我们将资源、行为、以及危害结合规则得出该协议的规则图：图3-7 BGP攻击发现和分析规则图 通过以上规则图的分析和处理，我们可以得到以下攻击方法：图3-7 攻击方法1如上图所示，攻击者如果可以拦截到传递中的包，则会对截获的包进行修改。这样在接收端如过收到相应的报文，其中的某些参数被修改，

42、最终导致危害。攻击步骤主要有：1) 攻击者截获相应的报文2) 修改报文的一些参数3) 然后接收端收到相应的报文如果修改的是UPDATE报文中的 withdrawn routes域，此时接收方收到后，会对该域中的路由删除，这样可能会导致删除正确的路由，最终会网络中断。图3-7 攻击方法2如上图所示，BGP工作过程中，通常双方主机端没有相应的认证机制，如果一方收到的报文没有经过验证，那么所得到的报文就是不可靠的，接收到的包中所包含的BGP报文（四种报文）就是不可靠的，可能被修改过，也可能是虚假报文。其攻击步骤主要是;1) 攻击者伪造BGP报文2) 修改其中的网络参数3) 另一端接收到该报文若此时另

43、一端收到了非预期的报文，此时接收端会断开双方的TCP连接，释放所有的BGP资源，删除相关的路由，最终会导致这些正确的路由不可用，结果会导致网络中断或者网络拥塞。由于在各个节点中有许多的参数，我们通过以上的两种规则图还可以找到许多攻击方法，这里只列出其中的两个。3.4.5. 攻击路径的规范描述经过分析后，我们得到了资源表、行为表、危害表、规则表以及规则图，规则图中有很多攻击路径，按照上节描述的方法，我们一个发现28条攻击路径，我们需要对其进行形式化描述，以便计算机可以识别。下面列出5条示例路径。1.Encapsulate(Packet)true;Untrustworthy(Environment

44、)true;-Untrustworthy(Packet)Untrustworthy(Packet)true;Contain(BGP OPEN)true;-Untrustworthy(BGP OPEN)Untrustworthy(BGP OPEN)true;-Fake(BGP OPEN)TcpConnected(null)true;Fake(BGP OPEN)true;-ConCollision(null)详细描述：在不安全的环境下生成报文，若此报文包含BGP OPEN，则会导致不可靠的、虚假的BGP OPEN报文，由于BGP OPEN会表示一条TCP的成功建立，若此时已经有一条正常TCP建立，

45、则会导致连接冲突。2.Encapsulate(Packet)true;Untrustworthy(Environment)true;-Untrustworthy(Packet)Untrustworthy(Packet)true;Contain(AS_PATH)true;-Untrustworthy(AS_PATH)Untrustworthy(AS_PATH)true;-Fake(AS_PATH)Fake(AS_PATH)true;-loop(null)详细描述：在不安全的环境下生成报文，若报文中含有UPDATE报文，则AS_PATH属性可能被修改，此时会导致虚假的AS_PATH属性，所以接收方会发现可能有回路。3Encapsulate(Packet)true;Untrustworthy(Environment)true;-Untrustworthy(Packet)Untrustworthy(Packet)true;Contain(Withdrawn routes)true;-Untrustworthy(Withdrawn routes)Untrustworthy(Withdrawn routes)true;-Fake(Withdrawn routes)Fake(Withdrawn routes)true;-DeleteRoute(null)