一种电力MPLSVPN网络的安全攻击测试系统及测试方法与流程

本发明涉及一种实验室数据通信领域的测试技术，具体涉及一种电力mplsvpn网络的安全攻击测试系统及测试方法。

背景技术：

mplsvpn是一种基于mpls技术的ipvpn，同时结合了ip网络和atm网络的优点，在网络路由和交换设备上应用mpls技术，通过标记交换实现ip虚拟专用网络，简单高效。

目前，越来越多的企业开始使用mplsvpn技术来组建自己的vpn专线网络。随着电力系统网络通信技术的发展，电力调度数据网、配网数据传输网的业务需求范围和区域逐渐扩展，需要安全可靠的vpn专线网络支撑。mplsvpn作为最基础的通信vpn专线技术，在电力数据通信网中被广泛部署。

mplsvpn使用bgp协议扩展技术，将用户的ipv4地址映射为唯一的vpn-ipv4nrli，通过扩展的bgp属性，pe路由器可控制不同vpn路由的路径转发，并通过独立的vpn转发表项来实现网络中不同vpn业务的逻辑隔离。目前的电力系统mpls测试方法主要是针对mplsvpn的业务功能、性能规格进行验证。但网络系统在伪造流量和协议的攻击下，是否能够保证vpn业务的安全可靠隔离，目前还没有一套系统完整的测试验证方法。

技术实现要素：

目的：为了克服现有技术中存在的不足，本发明提供一种电力mplsvpn网络的安全攻击测试系统及测试方法，在数据加密和数据透传两种组网环境下，分别验证转发面流量攻击、控制面信令攻击及整机异常报文攻击三种攻击策略对电力系统vpn逻辑隔离安全可靠性的影响，测试过程简洁，并且对于测试仪器的资源容量和性能要求不高。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

一种电力mplsvpn网络的安全攻击测试系统，包括mplsvpn安全攻击组网环境，所述mplsvpn安全攻击组网环境由以下设备搭建而成，具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器rt1、第一汇聚路由器rt2、第二汇聚路由器rt3、接入路由器rt4，设备之间通过100m/1000m线路接口连接拓扑，提供测试基础物理环境；

所述核心路由器rt1、接入路由器rt4为主测节点，rt1连接测试仪的tc-port3、tc-port4接口，rt4连接测试仪的tc-port1、tc-port2接口；测试仪的tc-port1至tc-port4四个接口分别模拟调度数据网实时vpnce侧业务和非实时vpnce侧业务；配网主站和配网子站间为真实配网vpnce侧业务。

进一步地，所述核心路由器rt1、第一汇聚路由器rt2、第二汇聚路由器rt3、接入路由器rt4支持三层mplsvpn功能，并在公网侧互连接口配置mp-ibgp邻居协议；主测节点rt1、rt4在私网侧接口上分别配置三个vpn实例，分别是vpn-p、vpn-rt、vpn-nrt，所述三个vpn实例的routertarget属性分别为不同的值，且不同vpn实例的routertarget属性参数不存在交集。

进一步地，所述mplsvpn安全攻击组网环境内的加密网关，分别设置数据加密和数据透传两种工作方式。

一种电力mplsvpn网络的安全攻击测试方法，根据所述的测试系统搭建mplsvpn安全攻击组网环境，所述测试方法还包括攻击策略配置和攻击策略验证；所述攻击策略配置包括在已搭建的mplsvpn组网拓扑中构建转发面流量攻击报文、控制面信令攻击报文和整机异常攻击报文；所述攻击策略验证为通过观察实时、非实时、配网vpn业务流量和vpn路由信息，得出电力vpn业务逻辑隔离的安全性结果。

进一步地，具体包括如下步骤，

a)组建电力mplsvpn网络安全攻击测试的物理拓扑，包括两台主测节点设备和八台辅助测试节点设备，具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器rt1、第一汇聚路由器rt2、第二汇聚路由器rt3、接入路由器rt4，通过100m/1000m线路接口连接拓扑；

b)主测节点rt1、rt4设备配置三个vpn实例，分别是vpn-p、vpn-rt、vpn-nrt；rt1、rt4接口ⅰ下连配网业务，绑定vpn-p实例；rt1、rt4接口ⅱ分别下连测试仪tc-port1、tc-port3模拟的实时vpn业务，绑定vpn-rt实例；rt1、rt4接口ⅲ分别下连测试仪tc-port2、tc-port4模拟的非实时vpn业务，绑定vpn-rt实例；

c)节点rt1、rt2、rt3、rt4配置本地loopback接口及ip地址；节点rt1分别与rt2、rt3直连接口建立ospf邻居，rt2分别与rt1、rt3、rt4直连接口建立ospf邻居，rt3分别与rt1、rt2直连接口建立ospf邻居，rt4与rt2直连接口建立ospf邻居；在rt1、rt2、rt3、rt4ospf邻居下通告本地loopback接口地址，等待ospf邻居up后，在设备上查看ospf路由表信息，观察是否有到其他三台路由器loopback接口地址的路由；

d)节点rt1、rt2、rt3、rt4设备全局使能mpls标签转发功能，同时在互连公网侧接口下使能ldp协议，通过loopback接口两两建立mpls-ibgp邻居，并在bgp配置下导入所有私网路由；

e)检查节点rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态、标签及路由信息；

f)配网主站和配网子站建立通信连接，配置配网vpn业务；测试仪tc-port1构建调度数据网实时vpn业务，业务流量的目的ip为测试仪tc-port3口ip；测试仪tc-port2构建调度数据网非实时vpn业务，业务流量的目的ip为测试仪tc-port4口ip；测试仪tc-port3构建调度数据网实时vpn业务，业务流量的目的ip为测试仪tc-port1口ip；测试仪tc-port4构建调度数据网非实时vpn业务，业务流量的目的ip为测试仪tc-port2口ip；

g)检查测试仪、配网主站、配网子站上vpn-rt、vpn-nrt及vpn-p业务的连通性和跨vpn业务的隔离性；

h)在节点rt1、rt4公网侧接口ⅳ配置端口镜像，捕获真实的mpls业务流量及信令报文，构造不同类型的转发面流量攻击报文和控制面信令攻击报文；其中，所述转发面流量攻击报文包括mpls业务流量回放报文和mpls业务流量伪造报文；所述控制面信令攻击报文为mpls信令伪造报文；

i)停止测试仪、配网的正常vpn业务流量，在rt1、rt4的任意空配置接口下，灌入mpls业务流量回放报文，观察测试仪接口、配网主站、配网子站是否有回放的vpn业务流量进入，根据业务查询结果确定是否结束测试；

j)在rt1、rt4的任意空配置接口下，灌入mpls业务流量伪造报文，观察测试仪、配网主站、配网子站是否有伪造的vpn业务流量进入，根据业务查询结果确定是否结束测试；

k)开启测试仪、配网的正常vpn业务流量，在rt1、rt2、rt3、rt4的公网侧接口下，灌入mpls信令伪造报文；观察rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态是否出现震荡或断链；检查bgpvpnv4路由信息是否因此受到影响而出现下一跳被篡改；查看测试仪、配网侧的不同vpn业务流量是否逻辑穿透，根据业务查询结果确定是否结束测试；

l)在rt1、rt2、rt3、rt4的公网侧接口下，灌入整机异常攻击报文；观察rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态是否出现震荡或断链；查看测试仪、配网侧的不同vpn业务流量是否逻辑穿透，根据业务查询结果确定是否结束测试。

进一步地，步骤h)中，对捕获到的mpls业务流量进行配置，选择性修改标签值、五元组、数据内容，构造不同类型的mpls业务流量伪造报文；所述五元组包括源ip、目的ip、源端口、目的端口和协议号。

进一步地，步骤h)中，对捕获到的mpls信令报文进行配置，选择性修改bgp信令中的update路由更新报文routerdistinguish、mpreachnlriipv4prefix字段的值，构造不同类型的mpls信令伪造报文。

进一步地，所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。

进一步地，所述畸形攻击报文包括以下三种类型：1）带有攻击目的的ip报文，使得目标系统在处理这样的ip报文时出错、崩溃；2）用来干扰正常网络连接或探测网络结构的正常报文，给目标系统带来损失；3）大量无用报文，占用设备资源，造成拒绝服务供给。

进一步地，所述泛洪攻击是指在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息。

进一步地，步骤i)中，若测试仪接口tc-port1至tc-port4、配网主站、配网子站均无回放的vpn业务流量进入，测试继续；否则，则测试失败，结束测试。

进一步地，步骤j）中，若测试仪接口tc-port1至tc-port4、配网主站、配网子站均无伪造的vpn业务流量进入，测试继续；否则，则测试失败，结束测试。

进一步地，步骤k)中，若节点rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态保持up，bgpvpnv4路由信息与攻击前一致，下一跳不变，测试仪、配网侧的不同vpn业务（vpn-p、vpn-rt、vpn-nrt）流量隔离，测试继续；否则，测试失败，结束测试。

进一步地，步骤l)中，若节点rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态保持up，测试仪、配网侧的不同vpn业务（vpn-p、vpn-rt、vpn-nrt）流量隔离，测试成功，结束测试；否则，测试失败，结束测试。

有益效果：本发明提供的电力mplsvpn网络的安全攻击测试系统及测试方法，通过实验室验证，可准确鉴证电力mplsvpn网络的安全可靠性，是一种有效的检验方法，填补了目前相关项目测试方法缺乏的现状。该测试方法通过转发面流量攻击、控制面信令攻击及整机异常报文攻击三种攻击策略，可验证电力mpls网络数据加密及透传模式下三层vpn逻辑隔离的安全性。

附图说明

图1为本发明的测试系统一个实施例的业务拓扑连接示意图；

图2为本发明的测试方法一个实施例的逻辑功能结构示意图；

图3为本发明的测试方法一个实施例的流程图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

一种电力mplsvpn网络的安全攻击测试系统，包括mplsvpn安全攻击组网环境，所述mplsvpn安全攻击组网环境由以下设备搭建而成，具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器rt1、第一汇聚路由器rt2、第二汇聚路由器rt3、接入路由器rt4，设备之间通过100m/1000m线路接口连接拓扑，提供测试基础物理环境，如图1所示。

所述核心路由器rt1、接入路由器rt4为主测节点，rt1连接测试仪的tc-port3、tc-port4接口，rt4连接测试仪的tc-port1、tc-port2接口；测试仪的tc-port1至tc-port4四个接口分别模拟调度数据网实时vpnce侧业务和非实时vpnce侧业务；配网主站和配网子站间为真实配网vpnce侧业务。

所述核心路由器rt1、第一汇聚路由器rt2、第二汇聚路由器rt3、接入路由器rt4支持三层mplsvpn功能，并在公网侧互连接口配置mp-ibgp邻居协议；主测节点rt1、rt4在私网侧接口上分别配置三个vpn实例，分别是vpn-p、vpn-rt、vpn-nrt，所述三个vpn实例的routertarget属性分别为不同的值，且不同vpn实例的routertarget属性参数不存在交集。

所述mplsvpn安全攻击组网环境内的加密网关，分别设置数据加密和数据透传两种工作方式。

一种电力mplsvpn网络的安全攻击测试方法，根据前述测试系统搭建mplsvpn安全攻击组网环境，所述测试方法还包括攻击策略配置和攻击策略验证，如图2所示；所述攻击策略配置包括在已搭建的mplsvpn组网拓扑中构建转发面流量攻击报文、控制面信令攻击报文和整机异常攻击报文；所述攻击策略验证为通过观察实时、非实时、配网vpn业务流量和vpn路由信息，得出电力vpn业务逻辑隔离的安全性结果。

一种电力mplsvpn网络的安全攻击测试方法，具体包括如下步骤，流程如图3所示：

a)组建电力mplsvpn网络安全攻击测试的物理拓扑，包括两台主测节点设备和八台辅助测试节点设备，具体为配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器rt1、第一汇聚路由器rt2、第二汇聚路由器rt3、接入路由器rt4，通过100m/1000m线路接口连接拓扑；

b)主测节点rt1、rt4设备配置三个vpn实例，分别是vpn-p、vpn-rt、vpn-nrt；rt1、rt4接口ⅰ下连配网业务，绑定vpn-p实例；rt1、rt4接口ⅱ分别下连测试仪tc-port1、tc-port3模拟的实时vpn业务，绑定vpn-rt实例；rt1、rt4接口ⅲ分别下连测试仪tc-port2、tc-port4模拟的非实时vpn业务，绑定vpn-rt实例；

c)节点rt1、rt2、rt3、rt4配置本地loopback接口及ip地址；节点rt1分别与rt2、rt3直连接口建立ospf邻居，rt2分别与rt1、rt3、rt4直连接口建立ospf邻居，rt3分别与rt1、rt2直连接口建立ospf邻居，rt4与rt2直连接口建立ospf邻居；在rt1、rt2、rt3、rt4ospf邻居下通告本地loopback接口地址，等待ospf邻居up后，在设备上查看ospf路由表信息，观察是否有到其他三台路由器loopback接口地址的路由；

d)节点rt1、rt2、rt3、rt4设备全局使能mpls标签转发功能，同时在互连公网侧接口下使能ldp协议，通过loopback接口两两建立mpls-ibgp邻居，并在bgp配置下导入所有私网路由；

e)检查节点rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态、标签及路由信息；

f)配网主站和配网子站建立通信连接，配置配网vpn业务；测试仪tc-port1构建调度数据网实时vpn业务，业务流量的目的ip为测试仪tc-port3口ip；测试仪tc-port2构建调度数据网非实时vpn业务，业务流量的目的ip为测试仪tc-port4口ip；测试仪tc-port3构建调度数据网实时vpn业务，业务流量的目的ip为测试仪tc-port1口ip；测试仪tc-port4构建调度数据网非实时vpn业务，业务流量的目的ip为测试仪tc-port2口ip；

g)检查测试仪、配网主站、配网子站上vpn-rt、vpn-nrt及vpn-p业务的连通性和跨vpn业务的隔离性；

h)在节点rt1、rt4公网侧接口ⅳ配置端口镜像，捕获真实的mpls业务流量及信令报文，构造不同类型的转发面流量攻击报文和控制面信令攻击报文；其中，所述转发面流量攻击报文包括mpls业务流量回放报文和mpls业务流量伪造报文；所述控制面信令攻击报文为mpls信令伪造报文；

所述mpls业务流量回放报文是指节点rt1、rt4公网侧接口ⅳ镜像的业务流量。

具体地，对捕获到的mpls业务流量进行配置，选择性修改标签值、五元组、数据内容，构造不同类型的mpls业务流量伪造报文；所述五元组包括源ip、目的ip、源端口、目的端口和协议号。

对捕获到的mpls信令报文进行配置，选择性修改bgp信令中的update路由更新报文routerdistinguish、mpreachnlriipv4prefix字段的值，构造不同类型的mpls信令伪造报文。

i)停止测试仪、配网的正常vpn业务流量，在rt1、rt4的任意空配置接口下，灌入mpls业务流量回放报文，观察测试仪接口、配网主站、配网子站是否有回放的vpn业务流量进入，所述vpn业务流量即mpls流量标签弹出后的ipv4业务流量；若测试仪接口tc-port1至tc-port4、配网主站、配网子站均无伪造的vpn业务流量进入，测试继续；否则，则测试失败，结束测试。

j)在rt1、rt4的任意空配置接口下，灌入mpls业务流量伪造报文，观察测试仪、配网主站、配网子站是否有伪造的vpn业务流量进入；若测试仪接口tc-port1至tc-port4、配网主站、配网子站均无伪造的vpn业务流量进入，测试继续；否则，则测试失败，结束测试。

k)开启测试仪、配网的正常vpn业务流量，在rt1、rt2、rt3、rt4的公网侧接口下，灌入mpls信令伪造报文；观察rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态是否出现震荡或断链；检查bgpvpnv4路由信息是否因此受到影响而出现下一跳被篡改；查看测试仪、配网侧的不同vpn业务流量是否逻辑穿透；若节点rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态保持up，bgpvpnv4路由信息与攻击前一致，下一跳不变，测试仪、配网侧的不同vpn业务（vpn-p、vpn-rt、vpn-nrt）流量隔离，测试继续；否则，测试失败，结束测试。

l)在rt1、rt2、rt3、rt4的公网侧接口下，灌入整机异常攻击报文；所述整机异常攻击报文包括畸形攻击报文和泛洪攻击报文。

所述畸形攻击报文包括以下三种类型：1）带有攻击目的的ip报文，如分片重叠的ip报文、tcp标志位非法的报文，使得目标系统在处理这样的ip报文时出错、崩溃；2）用来干扰正常网络连接或探测网络结构的正常报文，如icmp报文、特殊类型的ipoption报文，给目标系统带来损失；3）大量无用报文，占用设备资源，造成拒绝服务供给，如udpfraggle、land攻击等。

泛洪攻击是指在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，如tcpflood攻击、udpflood攻击、httpflood攻击、icmpflood攻击等。

观察rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态是否出现震荡或断链；查看测试仪、配网侧的不同vpn业务流量是否逻辑穿透；若节点rt1、rt2、rt3、rt4的ospf、ldp、bgp邻居状态保持up，测试仪、配网侧的不同vpn业务（vpn-p、vpn-rt、vpn-nrt）流量隔离，测试成功，结束测试；否则，测试失败，结束测试。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。