ＩＰｖ６局域網攻擊安全監測研究

摘要:首先對網絡檢測技術分類及局域網攻擊監測面臨的問題進行闡述，然后通過對IPv6， ICMPv6協議的研究對局域網攻擊進行剖析，使用預處理插件對兩種攻擊進行檢測及預警，分別對兩種攻擊實例進行策略分析及相應知識庫的編寫。

關鍵詞:IPv6;DosNewIP;Snort局域網;攻擊;監測

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6862-01

The Research on the Alert Detect of IPv6 LAN Attack

DING Zong-wei

(Quzhou Center for Urban and Rural Planning， Quzhou 324000， China)

Abstract: This paper first analyzed the detection of network attacks on the classification and monitoring of local area network to the problems faced， and then thought through the IPv6， ICMPv6 protocol study to analyze the attacks on the LAN， using of Snort plug-ins pre-treatment of two attacks on the detection and early warning were examples of two attack strategy analysis and the preparation of the corresponding knowledge base.

Key words: IPv6; LAN; attack monitoring

1 網絡檢測技術的分類

防御網絡攻擊的手段可以大致分為入侵檢測系統(IDS，Intrusion Detect system)，入侵防護系統(Intrusion protection system)以及統一威脅管理。

IDS的設計目的是探測攻擊和未授權的使用，并對攻擊采取一定措施予以制止。攻擊的檢測結果通常稱為安全事件。IDS按照功能可以分為三類，網絡IDS (NIDS)、主機IDS(HIDS)、分布式IDS(DIDS)。

NIDS通過監控主機監視整個局域網的流量來檢測攻擊的發生。監控主機將網卡設置為混雜模式，對流經的數據報進行嗅探，分析嗅探到的所有數據報，按照預定的規則和模式，產生安全事件(即對攻擊進行舉報)。

HIDS是指部署在受保護主機上的入侵檢測系統，只對本主機進行檢測。一般采取的手段有監控系統調用過程、檢查系統性能統計信息、檢查進程行為、檢查系統錯誤日志等，如LTT等工具就是一種HIDS。HIDS可以設定適合于本主機監控目的的規則。針對不同用途的主機設定不同的規則，使得HIDS與NIDS相比，規模更小，對機器的性能影響更小。

DIDS一般采用管理端(Controller)/探測器(Sensor)結構。Controller包括中央數據庫、分析控制模塊和通信模塊組成。中央數據庫管理各sensor采集的安全事件數據。分析控制模塊對中央數據庫的信息進行分析處理，給出結果，并依據用戶興趣產生新規則。

2 局域網攻擊檢測面臨的問題

因為網絡攻擊的最終目的是信息竊取和資源濫用，所以無償攻擊通常都是為了有償攻擊做準備的。無償攻擊就破壞性來看，不及有償攻擊。當網絡中出現少量的關于無償攻擊的安全事件警報，通常不能引起網管人員的足夠重視，網管人員對此常常采取的措施主要是監視記錄，如果在給定時間內無償攻擊不在發生，則不采取進一步手段，否則進行攻擊范圍的控制和縮小。如果無償攻擊的影響范圍不大，持續時間不長，就不會引起足夠的重視。而無償攻擊通常是有償攻擊的前奏，在無償攻擊發生之后，目標主機的網絡服務才會受限，為攻擊者進一步實施有償攻擊提供了前提條件。

因為無償攻擊的特征與鄰節點發現過程的正常報文區別較小，所以容易產生誤報，漏報等。攻擊的檢測依賴于檢測工具及所制定的規則。如果檢測工具過于敏感或者規則過于嚴格，從而容易產生誤報。如果規則過于寬松，則容易發生漏報。

3 策略分析

3.1 掃描攻擊的策略分析

掃描攻擊Alive6完成對局域網主機IP信息的探尋。就其本身而言，掃描攻擊只是一種無償攻擊。攻擊主機只能獲得局域網內所有主機的MAC地址和相應的IP地址，得知主機的狀態:在線或者離線，并不會對主機造成直接的損失。而Alive6攻擊卻可以通常是一系列攻擊的開始。比如，攻擊者通過Alive6確定攻擊目標，隨后進行漏洞掃描及相應的漏洞攻擊。攻擊主機在攻擊過程中，如果使用自身的IP地址進行攻擊，往往會留下攻擊痕跡，最終監控主機會利用這些痕跡追蹤攻擊主機。

3.2 掃描知識庫的編寫規則

Alive6攻擊對應的高級警報類型名為Alive6 Attack，沒有前提，實例產生后的后果集中有謂詞Attack。Attack與謂詞Venerable相關聯，并且Venerable是高級警報類型Exposure前提集中唯一的謂詞。Exposure警報的內容為因Alive6攻擊而曝光的主機鏈表。所以，當出現Alive6攻擊時，會產生相應的Alive6 Attack高級警報，Alive6 Attack會與出現的Exposure攻擊進行匹配。

3.3 阻止IP攻擊的策略分析

阻止IP攻擊DosNewIP對局域網內出現的DAD地址檢測報文進行應答，阻止局域網內新IP地址的使用。DosNewIP對普通主機造成了較大的危害，離線狀態的主機接入網絡，無法使用自身的IP地址，不能使用網絡服務。而攻擊主機只能依靠該攻擊獲知其他主機的IP地址。

進行DosNewIP的主機阻止其他主機使用網絡服務，也意味著攻擊主機獲得了被阻止主機訪問網絡服務的方式(IP地址)。下一步攻擊中，攻擊主機選取一個被阻止的IP地址，對其進行虛假的鄰節點宣告。在目標主機收到此宣告并更新鄰節點緩沖后，攻擊主機與向其發起連接，進行信息的盜取。

3.4 阻止IP攻擊知識庫的編寫規則

DosNewIP攻擊對應的高級警報類型名為DOSNEWIP，沒有前提集，實例產生的后果集中只有謂詞Deny。與Alive6中的定義類似，Deny與謂詞Denied相關聯，并且Denied是高級警報類型DENIEDIP前提集中唯一的謂詞。DENIEDIP的內容是被DosNewIP所阻止使用的IP地址。所以，當出現DosNewIP攻擊時，會產生相應的DOSNEWIP高級警報，同時與出現的DENIEDIP攻擊進行匹配。

參考文獻:

[1] Snapp S R，Smaha S E，Teal D M，et al.The DIDS(distributed intrusion detection system) prototype[C].USENIX Association.Proc of the Summer 1992 USENIX Confl Berkeley，CA，USA :USENIX Association，1992:227-233.

[2] Spafford E，Zamboni D.A framework and prototype for distributed intrusion detection system[R].COAST Laboratory，Purdue University，COAST Technical Report 98/06，1998.

[3] Spafford E，Zamboni D.New directions for the AAFID architecture[D].Center for Education and Research in Information Assurance and Security，Purdue University，West Lafayette，47907-1398.