Ｉｐｖ６局域網(wǎng)攻擊安全檢測(cè)研究

郭　宇

[摘 要]對(duì)IPv6局域網(wǎng)攻擊的原理、IPV6局域網(wǎng)鄰居發(fā)現(xiàn)協(xié)議進(jìn)行闡述，分析IPv6局域網(wǎng)攻擊檢測(cè)策略，設(shè)計(jì)掃描攻擊檢測(cè)的實(shí)現(xiàn)方法。

[關(guān)鍵詞]IPv6 局域網(wǎng) 攻擊 檢測(cè)

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2009）0720039－01

一、局域網(wǎng)攻擊原理

局域網(wǎng)攻擊的基本原理是擾亂鄰節(jié)點(diǎn)發(fā)現(xiàn)各過程次序。攻擊主機(jī)要對(duì)網(wǎng)絡(luò)流量進(jìn)行偵聽，通過對(duì)數(shù)據(jù)報(bào)的分析，來獲知其他主機(jī)狀態(tài)及鄰節(jié)點(diǎn)發(fā)現(xiàn)過程的階段，進(jìn)而發(fā)出包含指定信息的數(shù)據(jù)報(bào)，來擾亂鄰節(jié)點(diǎn)發(fā)現(xiàn)過程的進(jìn)行。甚至，攻擊主機(jī)主動(dòng)發(fā)出請(qǐng)求報(bào)文，誤導(dǎo)其他主機(jī)對(duì)某目標(biāo)主機(jī)進(jìn)行應(yīng)答而導(dǎo)致目標(biāo)主機(jī)的癱瘓，或者偽裝路由器，發(fā)送公告報(bào)文，誤導(dǎo)主機(jī)使用攻擊主機(jī)當(dāng)作路由器進(jìn)行轉(zhuǎn)發(fā)等等。

局域網(wǎng)攻擊的范圍主要局限在本鏈路內(nèi)，但破壞力極大，尤其當(dāng)前接入網(wǎng)的主要形式是以太網(wǎng)，多主機(jī)共用一條物理鏈路，局域網(wǎng)攻擊一旦發(fā)起，將會(huì)威脅所有主機(jī)的信息安全及正常通信。

二、IPV6局域網(wǎng)鄰居發(fā)現(xiàn)協(xié)議（ND）

主機(jī)與外界連接成功后，使用鄰節(jié)點(diǎn)發(fā)現(xiàn)協(xié)議來確定鄰節(jié)點(diǎn)的可達(dá)性及路由器的可用性，并在路由器不可用時(shí)，尋找新的候選。所以，從功能上看，鄰節(jié)點(diǎn)發(fā)現(xiàn)協(xié)議可以按功能分為幾個(gè)部分，地址解析，鄰節(jié)點(diǎn)不可到達(dá)檢測(cè)，重復(fù)地址檢測(cè)，路由器發(fā)現(xiàn)和重定向等功能。

這些功能通過使用ICMPv6協(xié)議定義的不同報(bào)文進(jìn)行消息的交互與確定。報(bào)文包括路由器公告報(bào)文（Router Advertisement 簡(jiǎn)稱RA），路由器請(qǐng)求報(bào)文（Router solieitation 簡(jiǎn)稱Rs），鄰節(jié)點(diǎn)請(qǐng)求報(bào)文（Neighbor Solieitation 簡(jiǎn)稱NS），鄰節(jié)點(diǎn)公告報(bào)文（Neighbor Advertisement 簡(jiǎn)稱NA）及重定向報(bào)文（Redireet）。

（一）鄰節(jié)點(diǎn)地址解析

如果報(bào)文源地址（即發(fā)出RS主機(jī)的IP地址）是非未確定地址（0:0），則目標(biāo)主機(jī)根據(jù)報(bào)文中的源地址對(duì)鄰節(jié)點(diǎn)緩存（Neighbor Cache）進(jìn)行創(chuàng)建或者更新。然后，發(fā)送一個(gè)鄰節(jié)點(diǎn)公告NA對(duì)該請(qǐng)求進(jìn)行回應(yīng)，該NA消息中包含目標(biāo)鏈路層地址選項(xiàng)。當(dāng)請(qǐng)求主機(jī)接收到來自目標(biāo)主機(jī)的NA消息后，使用其提供的目標(biāo)鏈路層地址選項(xiàng)中的信息，對(duì)鄰節(jié)點(diǎn)高速緩存進(jìn)行項(xiàng)的創(chuàng)建及更新。

在地址解析的過程中，請(qǐng)求主機(jī)與目標(biāo)主機(jī)間通過NS及NA消息進(jìn)行交互。其成功的前提是其他主機(jī)遵守協(xié)議的規(guī)則，對(duì)目標(biāo)地址為不是自身接口地址的請(qǐng)求報(bào)文進(jìn)行回應(yīng)。當(dāng)網(wǎng)絡(luò)中的某個(gè)主機(jī)不遵守協(xié)議，擅自進(jìn)行應(yīng)答時(shí)，地址解析的后果將不可預(yù)測(cè)，甚至出現(xiàn)異常。

（二）重復(fù)地址檢測(cè)

主機(jī)連接到網(wǎng)絡(luò)，使用無狀態(tài)自動(dòng)配置或者靜態(tài)設(shè)置進(jìn)行IP地址的配置。IP地址首先要經(jīng)過重復(fù)地址檢測(cè)，確保鏈路上沒有其他主機(jī)使用，該IP才一能被成功設(shè)置。重復(fù)地址的檢測(cè)過程與地址解析比較相似。所不同的是，地址解析的目的是獲取目標(biāo)主機(jī)的MAC地址，重復(fù)地址檢測(cè)是為了確認(rèn)護(hù)地址在鏈路上的唯一性。假如已經(jīng)有主機(jī)設(shè)置該丁（稱為目標(biāo)主機(jī)），那么目標(biāo)主機(jī)就會(huì)廣播一個(gè)鄰節(jié)點(diǎn)公告報(bào)文NA，使用目標(biāo)鏈路層選項(xiàng)來說明自己的IP地址及MAC地址。重復(fù)地址檢測(cè)合理性的前提是鏈路上的其他主機(jī)不響應(yīng)檢測(cè)自己伊的NS請(qǐng)求。如果某主機(jī)假冒IP對(duì)其他主機(jī)的重復(fù)地址檢測(cè)請(qǐng)求報(bào)文進(jìn)行響應(yīng)，就會(huì)影響其他主機(jī)的網(wǎng)絡(luò)服務(wù)，導(dǎo)致其他主機(jī)無法正常獲得IP。

三、攻擊檢測(cè)與策略分析

（一）阻止IP攻擊的檢測(cè)分析

根據(jù)DosNewIP的攻擊原理，攻擊主機(jī)應(yīng)答局域網(wǎng)出現(xiàn)的所有DAD檢測(cè)報(bào)文，即使該檢測(cè)地址并未被攻擊主機(jī)使用。一般的檢測(cè)思路是對(duì)捕獲的數(shù)據(jù)報(bào)進(jìn)行特征分析，如果特征匹配成功，則檢測(cè)到該攻擊。DosNewIP的攻擊特征是一個(gè)DAD檢測(cè)的應(yīng)答報(bào)文，假如單純從報(bào)文來進(jìn)行特征的匹配，會(huì)造成誤報(bào)和漏報(bào)。比如，通過事先對(duì)DosNewIP代碼的分析，使用應(yīng)答報(bào)文中的MAC地址等字段作為特征進(jìn)行攻擊識(shí)別，在攻擊者修改源代碼并使用其他MAC地址后，Snort就無法檢測(cè)新的DosNew正攻擊。所以，使用這類手段進(jìn)行檢測(cè)，會(huì)導(dǎo)致漏報(bào)率的升高。被動(dòng)等待攻擊報(bào)文的出現(xiàn)，并進(jìn)行特征匹配的方法，無法保證對(duì)DosNewIP攻擊的有效檢測(cè)。只能采取其他手段利用DosNewIP攻擊的特性進(jìn)行檢測(cè)。攻擊主機(jī)開啟DosNewIP攻擊后，會(huì)對(duì)局域網(wǎng)內(nèi)所有的DAD檢測(cè)報(bào)文進(jìn)行應(yīng)答，以阻止新IP地址的使用。進(jìn)行攻擊檢測(cè)的前提是，部署Snort的監(jiān)控主機(jī)不能受到DosNewIP攻擊的影響。如果前提無法滿足，那么監(jiān)控主機(jī)無法使用網(wǎng)絡(luò)，更談不上網(wǎng)絡(luò)監(jiān)控。所以必須保證監(jiān)控主機(jī)的存在早于攻擊行為的產(chǎn)生。

（二）阻止IP攻擊的檢測(cè)實(shí)現(xiàn)

1．總體設(shè)計(jì)。DosNewIP的檢測(cè)模塊，包括三大模塊：檢測(cè)數(shù)據(jù)報(bào)的生成與發(fā)送、應(yīng)答報(bào)文的捕獲與解析、警報(bào)的產(chǎn)生與發(fā)布。檢測(cè)模塊首先按照鄰節(jié)點(diǎn)請(qǐng)求報(bào)文結(jié)構(gòu)構(gòu)造檢測(cè)數(shù)據(jù)報(bào)，然后進(jìn)行發(fā)送。其重點(diǎn)在于取得自身lP及報(bào)文格式的構(gòu)造。自身lP地址可以通過打開/proc/net/if_inet

6文件，并匹配相應(yīng)接口，如“eth0”，來完成。分析模塊完成對(duì)Snort傳入數(shù)據(jù)報(bào)的分析工作。檢查數(shù)據(jù)報(bào)是否是對(duì)監(jiān)控主機(jī)自身IP地址進(jìn)行的DAD應(yīng)答報(bào)文。預(yù)警模塊對(duì)上述的檢查結(jié)果進(jìn)行預(yù)警。

2．詳細(xì)設(shè)計(jì)。程序開始后首先進(jìn)行初始化工作：將標(biāo)志done置為NOTD，并生成用于存儲(chǔ)監(jiān)控主機(jī)護(hù)地址的ADDR變量和用于存放時(shí)間的變量ts。然后，程序分成兩個(gè)線程分別進(jìn)行操作。分線程獲得自身伊地址，并存儲(chǔ)到ADDR中，然后按照鄰節(jié)點(diǎn)請(qǐng)求報(bào)文的格式進(jìn)行誘餌數(shù)據(jù)報(bào)的構(gòu)造。如果標(biāo)志done此時(shí)為NOTD，表明預(yù)處理器不清楚網(wǎng)絡(luò)中是否存在DosNewIP攻擊。然后發(fā)送誘餌數(shù)據(jù)報(bào)，并睡眠一段時(shí)間，再進(jìn)行條件判斷部分。主線程進(jìn)行捕獲數(shù)據(jù)報(bào)的分析及報(bào)警工作。當(dāng)Snort捕獲到數(shù)據(jù)報(bào)后，主線程首先測(cè)試標(biāo)志done，如果值為NOTD，則檢查數(shù)據(jù)報(bào)，報(bào)文如果是DAD檢測(cè)的應(yīng)答報(bào)文，則提取數(shù)據(jù)報(bào)中的幾rgetIP選項(xiàng)，然后與ADDR相比較，相同則說明發(fā)現(xiàn)了DosNewIP攻擊，將標(biāo)志done置為DONE并記錄當(dāng)前時(shí)間到ts，然后產(chǎn)生警報(bào)。如果TargctIP與ADDR不匹配，說明該應(yīng)答報(bào)文是執(zhí)行正常的DAD檢測(cè)，不需對(duì)數(shù)據(jù)報(bào)進(jìn)行動(dòng)作。

標(biāo)志done為DONE時(shí)，說明己探測(cè)到DosNewIP攻擊。此時(shí)，局域網(wǎng)中如果有主機(jī)進(jìn)行DAD檢測(cè)，其IP地址都會(huì)被阻止使用。將來如果出現(xiàn)數(shù)據(jù)報(bào)使用這些地址作為源地址或者目的地址，那么很有可能攻擊主機(jī)使用這些護(hù)地址作為掩飾，向其他主機(jī)發(fā)送攻擊報(bào)文。所以，這些被阻止的IP地址需要被記錄。主線程中，當(dāng)done值為DONE時(shí)，如果捕獲到DAD檢測(cè)請(qǐng)求數(shù)據(jù)報(bào)，則提取其TargetIP，并進(jìn)行記錄及報(bào)警。

參考文獻(xiàn)：

[1]DE CASTRO L N,VON ZUBEN F J,The clonal selectionalgorithm with engineering applications[A].WorkshopProceedings of GECCO'00,Workshop on Artificial Immune Systems and their Applications[C].2000.

[2]Rolf Oppliger,Security at the Internet Layer,IEEE Computer,1998,43-47.