“Python+仿真平臺(tái)”IPv6地址管理安全實(shí)驗(yàn)技術(shù)

汪小琦，胡曦明,2*，李 鵬,2，馬 苗,2

(1.陜西師范大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院，陜西 西安 710119；2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710119)

0 引 言

在物聯(lián)網(wǎng)、云計(jì)算和人工智能等新一輪信息科技革命的熱潮中，個(gè)人上網(wǎng)加速向萬物互聯(lián)縱深推進(jìn)成為“互聯(lián)網(wǎng)+”戰(zhàn)略推動(dòng)新興產(chǎn)業(yè)轉(zhuǎn)型升級(jí)的標(biāo)志性和基礎(chǔ)性的重要驅(qū)動(dòng)力。然而，面對(duì)互聯(lián)網(wǎng)醫(yī)療、智能家居和智慧校園等新行業(yè)新場景催生的高密度、大規(guī)模端系統(tǒng)互聯(lián)需求，傳統(tǒng)IPv4地址體系在可分配地址空間不足、地址管理機(jī)制不完備和地址安全性保障缺失等關(guān)鍵技術(shù)性能方面存在制約性短板的問題日益凸顯。

IPv6作為全球公認(rèn)的下一代互聯(lián)網(wǎng)技術(shù)[1]，能夠以充足的網(wǎng)絡(luò)地址、先進(jìn)的管理機(jī)制和新穎的安全性保障為新一代信息技術(shù)發(fā)展提供廣闊的創(chuàng)新空間。相對(duì)于IPv4體系，IPv6地址管理技術(shù)既是最具代表性的革新與進(jìn)步，又是整個(gè)IPv6體系中最為基礎(chǔ)和關(guān)鍵的技術(shù)之一。面向未來物聯(lián)網(wǎng)、云計(jì)算、人工智能等新技術(shù)產(chǎn)生的巨大變革，IPv6地址管理在協(xié)議、機(jī)制等方面不可避免地將面臨新的安全性挑戰(zhàn)[2]。在進(jìn)一步深化產(chǎn)教融合，加強(qiáng)教育鏈與產(chǎn)業(yè)鏈有機(jī)銜接的背景下，該文聚焦IPv6網(wǎng)絡(luò)安全實(shí)驗(yàn)技術(shù)創(chuàng)新驅(qū)動(dòng)課程教學(xué)改革和人才培養(yǎng)高質(zhì)量發(fā)展，在分析IPv6地址管理協(xié)議的基礎(chǔ)上，針對(duì)當(dāng)前IPv6地址管理安全實(shí)驗(yàn)技術(shù)亟待發(fā)展的現(xiàn)實(shí)需求，提出了“Python+仿真平臺(tái)”的創(chuàng)新設(shè)計(jì)并在教學(xué)實(shí)踐中具體應(yīng)用。

1 IPv6地址管理原理

1.1 協(xié)議體系結(jié)構(gòu)

IPv6地址管理協(xié)議體系由兩部分組成，一部分是對(duì)IPv4地址管理方式的繼承，包括基于手動(dòng)分配的地址靜態(tài)配置與基于DHCPv6的有狀態(tài)地址自動(dòng)配置[3]；另一部分是新增的IPv6無狀態(tài)地址自動(dòng)配置SLAAC(stateless address auto configuration)方式。這樣的設(shè)計(jì)既能夠兼容原有IPv4地址體系[4]，又能夠讓IPv6地址分配和管理更加高效。

IPv6無狀態(tài)地址自動(dòng)配置是通過網(wǎng)絡(luò)層的鄰居發(fā)現(xiàn)協(xié)議NDP(neighbor discovery protocol)實(shí)現(xiàn)的，地址信息分配與管理基于四種類型的ICMPv6協(xié)議報(bào)文，分別是：路由請求報(bào)文RS(router solicitation)、鄰居請求報(bào)文NS(neighbor solicitation)、路由通告報(bào)文RA(router advertisement)、鄰居通告報(bào)文NA(neighbor advertisement)。NDP發(fā)現(xiàn)鏈路上彼此連接的鄰居節(jié)點(diǎn)和地址配置信息[5]，在實(shí)時(shí)維護(hù)與鄰居節(jié)點(diǎn)之間的鏈路可達(dá)性與可達(dá)路徑等鏈路狀態(tài)的基礎(chǔ)上，實(shí)現(xiàn)對(duì)鄰居節(jié)點(diǎn)的IPv6地址自動(dòng)分配與跟蹤管理。

1.2 地址管理機(jī)制

鄰居發(fā)現(xiàn)協(xié)議NDP實(shí)現(xiàn)了IPv6無狀態(tài)地址自動(dòng)配置機(jī)制[6]，機(jī)制分為用戶發(fā)送RS報(bào)文請求前綴和網(wǎng)關(guān)路由器周期性發(fā)送攜帶配置信息的RA報(bào)文兩種方式，具體報(bào)文交互過程如下：

①終端用戶根據(jù)一定規(guī)則生成臨時(shí)鏈路本地地址，并在局域網(wǎng)內(nèi)發(fā)送該地址的NS報(bào)文，進(jìn)行鏈路本地地址重復(fù)地址檢測DAD(duplicate address detection)。

②網(wǎng)關(guān)發(fā)送包含地址前綴等配置信息的RA報(bào)文，使終端用戶成功配置全球單播地址；如果終端用戶未接收到RA報(bào)文，可主動(dòng)發(fā)送RS報(bào)文，請求網(wǎng)關(guān)的RA報(bào)文配置全球單播地址。

③終端用戶發(fā)送包含全球單播地址的NS報(bào)文，進(jìn)行全球單播地址重復(fù)地址檢測。

此后，位于IPv6局域網(wǎng)鏈路上的終端用戶成功配置鏈路本地地址和全球單播地址兩類地址。從上述過程可以看到，鄰居發(fā)現(xiàn)協(xié)議NDP通過RS、NS、RA和NA報(bào)文自動(dòng)交互，實(shí)現(xiàn)了IPv6無狀態(tài)地址自動(dòng)配置，可極大地緩解地址配置過程中人工和服務(wù)器壓力，具有全自動(dòng)和即插即用等優(yōu)勢，非常有利于未來智能化應(yīng)用的發(fā)展，但DAD過程對(duì)移動(dòng)節(jié)點(diǎn)地址切換具有一定時(shí)延[7]。

2 基于“Python+仿真平臺(tái)”的實(shí)驗(yàn)技術(shù)

2.1 總體架構(gòu)

由于IPv6網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)備投入大、建設(shè)周期長，目前主要依賴仿真平臺(tái)開展IPv6實(shí)驗(yàn)教學(xué)。仿真平臺(tái)具有技術(shù)成熟、運(yùn)行穩(wěn)定和便于操作等優(yōu)勢，但在面向大規(guī)模學(xué)生群體的探究性實(shí)驗(yàn)中，仿真平臺(tái)往往表現(xiàn)出可開發(fā)性、可拓展性不足[8]，常局限于單一的攻擊和防御模式[9]。因此該文提出Python開發(fā)與仿真平臺(tái)融合的IPv6安全性實(shí)驗(yàn)新技術(shù)，如圖1所示，既可有效利用仿真平臺(tái)成熟、穩(wěn)定的優(yōu)勢，又可融入自主開發(fā)實(shí)驗(yàn)要素，滿足開展創(chuàng)新性、高階性和具有挑戰(zhàn)度的個(gè)性化探究實(shí)驗(yàn)。

圖1 “Python+仿真平臺(tái)”實(shí)驗(yàn)技術(shù)

(1)Python開發(fā)層。

開發(fā)層可向上為實(shí)驗(yàn)人員提供個(gè)性化、開放式的實(shí)驗(yàn)定制開發(fā)接口，向下通過輸入輸出接口與實(shí)驗(yàn)運(yùn)行模塊實(shí)現(xiàn)過程交互。

開發(fā)人員可通過Python內(nèi)置scapy模塊或自主編程等多種方式開發(fā)實(shí)驗(yàn)插件，實(shí)現(xiàn)探測、路由跟蹤等網(wǎng)絡(luò)行為，數(shù)據(jù)包組包發(fā)包等數(shù)據(jù)源對(duì)象以及控制邏輯等功能。

(2)實(shí)驗(yàn)運(yùn)行層。

仿真平臺(tái)可采用華為、華三等主流模擬器，用來實(shí)現(xiàn)路由器、交換機(jī)等設(shè)備的虛擬仿真[10]，為開發(fā)層提供支撐實(shí)驗(yàn)的基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)和仿真運(yùn)行環(huán)境。Python程序與仿真平臺(tái)既相互協(xié)同工作，又相對(duì)獨(dú)立，相互之間通過通道式的雙向接口進(jìn)行數(shù)據(jù)和控制的交互。

(3)測量分析層。

測量分析層通過數(shù)據(jù)接口實(shí)時(shí)接收實(shí)驗(yàn)運(yùn)行模塊輸出的實(shí)驗(yàn)數(shù)據(jù)，通過協(xié)議分析工具如Wireshark等實(shí)現(xiàn)對(duì)實(shí)驗(yàn)的過程性分析。

2.2 關(guān)鍵技術(shù)

如何基于Python實(shí)現(xiàn)可編程攻擊方，控制報(bào)文生成并發(fā)送到仿真平臺(tái)中與輸入仿真過程是“Python+仿真平臺(tái)”的關(guān)鍵，具體可分為四個(gè)部分。

(1)創(chuàng)建交互接口。

交互接口是一種通道式的雙向接口，連接著Python開發(fā)層與實(shí)驗(yàn)運(yùn)行層，負(fù)責(zé)Python程序與仿真軟件之間的運(yùn)行交互。通過本地主機(jī)搜尋并激活本地“環(huán)回適配器”后，仿真平臺(tái)創(chuàng)建“云對(duì)象”橋接本地環(huán)回網(wǎng)絡(luò)，從而完成Python程序與仿真軟件的接口創(chuàng)建。該方法提高了仿真平臺(tái)的可操作性，節(jié)省了創(chuàng)建虛擬網(wǎng)卡等繁瑣工作，并且避免了綁定真實(shí)網(wǎng)絡(luò)網(wǎng)卡導(dǎo)致實(shí)驗(yàn)操作引起的公共網(wǎng)絡(luò)故障。

(2)過程控制。

Python開發(fā)層通過交互接口實(shí)現(xiàn)對(duì)仿真平臺(tái)實(shí)驗(yàn)運(yùn)行報(bào)文的實(shí)時(shí)監(jiān)聽，然后嗅探、過濾出目標(biāo)類型的報(bào)文，實(shí)現(xiàn)對(duì)實(shí)驗(yàn)狀態(tài)的偵聽監(jiān)控。Python程序?qū)崿F(xiàn)示例如下：

示例一：監(jiān)聽本地環(huán)回網(wǎng)卡功能實(shí)現(xiàn)需要開發(fā)層確定接受鏈路層數(shù)據(jù)幀類型的協(xié)議和實(shí)驗(yàn)網(wǎng)卡名稱，具體程序?yàn)椋簂isten_socket=conf.L2listen(type=ETH_P_ALL，iface="Microsoft KM-TEST環(huán)回適配器")。

示例二：獲取仿真平臺(tái)運(yùn)行的網(wǎng)卡，然后確定過濾報(bào)文的類型和數(shù)量，可以實(shí)現(xiàn)嗅探過濾報(bào)文(如icmpv6報(bào)文)的同時(shí)對(duì)報(bào)文調(diào)用響應(yīng)方法，并返回響應(yīng)結(jié)果。具體程序?yàn)椋簆ackage=sniff(iface="Microsoft KM-TEST 環(huán)回適配器",filter="ICMPv6",count=20,prn=pack_callback)。

(3)攻擊模式。

攻擊模式具體包括單線程攻擊和多線程攻擊。處于開發(fā)層的Python程序?qū)崟r(shí)監(jiān)控實(shí)驗(yàn)運(yùn)行層中主機(jī)的地址配置信息，如果有新的主機(jī)加入實(shí)驗(yàn)，Python程序則對(duì)應(yīng)新建主機(jī)控制線程，并將線程號(hào)與該主機(jī)的MAC地址綁定之后存儲(chǔ)形成字典數(shù)據(jù)。

(4)數(shù)據(jù)源生成。

開發(fā)層的Python程序可以與實(shí)驗(yàn)運(yùn)行層的仿真軟件交互實(shí)驗(yàn)數(shù)據(jù)，通過Python開發(fā)自主設(shè)計(jì)報(bào)文類型并賦值，可以實(shí)現(xiàn)偽造、錯(cuò)造和竊取報(bào)文等攻擊操作，其中偽造報(bào)文的關(guān)鍵實(shí)現(xiàn)如表1所示。

表1 偽造報(bào)文關(guān)鍵技術(shù)

開發(fā)Python可編程攻擊方可以根據(jù)具體實(shí)驗(yàn)需要，自主設(shè)計(jì)報(bào)文類型和賦值，并可根據(jù)整個(gè)實(shí)驗(yàn)進(jìn)程自動(dòng)調(diào)整發(fā)包種類和報(bào)文值，具有個(gè)性化、智能化的技術(shù)優(yōu)點(diǎn)。

3 IPv6地址管理攻擊與防御實(shí)驗(yàn)

基于上述“Python+仿真平臺(tái)”實(shí)驗(yàn)技術(shù)，通過鏈路本地DAD和地址前綴欺騙的攻擊與防御實(shí)例研究，進(jìn)一步豐富IPv6實(shí)驗(yàn)教學(xué)內(nèi)容和提升IPv6網(wǎng)絡(luò)安全性。

3.1 實(shí)驗(yàn)環(huán)境與流程設(shè)計(jì)

(1)環(huán)境搭建。

實(shí)驗(yàn)運(yùn)行層部署華為eNSP模擬器為仿真平臺(tái)，建立的網(wǎng)絡(luò)拓?fù)淙鐖D2所示，其中以基于Python開發(fā)的“云對(duì)象”為攻擊方，以路由器UserA和UserB為被攻擊方。

圖2 實(shí)驗(yàn)拓?fù)?/p>

(2)環(huán)境配置。

首先在實(shí)驗(yàn)運(yùn)行層的仿真平臺(tái)進(jìn)行無狀態(tài)地址自動(dòng)配置實(shí)驗(yàn)，作為后續(xù)攻擊與防御實(shí)驗(yàn)的基礎(chǔ)，具體配置如表2所示。

表2 實(shí)驗(yàn)設(shè)備配置

開啟Attacker、UserA和UserB無狀態(tài)地址自動(dòng)配置功能，查看本地主機(jī)網(wǎng)卡信息和UserA、UserB地址，由圖2設(shè)備信息可以看到，Gateway等路由器的鏈路本地地址采用基于MAC地址的EUI-64規(guī)則生成[11-12]，相比之下Attacker的鏈路本地地址是隨機(jī)生成，與MAC地址無關(guān)。其主要原因是防止PC機(jī)的MAC地址泄露帶來安全隱患。

(3)流程設(shè)計(jì)。

IPv6無狀態(tài)地址自動(dòng)配置在實(shí)現(xiàn)地址管理功能的過程中，也帶來新的網(wǎng)絡(luò)安全漏洞。以下基于“Python+仿真平臺(tái)”技術(shù)，提出IPv6地址管理攻擊實(shí)驗(yàn)流程設(shè)計(jì)(見圖3)，有效促進(jìn)IPv6實(shí)驗(yàn)教學(xué)發(fā)展。

圖3 IPv6地址管理攻擊實(shí)驗(yàn)流程

3.2 鏈路本地DAD攻擊

3.2.1 攻擊原理

由IPv6地址管理機(jī)制可知，在無狀態(tài)地址自動(dòng)配置過程中，有兩次DAD過程，并且是在網(wǎng)段內(nèi)廣播地址檢測報(bào)文[13]。攻擊方可以在接收報(bào)文后，發(fā)送包含相同IPv6地址的NA報(bào)文來響應(yīng)NS報(bào)文，聲稱該IP地址已經(jīng)在使用，造成大量的IP地址和網(wǎng)絡(luò)資源浪費(fèi)，形成網(wǎng)絡(luò)攻擊[14]。

3.2.2 攻擊實(shí)驗(yàn)

(1)單線程攻擊。

首先，實(shí)驗(yàn)運(yùn)行層的仿真平臺(tái)開啟UserA無狀態(tài)地址自動(dòng)配置，廣播發(fā)送NS報(bào)文進(jìn)行鏈路本地地址唯一性檢查，攻擊方Attacker自主檢測到節(jié)點(diǎn)配置地址。然后，Python程序分析NS報(bào)文，提取其聲明的地址fe80::2e0:fcff:fe7c:2f78添加至偽造NA報(bào)文的Target Address字段并作為網(wǎng)絡(luò)層的源地址，同時(shí)將攻擊方的MAC地址填入地址解析選項(xiàng)字段，完善各標(biāo)志位，逐層封裝，過程如圖4所示。隨后，Python程序控制攻擊方發(fā)送偽造報(bào)文，進(jìn)行DAD攻擊。此時(shí)，被攻擊方UserA查看地址配置信息可發(fā)現(xiàn)節(jié)點(diǎn)地址末尾顯示“DUPLICATE”字樣，表示IPv6地址在局域網(wǎng)內(nèi)重復(fù)，地址配置失敗。

圖4 鏈路本地DAD攻擊

(2)多線程攻擊。

在實(shí)驗(yàn)拓?fù)?圖2)中啟用UserB作為新設(shè)備與UserA一起加入網(wǎng)絡(luò)，當(dāng)Python開發(fā)層檢測到新設(shè)備加入時(shí)，根據(jù)攻擊模式對(duì)不同新節(jié)點(diǎn)建立對(duì)應(yīng)線程，在字典數(shù)據(jù)結(jié)構(gòu)中以鍵值對(duì)“Key:Value”形式存儲(chǔ)MAC地址和線程號(hào)，例如存儲(chǔ)節(jié)點(diǎn)UserA、UserB信息為：{"00e0-fc7c-2f78":"Thread1"，"00e0-fc9b-4e33":"Thread2"}。

在此基礎(chǔ)上，Python程序傳送不同設(shè)備NS報(bào)文中的MAC、IPv6字段至數(shù)據(jù)源，用以偽造鏈路NA報(bào)文并發(fā)送，從而實(shí)現(xiàn)多線程條件下鏈路本地DAD攻擊。Attacker接口抓包獲得攻擊過程如圖5所示。

圖5 鏈路本地DAD攻擊

3.3 基于全球單播DAD的地址前綴欺騙

3.3.1 攻擊原理

在配置全球單播地址過程中，鏈路內(nèi)的節(jié)點(diǎn)依據(jù)接收到的RA報(bào)文進(jìn)行地址配置，且不對(duì)發(fā)送方進(jìn)行網(wǎng)關(guān)身份驗(yàn)證。攻擊方利用該漏洞，自行發(fā)送包含無效地址前綴的路由通告RA報(bào)文，被攻擊方自動(dòng)使用該前綴進(jìn)行全球單播地址配置得到的地址是無效的，從而實(shí)現(xiàn)拒絕服務(wù)攻擊[15]。

3.3.2 攻擊實(shí)驗(yàn)

在實(shí)驗(yàn)教學(xué)中，為了避免節(jié)點(diǎn)配置過程中無法區(qū)分網(wǎng)關(guān)和攻擊方發(fā)送的RA報(bào)文正確性，使得攻擊實(shí)驗(yàn)存在偶然性，攻擊方可以選擇將全球單播DAD攻擊同地址前綴欺騙攻擊結(jié)合，具體過程如圖6所示。

圖6 實(shí)驗(yàn)教學(xué)過程

(1)全球單播DAD攻擊。

UserA鏈路本地地址配置成功后，接收網(wǎng)關(guān)RA報(bào)文獲取前綴信息，配置全球單播地址為2001:db08:acad:1:2e0:fcff:fe7c:2f78，并發(fā)送NS報(bào)文對(duì)該地址進(jìn)行聲明。Python開發(fā)的攻擊方讀取該NS報(bào)文，偽造類似上述鏈路本地DAD攻擊的NA報(bào)文使節(jié)點(diǎn)聲明全球單播地址失效，導(dǎo)致UserA配置全球單播地址失敗。經(jīng)局域網(wǎng)內(nèi)ping實(shí)驗(yàn)驗(yàn)證，UserA此時(shí)雖然擁有本地鏈路地址，可在局域網(wǎng)內(nèi)正常通信，但由于全球單播地址缺失無法跨網(wǎng)段通信。

(2)地址前綴欺騙。

由于針對(duì)UserA的全球單播DAD攻擊造成真實(shí)網(wǎng)關(guān)發(fā)布的前綴信息對(duì)UserA不可用。此時(shí)，Python開發(fā)的攻擊方偽造RA報(bào)文，添加相應(yīng)的前綴選項(xiàng)字段包含虛假前綴：2001:db08:acad:2::/64，同時(shí)攜帶鏈路MAC地址解析選項(xiàng)字段，將報(bào)文廣播至實(shí)驗(yàn)運(yùn)行層的所有網(wǎng)段。由于UserA完全信任網(wǎng)段內(nèi)的報(bào)文，因此在收到偽造的RA報(bào)文后，將按其配置全球單播地址，導(dǎo)致地址前綴被欺騙。

(3)抓包分析。

如圖7所示，使用Wireshark軟件對(duì)UserA接口上的報(bào)文進(jìn)行抓包。UserA成功配置無效的全球單播地址2001:db08:acad:2:2e0:fcff:fe7c:2f78。另外，通過仿真平臺(tái)地址查看命令，發(fā)現(xiàn)原本擁有正確全球單播地址的UserB主機(jī)也另外獲得了前綴為2001：db08:acad:2::/64的新IPv6地址。此時(shí)的UserA僅可以使用虛假全球單播地址與UserB通信。

圖7 基于全球單播DAD的前綴欺騙

3.4 攻擊防御

為了防范IPv6地址管理的安全漏洞，抵御惡意主機(jī)對(duì)IPv6網(wǎng)絡(luò)的攻擊，可以在用戶終端、局域網(wǎng)內(nèi)和二層交換設(shè)備處分別通過改進(jìn)NDP協(xié)議、建立鄰居控制服務(wù)器以及配置控制信息交互命令等方式綜合提升網(wǎng)絡(luò)安全性能，具體可采取以下三種有效措施。

(1)安全鄰居發(fā)現(xiàn)協(xié)議(SEND)。

通過加密地址生成技術(shù)(CGA)、數(shù)字簽名等方法對(duì)通信過程進(jìn)行加密，可有效防止IP地址被盜用。當(dāng)經(jīng)過重復(fù)地址檢測發(fā)現(xiàn)存在沖突地址時(shí)，CGA能夠通過重新計(jì)算生成新的地址[16]，有效實(shí)現(xiàn)DAD攻擊防御。

(2)安全鄰居發(fā)現(xiàn)協(xié)議(IPSec-SEND)。

在鄰居發(fā)現(xiàn)協(xié)議的基礎(chǔ)上，IPSec-SEND采用IPsec認(rèn)證頭AH(authentication header)作為節(jié)點(diǎn)間通信的安全協(xié)議，提供IP和MAC綁定認(rèn)證，能有效解決由偽造IP地址、路由信息等攻擊行為造成的各種網(wǎng)絡(luò)安全問題[17]。

(3)ND Snooping技術(shù)。

華為[18]與華三[19]等公司二層交換機(jī)具有ND Snooping機(jī)制，可防御利用鄰居發(fā)現(xiàn)協(xié)議進(jìn)行的網(wǎng)絡(luò)攻擊。ND Snooping通過自動(dòng)的ND監(jiān)控模式監(jiān)聽DAD交互過程，通過獲取合法用戶的IP-MAC對(duì)應(yīng)關(guān)系，建立起鄰居信任表，從面可以對(duì)端口輸入報(bào)文進(jìn)行合法性檢測，放行匹配綁定的報(bào)文，丟棄不匹配的報(bào)文，有效實(shí)現(xiàn)IPv6節(jié)點(diǎn)接入控制。

4 結(jié)束語

《教育部關(guān)于一流本科課程建設(shè)的實(shí)施意見》明確提出高階性、創(chuàng)新性和挑戰(zhàn)度的“兩性一度”一流本科課程發(fā)展導(dǎo)向，如何以教育技術(shù)創(chuàng)新支撐優(yōu)質(zhì)課程教學(xué)在高水平本科教育建設(shè)中的基礎(chǔ)性地位成為新時(shí)代高等教育教學(xué)改革的熱點(diǎn)。該文著眼于實(shí)驗(yàn)技術(shù)創(chuàng)新驅(qū)動(dòng)課程教學(xué)改革，提出了“Python+仿真平臺(tái)”的IPv6網(wǎng)絡(luò)安全實(shí)驗(yàn)新技術(shù)，通過無狀態(tài)地址自動(dòng)配置過程中的鏈路本地DAD和地址前綴欺騙的攻防實(shí)驗(yàn)，深入而細(xì)致地論述了“Python+仿真平臺(tái)”教學(xué)應(yīng)用的方法與過程。經(jīng)過多年級(jí)多班次的實(shí)驗(yàn)教學(xué)實(shí)踐表明，“Python+仿真平臺(tái)”將Python可開發(fā)性與仿真平臺(tái)的工具性有機(jī)融合，為面向“兩性一度”導(dǎo)向的綜合性實(shí)驗(yàn)教學(xué)改革提供了切實(shí)可行的技術(shù)途徑。