基于ND的DoS攻击及其对策.pdfVIP

第24 卷第8 期 计 算 机 应 用 研 究 VoI. 24 No. 8 2007 年8 月 AppIication Research of Computers Aug. 2007 基于 ! 的#$ 攻击及其对策＊ 李 硕，王振兴，杨 希 （国家数字交换系统工程技术研究中心，郑州450002 ） 摘 要：通过深入分析邻居发现协议运行机制，指出了链路可信这个默认前提是导致ND（neighbor discoVery ）存 在安全缺陷的根本原因；随后具体分析了基于ND 安全缺陷各种DoS 攻击方法，并对ND 的安全防护进行了阐 述，为进一步研究安全ND 奠定了基础。 关键词：网络安全；IPV6 ；邻居发现；拒绝服务攻击 中图分类号：TP393. 08 文献标志码：A 文章编号：1001- 3695（2007 ）08- 0140- 04 ND-based DoS attacks and countermeasures LI Shuo ，WANG Zhen-xing ，YANG Xi （National Digital Switching System Engineering Technology Research Center ，Zhengzhou 450002 ，China ） Abstract ：This paper anaIyzed ND （neighbor discoVery ）protocoI ’s impIementation in detaiI ，and presented that ND proto- coI ’s assumption of a fuIIy trustworthy network had Ied to its Various security threats ，and then anaIyzed ND protocoI ’s securi- ty threats ，and methods to spoof IPV6 on-Iink nodes that couId Iead to DoS attack are present ，which may contribute to future research of secure ND. Key words ：network security ；IPV6 ；neighbor discoVery ；DoS attack 在IPV6［1］中，基于ICMPV6 的邻居发现协议ND［2 ］用来解 为确保收到的邻节点发现报文发自本地链路上的节点，发送方 决同一链路上节点间的交互问题。它取代了IPV4 ［3 ］中使用的 将其发出的所有邻节点发现报文中的跳限制字段的值均置为 地址解析协议（ARP ）、控制报文协议（ICMP ）中的路由器发现 255 。当接收方收到一个邻节点发现报文时，它会首先检查 部分及重定向协议的所有功能，并能够获取链路MTU 、hop Iim- IPV6 报头中的跳限制字段。如果此字段的值不等于255 ，就丢 it 等网络参数。IPV6 的邻节点发现过程，就是用一系列的ND 弃该报文。验证邻节点发现报文中的跳限制字段的值是否等 报文和步骤来确定邻节点间的关系，进行网络配置的过程。邻 于255 这一方法，防止了由链路外的节点发起的基于邻节点发 居发现协议虽然使网络配置过程更加自动化，减轻了管理员的 现的网络攻击，但255 的跳数限制并不能解决链路内存在恶意 负担，但由于链路可信是邻居发现协议ND 正常运行的默认前 节点时的安全问题。 提条件，即假定所有节点都只按照协议标准发送正常的ND 数 为使相邻节点间的交互更为高效，节点在通信过程中缓存 据包，这就给邻居发现协议埋下安全隐患。