ICMPv6网络攻击分析与实现研究.pdf

中国计算机懵悫防护论文集………………………… ICMPv6网络攻击分析与实现 清华大学计算机科学与技术系 杜敏政段海新李学农 摘 要：ICMPv6协议是IPv6下重要的控制协议，邻居发现，移动IP等都工作在其基础之上，因 此研究基于ICMPv6的网络攻击具有很强的现实意义。这篇文章分析了基于ICMPv6的多种网络工具， 包括扫描攻击，地址欺骗，前缀欺骗，重定向攻击等等，并且给出了利用ICMPv6实现地址欺骗的实 例。对ICMPv6的原理分析和实验都表明，攻击者利用ICMPv6协议的确能够实施各种攻击，IPv6网络 的安全性需要进一步加强。 关键词：IPv6：ICMPv6：邻居发现：移动IP：网络攻击：地址欺骗： 1．引言 下一代互联网协议上，IPv6取代IPv4是历史的必然。目前，IPv6已经在世界范围内迅速发展。 Ipv6，美国启动NLR(国家光纤铁路)研究计划，欧盟下一代学术主干网GEANT进展迅速。在国内， 中国启动了下一代互联网示范工程CNGI；由CERNET网络中心联合清华大学、北京大学等25所高校共 同建设的CNGI-CERNET2是示范网络核心网的重要组成部分。 网络越发展，其安全越重要。本文将围绕IPv6的安全问题展开，首先介绍了目前IPv6安全方面 的研究；然后重点分析了基于ICMPv6协议的网络攻击原理和攻击形式；接下来给出一个IPv6下利用 ICMPv6实现的地址欺骗实例。 论文评选m 2．相关研究 和面临的各种安全威胁，如伪造邻居请求／邻居应答，重放攻击，对邻居发现的拒绝服务攻击等等。 文献[3]分析了移动IP(MobileIPv6)方面的安全问题，特别是移动节点，家乡代理以及移动 的方式。． 另一方面，文献[5]从更概括和广阔的角度对比了IPv6和IPv4各种安全问题的异同。特别指出 IPv6下攻击有了新变化： (I)扫描IPv6网络总体上更加困难。以常见的64位前缀为例，这意味著子网的大小是2‘64，完 全扫描这么大一片空间不现实的；但是IPv6也有自己的弱点，比如各种新的组播地址，通过DNS也能 查到相当一部分节点地址。 认证功能。 (3)分片攻击更加有效。IPv6下，只有端系统能够对IP包进行分片和重组，中间节点不能处理 分片包。攻击者构造分片包可以穿透防火墙的阻隔。同时，IPv6的许多扩展报头也能成为攻击手 段，比如攻击者可以构造大量的hop—by-hop报头要中间节点处理，消耗它们的资源。 (4)源地址伪造将更加困难。IPv6巨大的地址空间使其能够根据不同需求进行地址聚集。地址 聚集不仅可以加快路由过程，它和源地址过滤的结合也让源地址伪造比IPv4下困难的多。 (5)地址欺骗有了新形式。IPv6不再使用ARP协议，IP地址配置也有无状态和有状态两种。但是 攻击者利用邻居发现协议仍然可以进行MAC地址的欺骗。 中圈计算机信患防护论文集 是组播地址，或者源MAC地址是组播／广播地址的ICMP请求包发出回应。这就从机制上防止了Smurf攻 击。但是实现上主机往往违背这个规定。 (7)路由攻击有的保留了下来，有的实施起来更加困难。比如路由重定向攻击仍然存在，BGP协 了认证加密机制，提高了安全性。 (8)病毒，蠕虫等的传播势头可能稍微受阻，由于扫描网络更加困难的缘故；另一方面，普遍 使用的IPSec力W密也让病毒蠕虫的检测更加困难。 (9)在IPv4至UIPv6的过渡期间，存在针对双栈主机和隧道主机的拒绝服务攻击，并且，攻击者 可以利用双栈主机和隧道主机作为中继，从IPv4网络攻击IPv6网络或反之。 在以上研究基础上，本文将从一个新的角度，即基于ICMPv6协议来分析IPv6下的各种网络攻击。 首先，ICMPv6是一个特殊的协议，从OSl分层上说，它介于TCP和IP协议之间，主要用于主机、