ＩＰｖ６局域网攻击安全监测研究.docVIP

ＩＰｖ６局域网攻击安全监测研究 　　摘要:首先对网络检测技术分类及局域网攻击监测面临的问题进行阐述,然后通过对IPv6, ICMPv6协议的研究对局域网攻击进行剖析,使用预处理插件对两种攻击进行检测及预警,分别对两种攻击实例进行策略分析及相应知识库的编写。 　　关键词:IPv6;DosNewIP;Snort局域网;攻击;监测 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6862-01 　　 　　The Research on the Alert Detect of IPv6 LAN Attack 　　DING Zong-wei 　　(Quzhou Center for Urban and Rural Planning, Quzhou 324000, China) 　　Abstract: This paper first analyzed the detection of network attacks on the classification and monitoring of local area network to the problems faced, and then thought through the IPv6, ICMPv6 protocol study to analyze the attacks on the LAN, using of Snort plug-ins pre-treatment of two attacks on the detection and early warning were examples of two attack strategy analysis and the preparation of the corresponding knowledge base. 　　Key words: IPv6; LAN; attack monitoring 　　 　　1 网络检测技术的分类 　　 　　防御网络攻击的手段可以大致分为入侵检测系统(IDS,Intrusion Detect system),入侵防护系统(Intrusion protection system)以及统一威胁管理。 　　IDS的设计目的是探测攻击和未授权的使用,并对攻击采取一定措施予以制止。攻击的检测结果通常称为安全事件。IDS按照功能可以分为三类,网络IDS (NIDS)、主机IDS(HIDS)、分布式IDS(DIDS)。 　　NIDS通过监控主机监视整个局域网的流量来检测攻击的发生。监控主机将网卡设置为混杂模式,对流经的数据报进行嗅探,分析嗅探到的所有数据报,按照预定的规则和模式,产生安全事件(即对攻击进行举报)。 　　HIDS是指部署在受保护主机上的入侵检测系统,只对本主机进行检测。一般采取的手段有监控系统调用过程、检查系统性能统计信息、检查进程行为、检查系统错误日志等,如LTT等工具就是一种HIDS。HIDS可以设定适合于本主机监控目的的规则。针对不同用途的主机设定不同的规则,使得HIDS与NIDS相比,规模更小,对机器的性能影响更小。 　　DIDS一般采用管理端(Controller)/探测器(Sensor)结构。Controller包括中央数据库、分析控制模块和通信模块组成。中央数据库管理各sensor采集的安全事件数据。分析控制模块对中央数据库的信息进行分析处理,给出结果,并依据用户兴趣产生新规则。 　　 　　2 局域网攻击检测面临的问题 　　 　　因为网络攻击的最终目的是信息窃取和资源滥用,所以无偿攻击通常都是为了有偿攻击做准备的。无偿攻击就破坏性来看,不及有偿攻击。当网络中出现少量的关于无偿攻击的安全事件警报,通常不能引起网管人员的足够重视,网管人员对此常常采取的措施主要是监视记录,如果在给定时间内无偿攻击不在发生,则不采取进一步手段,否则进行攻击范围的控制和缩小。如果无偿攻击的影响范围不大,持续时间不长,就不会引起足够的重视。而无偿攻击通常是有偿攻击的前奏,在无偿攻击发生之后,目标主机的网络服务才会受限,为攻击者进一步实施有偿攻击提供了前提条件。 　　因为无偿攻击的特征与邻节点发现过程的正常报文区别较小,所以容易产生误报,漏报等。攻击的检测依赖于检测工具及所制定的规则。如果检测工具过于敏感或者规则过于严格,从而容易产生误报。如果规则过于宽松,则容易发生漏报。 　　 　　3 策略分析 　　 　　3.1 扫描攻击的策略分析 　　扫描攻击Alive6完成对局域网主机IP信息的探寻。就其本身而言,扫描攻击只是一种无偿攻击。攻击主机只能获得局域网内所有主机的MAC地址和相应的IP地址,得知主机的状态:在线或