基于NDDoS攻击及其对策.docVIP

基于NDDoS攻击及其对策 　　摘要：通过深入分析邻居发现协议运行机制，指出了链路可信这个默认前提是导致ND(neighbor discovery)存在安全缺陷的根本原因；随后具体分析了基于ND安全缺陷各种DoS攻击方法，并对ND的安全防护进行了阐述，为进一步研究安全ND奠定了基础。?? 　　关键词：网络安全； IPv6； 邻居发现； 拒绝服务攻击 　　中图分类号：TP393.08文献标志码：A 　　文章编号：1001－3695(2007)08－0140－04 　　 　　在IPv6[1]中，基于ICMPv6的邻居发现协议ND[2] 用来解决同一链路上节点间的交互问题。它取代了IPv4[3]中使用的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分及重定向协议的所有功能，并能够获取链路MTU、hop limit等网络参数。IPv6的邻节点发现过程，就是用一系列的ND报文和步骤来确定邻节点间的关系，进行网络配置的过程。 　　邻居发现协议虽然使网络配置过程更加自动化，减轻了管理员的负担，但由于链路可信是邻居发现协议ND正常运行的默认前提条件，即假定所有节点都只按照协议标准发送正常的ND数据包，这就给邻居发现协议埋下安全隐患。IPv4中的ARP协议正是由于其默认子网内节点可信而导致其易受到Spoofing、DoS等攻击，而且在IPv6中节点除需要利用ND进行地址解析之外，还需利用其进行网络配置(如获取地址前缀、MTU等网络参数和进行路由器发现等)，当网络中存在恶意节点时，该网络就可能遭受恶意节点利用ND认证缺陷的欺骗性DoS攻击，而且受IPv6地址空间扩大的影响攻击者还有可能利用ND从链路外发起资源消耗型DoS攻击。?? 　　本文简要分析了ND的运行机制，指出其存在被利用来进行DoS攻击的安全缺陷，从链路内攻击和链路外攻击两个方面具体阐述了针对ND安全缺陷的DoS攻击方法，并讨论了检测文中所述DoS攻击的方法，分析了利用IPSec对ND协议进行安全防护时存在的问题。?? 　　 　　1ND安全缺陷分析?? 　　 　　邻居发现协议ND在设计时对其安全性进行了一定考虑，为确保收到的邻节点发现报文发自本地链路上的节点，发送方将其发出的所有邻节点发现报文中的跳限制字段的值均置为255。当接收方收到一个邻节点发现报文时，它会首先检查IPv6报头中的跳限制字段。如果此字段的值不等于255，就丢弃该报文。验证邻节点发现报文中的跳限制字段的值是否等于255这一方法，防止了由链路外的节点发起的基于邻节点发现的网络攻击，但255的跳数限制并不能解决链路内存在恶意节点时的安全问题。?? 　　为使相邻节点间的交互更为高效，节点在通信过程中缓存了邻节点的相关信息和网络的相关参数：Neighbor cache记录了邻居节点的IP??MAC映射关系，该节点是否为路由器及其可达状态；Destination cache记录了对应于目的IP的下一跳IP地址及PMTU；Prefix List记录了本地地址前缀及其相应时间参数；Default router list记录了链路上的路由器信息。节点在与邻节点通信时，就是通过查询上述缓存来进行具体的下一跳确定、地址解析、邻居不可达检测NUD和地址重复检测DAD等。缓存中的信息对节点间的交互具有重要作用，若缓存中信息的合法性、有效性无法得到保证，则节点间通信的持续性、安全性也就无法得到保证。?? 　　缓存中信息的建立与维护是通过一系列的ND报文的交互来实现的，而ND协议默认本地链路这个网络环境是可信的，即节点无法对来自本链路的ND报文进行有效性、合法性的确认，只能默认接收该报文并据此对缓存进行更新，因此链路中的恶意节点可以利用节点间的信任，发送伪造的ND报文，从而窜改目标节点的相应缓存，致使目标节点无法与其他节点进行正常通信；或发布错误的网络配置参数，对其进行欺骗攻击，进而造成整个网络通信效率低下甚至瘫痪。?? 　　IPv6中节点在进行地址解析时，需要在neighbor cache中创建一个待解析邻居节点的缓存表项，并将其状态设置为incomplete（邻居缓存中的记录可能处于五种状态：incomplete、stale、reachable、delay和probe）。由于IPv6中最小子网的地址空间为264，即一个节点的同一链路上可以有多达264个邻居节点。从理论上来说，节点可能会在短时间内需要对264个IP地址发送多播NS进行地址解析。在这种情况下，节点的neighbor cache将被迅速耗尽，而且大量的多播NS报文还将造成网络拥塞。若攻击者能够使目标节点在短时间内对大量不同的IP地址进行地址解析，则可能造成对目标节点和目标网络的DoS攻击。?? 　　 　　2基于ND的DoS攻击