浅析针对移动IPv6攻击几种解决方案.docVIP

浅析针对移动IPv6攻击几种解决方案 　　[摘要]主要分析移动IPv6面临的攻击,并提出针对移动IPv6攻击的几种解决方案。 　　[关键词]移动IPv6移动节点解决方案安全问题 　　中图分类号:TN92文献标识码:A文章编号:1671-7597(2009)0820063-01 　　 　　一、引言 　　 　　随着信息技术日新月异的发展演变,互联网从IPv4过渡到IPv6已是大势所趋,而移动IP技术自身也随之发生了革命性的变化。但移动计算与普通计算的环境及特性存在较大区别,如多数情况移动计算是在无线环境下,且移动节点需要不断更改转交地址,这些都会导致许多安全问题。 　　 　　二、移动IPv6基本工作原理 　　 　　当移动节点在本地链路时,其工作方式如同位置固定的主机,移动1P不需要进行任何特别的操作。当移动节点离开本地链路进入外地链路时,其工作原理为: 　　1.移动节点通过常规的IPv6无状态或有状态的自动配置机制,获得一个或多个转交地址。 　　2.移动节点在获得转交地址后,向本地代理申请注册,为移动节点的本地地址和转交地址在本地代理上建立绑定。 　　3.移动节点可以直接发送报文给通信节点,报文的源地址为移动节点的当前转交地址,本地地址选项是移动节点的本地地址。 　　4.通信节点发送给移动节点时,首先根据报文目的IP地址查询它的绑定缓存,如果在绑定中存在匹配,则发送报文给移动节点的转交地址。如果不存在这样的匹配,则将报文发送到其本地地址。 　　5.移动节点根据收到本地代理转发的IPv6报文判断通信节点没有自己的绑定缓存,因而向通信节点发送绑定更新建立绑定缓存。 　　6.移动节点离开本地后,本地网络可能进行了重新配置,原来的本地代理被其它路由器取代。 　　 　　三、移动IPv6面临的攻击分析 　　 　　目前,移动IPv6可能遭受的攻击主要包括以下几种类型。 　　(一)拒绝服务攻击(DoS) 　　拒绝服务攻击是指攻击者为阻止合法用户获得正常服务而采用的攻击手段。在移动IPv6中,攻击者可以通过如下手段达到拒绝服务目的: 　　1.攻击者发送大量地址绑定更新消息来消耗本地代理和通信节点的资源,从而导致绑定缓存表溢出或者是无法及时处理合法用户的绑定更新报文。 　　2.恶意主机把Internet上服务器的IPv6地址作为大量移动节点的转交地址,发送伪装的绑定更新消息给对端通信节点,引发大量的流量发往受害服务器,导致分布式拒绝服务攻击。 　　3.攻击者冒充移动节点,使用移动节点的本地地址发送绑定更新消息,伪装节点的移动状况,阻断合法用户的正常通信。 　　4.在移动节点和本地代理通信路径上的攻击者通过篡改本地地址选项域值,将通信节点的流量重定向到第三方节点,阻断合法用户的正常通信。 　　(二)重放攻击(ReplayAttacks) 　　重放攻击是指攻击者将一个合法的有效的注册请求消息保存起来,等待一段时间后再重新发送这个消息,来注册一个伪造的转交地址,从而达到攻击的目的。在移动节点和通信节点通信路径上的攻击者能够通过这种方式将数据流重定向到第三方实体。 　　(三)信息窃取攻击 　　信息窃取可以分为被动地监听和主动地会话窃取攻击。 　　1.被动的监听。移动IPv6可以使用包括无线链路在内的多种传输媒介,由于无线链路的信道特性,攻击者不需要网络上的物理连接就可以进行监听。 　　2.会话窃取攻击。会话窃取攻击是指攻击者等待合法的用户认证完成并且正常会话后,通过假扮合法节点来窃取会话的攻击。 　　(四)中间人攻击(MITM) 　　当攻击者在移动节点A与通信节点B中间的通信链路上就可能截取并修改移动节点A的绑定更新分组,并利用它来进行反射攻击等。 　　(五)反射攻击(ReflectionAttacks) 　　当移动节点A正在与通信节点B进行会话时,一个请求分组给B,在正常情况下B将返回一个应答分组,但如果A发送一个请求分组给B而导致B发送一个应答分组给C,就称为反射攻击。攻击者可以通过绑定更新来进行反射攻击,主要是由于在路由报头中指定了数据包再从源节点到目的节点的过程中应该经过的节点的地址。如果攻击者在和移动节点通信,它可能在路由报头中插入另外一个地址而不是移动节点的本地地址,这将导致移动节点把自己的分组传给另外一个通信节点。 　　 　　四、针对移动IPv6攻击的几种解决方案 　　 　　1.对于拒绝服务(DoS)攻击的防护方法是检查认证有效期、确定移动节点位置并保持资源的可用性。对通信节 　　点而言,它可以采用以下方式来抵抗拒绝服务攻击:如果通信节点被大量绑定更新的信息所堵塞,它可以通过中止处理绑定更新信息的流程来减缓堵塞下的系统压力;若通信节点察觉到分配在检查虚假绑定信