[精品]基于ipv6的NDP協(xié)議安全性的探析.doc

《[精品]基于ipv6的NDP協(xié)議安全性的探析.doc》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。

1、防微杜漸-…ipv6中NDP協(xié)議的漏洞不容小視基于ipv6的NDP協(xié)議安全性的探析摘要:隨著ipv6的迅猛發(fā)展,NDP協(xié)議已經(jīng)逐步進(jìn)入了人們的視野，它對(duì)ipv4路由協(xié)議進(jìn)行了諸多改進(jìn)，具備了一定的先進(jìn)性。本文對(duì)ipv6的NDP協(xié)議安全性進(jìn)行了探討，指出了該協(xié)議的優(yōu)越性，并對(duì)其不足進(jìn)行了深入研究做了展望。頁(yè)數(shù):共2頁(yè)頁(yè)碼范圍:1?3頁(yè)關(guān)鍵詞:ipv6計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞學(xué)科分類:TP393.0亂工業(yè)技術(shù)>自動(dòng)化技術(shù)、計(jì)算機(jī)技術(shù)>計(jì)算技術(shù)、計(jì)算機(jī)技術(shù)>計(jì)算機(jī)的應(yīng)用>計(jì)算機(jī)網(wǎng)絡(luò)>一般性問(wèn)題>計(jì)算機(jī)網(wǎng)絡(luò)安全］1、引言網(wǎng)絡(luò)安全越來(lái)越受到人們的重視Z后，防火墻、入侵檢測(cè)系統(tǒng)也

2、得到越來(lái)■越廣泛的研究與應(yīng)用。而入侵檢測(cè)系統(tǒng)可以彌補(bǔ)防火墻的不足，實(shí)時(shí)地檢測(cè)網(wǎng)絡(luò)入侵行為，并且在發(fā)現(xiàn)入侵的初期就能夠采取相應(yīng)的防護(hù)手段，是一?種I?分重要的網(wǎng)絡(luò)安全技術(shù)。下一代的網(wǎng)際協(xié)議一IPv6,它不僅能夠完美地解決IP地址枯竭的問(wèn)題，而且在網(wǎng)絡(luò)的管理、控制、安全等許多性能上也比IPv4更為強(qiáng)大、高效。但I(xiàn)Pv6不可能徹底解決所有安全問(wèn)題，同時(shí)還會(huì)伴隨其產(chǎn)生新的安全隱患。因此，研究與開(kāi)發(fā)IPv6環(huán)境下的入侵檢測(cè)系統(tǒng)具有重要的現(xiàn)實(shí)意義。木文深入研究了下一代因特網(wǎng)IPv6各種協(xié)議的結(jié)構(gòu)特點(diǎn)，根據(jù)IPv4和IPv6兩種協(xié)議的不同，在分析IPv6的新特性和安全問(wèn)題的基

3、礎(chǔ)上，探討了當(dāng)前入侵檢測(cè)系統(tǒng)在IPv6網(wǎng)絡(luò)環(huán)境下存在的不足，特別是針對(duì)漏洞攻擊事件方面的研究還是個(gè)空白的背景下，提出了在IPv6網(wǎng)絡(luò)環(huán)境下防范漏洞攻擊事件的設(shè)計(jì)思想；對(duì)于從IPv6網(wǎng)絡(luò)上收集的現(xiàn)有的漏洞攻擊行為進(jìn)行分析和歸納，形成漏洞攻擊事件的行為特征庫(kù)，并通過(guò)入侵檢測(cè)系統(tǒng)來(lái)輸出報(bào)警和處理。最后，木文在研究入侵檢測(cè)系統(tǒng)的基礎(chǔ)上，給岀了IPv6環(huán)境下針對(duì)漏洞攻擊事件的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)方案，設(shè)計(jì)并實(shí)現(xiàn)了漏洞攻擊事件的平臺(tái)模擬和漏洞攻擊特征規(guī)則庫(kù)處理模塊。與一般的入侵檢測(cè)系統(tǒng)相比，該系統(tǒng)的主要優(yōu)點(diǎn)在于它能檢測(cè)出IPv6網(wǎng)絡(luò)屮存在的漏洞攻擊，并且能及時(shí)的給出報(bào)警，而且

4、提高了檢測(cè)的有效性和檢測(cè)的正確率.2、NDP協(xié)議的風(fēng)險(xiǎn)NDP協(xié)議NeighborDiscoveryProtocol,即鄰居發(fā)現(xiàn)協(xié)議。NDP使用了分布式的、基

5、提出相當(dāng)多的路由協(xié)議，大致可分為先驗(yàn)式路由協(xié)議和反應(yīng)式路由協(xié)議，其屮NDP協(xié)議(Adhocon-DemandDistantVector)［l］和動(dòng)態(tài)源路由協(xié)議(DynamicSourceRouting,DSR)［2］是2種被廣泛研究的反應(yīng)式路由協(xié)議.木文對(duì)NDP協(xié)議進(jìn)行詳細(xì)分析，對(duì)其不足進(jìn)行改進(jìn)［3］,使節(jié)點(diǎn)存儲(chǔ)更多的路由信息并在路由發(fā)現(xiàn)和路由維護(hù)中有效利用路由緩存，降低路由開(kāi)銷和時(shí)延.3、NDP協(xié)議的安全性探討3.1NDP協(xié)議結(jié)構(gòu)和特點(diǎn)IPv6定義了鄰居發(fā)現(xiàn)協(xié)議（NeighborDiscoveryprotocol,NDP）,它使用一系列IPv6控制信息報(bào)文（I

6、CMPv6）來(lái)實(shí)現(xiàn)相鄰節(jié)點(diǎn)（同一鏈路上的節(jié)點(diǎn)）的交互管理，并在一個(gè)子網(wǎng)屮保持網(wǎng)絡(luò)層地址和鏈路層地址Z間的映射。鄰居發(fā)現(xiàn)協(xié)議屮定義了5種類型的信息：路由器宣告、路由器請(qǐng)求、路由重定向、鄰居請(qǐng)求和鄰居宣告。通過(guò)這些信息，實(shí)現(xiàn)了對(duì)以下功能的支持：?路由器發(fā)現(xiàn)：即幫助主機(jī)來(lái)識(shí)別木地路由器；?前綴發(fā)現(xiàn)：節(jié)點(diǎn)使用此機(jī)制來(lái)確定指明鏈路木地地址的地址前綴以及必須發(fā)送給路由器轉(zhuǎn)發(fā)的地址前綴；?參數(shù)發(fā)現(xiàn)：幫助節(jié)點(diǎn)確定諸如木地鏈路MTUZ類的信息；?地址白動(dòng)配置：用于IPv6節(jié)點(diǎn)a動(dòng)配置；?地址解析：替代了ARP和RARP,幫助節(jié)點(diǎn)從目的IP地址屮確定木地節(jié)點(diǎn)（即鄰居）的鏈路層地址；

7、?下一跳確定：可用于確定包的下一個(gè)bl的地，即可確定包的1=1的地是否在木地鏈路上。如果在木地鏈路，下一跳就是H的地；否則，包需要選路，下一跳就是路由器，鄰居發(fā)現(xiàn)可用于確定應(yīng)使用的路由器；?鄰居不可達(dá)檢測(cè)：幫助節(jié)點(diǎn)確定鄰居（目的節(jié)點(diǎn)或路由器）是否可達(dá)；?重復(fù)地址檢測(cè)：幫助節(jié)點(diǎn)確定它想使用的地址在木地鏈路上是否已被占用；?重定向：有時(shí)節(jié)點(diǎn)選擇的轉(zhuǎn)發(fā)路由器對(duì)于待轉(zhuǎn)發(fā)的包而言并非:?佳。這種情況下，該轉(zhuǎn)發(fā)路由器可以對(duì)節(jié)點(diǎn)進(jìn)行重定向，使它將包發(fā)送給更佳的路由器。例如，節(jié)點(diǎn)將發(fā)往Internet的包發(fā)送給為節(jié)點(diǎn)所在的內(nèi)部網(wǎng)服務(wù)的默認(rèn)路由器，該內(nèi)部網(wǎng)路由器可以對(duì)節(jié)點(diǎn)進(jìn)行重定

8、向，以使其將包發(fā)送給連接