基于ＮＤ的ＤｏＳ攻擊及其對(duì)策

摘要：通過(guò)深入分析鄰居發(fā)現(xiàn)協(xié)議運(yùn)行機(jī)制，指出了鏈路可信這個(gè)默認(rèn)前提是導(dǎo)致ND(neighbor discovery)存在安全缺陷的根本原因；隨后具體分析了基于ND安全缺陷各種DoS攻擊方法，并對(duì)ND的安全防護(hù)進(jìn)行了闡述，為進(jìn)一步研究安全ND奠定了基礎(chǔ)。

關(guān)鍵詞：網(wǎng)絡(luò)安全； IPv6； 鄰居發(fā)現(xiàn)； 拒絕服務(wù)攻擊

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001－3695(2007)08－0140－04

在IPv6[1]中，基于ICMPv6的鄰居發(fā)現(xiàn)協(xié)議ND[2] 用來(lái)解決同一鏈路上節(jié)點(diǎn)間的交互問(wèn)題。它取代了IPv4[3]中使用的地址解析協(xié)議(ARP)、控制報(bào)文協(xié)議(ICMP)中的路由器發(fā)現(xiàn)部分及重定向協(xié)議的所有功能，并能夠獲取鏈路MTU、hop limit等網(wǎng)絡(luò)參數(shù)。IPv6的鄰節(jié)點(diǎn)發(fā)現(xiàn)過(guò)程，就是用一系列的ND報(bào)文和步驟來(lái)確定鄰節(jié)點(diǎn)間的關(guān)系，進(jìn)行網(wǎng)絡(luò)配置的過(guò)程。

鄰居發(fā)現(xiàn)協(xié)議雖然使網(wǎng)絡(luò)配置過(guò)程更加自動(dòng)化，減輕了管理員的負(fù)擔(dān)，但由于鏈路可信是鄰居發(fā)現(xiàn)協(xié)議ND正常運(yùn)行的默認(rèn)前提條件，即假定所有節(jié)點(diǎn)都只按照協(xié)議標(biāo)準(zhǔn)發(fā)送正常的ND數(shù)據(jù)包，這就給鄰居發(fā)現(xiàn)協(xié)議埋下安全隱患。IPv4中的ARP協(xié)議正是由于其默認(rèn)子網(wǎng)內(nèi)節(jié)點(diǎn)可信而導(dǎo)致其易受到Spoofing、DoS等攻擊，而且在IPv6中節(jié)點(diǎn)除需要利用ND進(jìn)行地址解析之外，還需利用其進(jìn)行網(wǎng)絡(luò)配置(如獲取地址前綴、MTU等網(wǎng)絡(luò)參數(shù)和進(jìn)行路由器發(fā)現(xiàn)等)，當(dāng)網(wǎng)絡(luò)中存在惡意節(jié)點(diǎn)時(shí)，該網(wǎng)絡(luò)就可能遭受惡意節(jié)點(diǎn)利用ND認(rèn)證缺陷的欺騙性DoS攻擊，而且受IPv6地址空間擴(kuò)大的影響攻擊者還有可能利用ND從鏈路外發(fā)起資源消耗型DoS攻擊。

本文簡(jiǎn)要分析了ND的運(yùn)行機(jī)制，指出其存在被利用來(lái)進(jìn)行DoS攻擊的安全缺陷，從鏈路內(nèi)攻擊和鏈路外攻擊兩個(gè)方面具體闡述了針對(duì)ND安全缺陷的DoS攻擊方法，并討論了檢測(cè)文中所述DoS攻擊的方法，分析了利用IPSec對(duì)ND協(xié)議進(jìn)行安全防護(hù)時(shí)存在的問(wèn)題。

1ND安全缺陷分析

鄰居發(fā)現(xiàn)協(xié)議ND在設(shè)計(jì)時(shí)對(duì)其安全性進(jìn)行了一定考慮，為確保收到的鄰節(jié)點(diǎn)發(fā)現(xiàn)報(bào)文發(fā)自本地鏈路上的節(jié)點(diǎn)，發(fā)送方將其發(fā)出的所有鄰節(jié)點(diǎn)發(fā)現(xiàn)報(bào)文中的跳限制字段的值均置為255。當(dāng)接收方收到一個(gè)鄰節(jié)點(diǎn)發(fā)現(xiàn)報(bào)文時(shí)，它會(huì)首先檢查IPv6報(bào)頭中的跳限制字段。如果此字段的值不等于255，就丟棄該報(bào)文。驗(yàn)證鄰節(jié)點(diǎn)發(fā)現(xiàn)報(bào)文中的跳限制字段的值是否等于255這一方法，防止了由鏈路外的節(jié)點(diǎn)發(fā)起的基于鄰節(jié)點(diǎn)發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊，但255的跳數(shù)限制并不能解決鏈路內(nèi)存在惡意節(jié)點(diǎn)時(shí)的安全問(wèn)題。

為使相鄰節(jié)點(diǎn)間的交互更為高效，節(jié)點(diǎn)在通信過(guò)程中緩存了鄰節(jié)點(diǎn)的相關(guān)信息和網(wǎng)絡(luò)的相關(guān)參數(shù)：Neighbor cache記錄了鄰居節(jié)點(diǎn)的IPMAC映射關(guān)系，該節(jié)點(diǎn)是否為路由器及其可達(dá)狀態(tài)；Destination cache記錄了對(duì)應(yīng)于目的IP的下一跳IP地址及PMTU；Prefix List記錄了本地地址前綴及其相應(yīng)時(shí)間參數(shù)；Default router list記錄了鏈路上的路由器信息。節(jié)點(diǎn)在與鄰節(jié)點(diǎn)通信時(shí)，就是通過(guò)查詢上述緩存來(lái)進(jìn)行具體的下一跳確定、地址解析、鄰居不可達(dá)檢測(cè)NUD和地址重復(fù)檢測(cè)DAD等。緩存中的信息對(duì)節(jié)點(diǎn)間的交互具有重要作用，若緩存中信息的合法性、有效性無(wú)法得到保證，則節(jié)點(diǎn)間通信的持續(xù)性、安全性也就無(wú)法得到保證。

緩存中信息的建立與維護(hù)是通過(guò)一系列的ND報(bào)文的交互來(lái)實(shí)現(xiàn)的，而ND協(xié)議默認(rèn)本地鏈路這個(gè)網(wǎng)絡(luò)環(huán)境是可信的，即節(jié)點(diǎn)無(wú)法對(duì)來(lái)自本鏈路的ND報(bào)文進(jìn)行有效性、合法性的確認(rèn)，只能默認(rèn)接收該報(bào)文并據(jù)此對(duì)緩存進(jìn)行更新，因此鏈路中的惡意節(jié)點(diǎn)可以利用節(jié)點(diǎn)間的信任，發(fā)送偽造的ND報(bào)文，從而竄改目標(biāo)節(jié)點(diǎn)的相應(yīng)緩存，致使目標(biāo)節(jié)點(diǎn)無(wú)法與其他節(jié)點(diǎn)進(jìn)行正常通信；或發(fā)布錯(cuò)誤的網(wǎng)絡(luò)配置參數(shù)，對(duì)其進(jìn)行欺騙攻擊，進(jìn)而造成整個(gè)網(wǎng)絡(luò)通信效率低下甚至癱瘓。

IPv6中節(jié)點(diǎn)在進(jìn)行地址解析時(shí)，需要在neighbor cache中創(chuàng)建一個(gè)待解析鄰居節(jié)點(diǎn)的緩存表項(xiàng)，并將其狀態(tài)設(shè)置為incomplete（鄰居緩存中的記錄可能處于五種狀態(tài)：incomplete、stale、reachable、delay和probe）。由于IPv6中最小子網(wǎng)的地址空間為264，即一個(gè)節(jié)點(diǎn)的同一鏈路上可以有多達(dá)264個(gè)鄰居節(jié)點(diǎn)。從理論上來(lái)說(shuō)，節(jié)點(diǎn)可能會(huì)在短時(shí)間內(nèi)需要對(duì)264個(gè)IP地址發(fā)送多播NS進(jìn)行地址解析。在這種情況下，節(jié)點(diǎn)的neighbor cache將被迅速耗盡，而且大量的多播NS報(bào)文還將造成網(wǎng)絡(luò)擁塞。若攻擊者能夠使目標(biāo)節(jié)點(diǎn)在短時(shí)間內(nèi)對(duì)大量不同的IP地址進(jìn)行地址解析，則可能造成對(duì)目標(biāo)節(jié)點(diǎn)和目標(biāo)網(wǎng)絡(luò)的DoS攻擊。

2基于ND的DoS攻擊方法分析

2．1鏈路內(nèi)DoS攻擊

ND作為鏈路內(nèi)節(jié)點(diǎn)間相互通信的基礎(chǔ)協(xié)議，255的hop limit限制確保了ND報(bào)文只能由同一鏈路內(nèi)的節(jié)點(diǎn)發(fā)出，因此基于ND協(xié)議的DoS攻擊大部分只能由同一鏈路內(nèi)的惡意節(jié)點(diǎn)發(fā)起。惡意節(jié)點(diǎn)可利用ND協(xié)議缺乏認(rèn)證機(jī)制，對(duì)鏈路內(nèi)節(jié)點(diǎn)進(jìn)行各種方式的DoS攻擊，如發(fā)送錯(cuò)誤的ND報(bào)文偽造節(jié)點(diǎn)的IPMAC映射關(guān)系，發(fā)布錯(cuò)誤的網(wǎng)絡(luò)配置參數(shù)，或重定向節(jié)點(diǎn)的路由。

2.1.1重復(fù)地址檢測(cè)DoS

當(dāng)一個(gè)網(wǎng)絡(luò)接口開(kāi)始啟用時(shí)，將首先根據(jù)接口的48位MAC地址生成64位的interface ID(若考慮到網(wǎng)絡(luò)通信時(shí)的身份隱秘問(wèn)題，此時(shí)的Interface ID將根據(jù)RFC 3041[4]隨機(jī)生成)。將此interface ID加上鏈路本地地址前綴FE80::/64，網(wǎng)絡(luò)接口得到一個(gè)臨時(shí)鏈路本地地址。在將這個(gè)鏈路本地地址綁定到網(wǎng)絡(luò)接口之前，為了防止與其他節(jié)點(diǎn)地址沖突，節(jié)點(diǎn)需對(duì)此臨時(shí)地址進(jìn)行重復(fù)地址檢測(cè)DAD，即系統(tǒng)向該IP地址的請(qǐng)求節(jié)點(diǎn)多播地址（節(jié)點(diǎn)同時(shí)也會(huì)向該多播地址發(fā)送多播監(jiān)聽(tīng)報(bào)告multicast listener report） (solicited node multicast address) FF02::1:FFXX::XXXX發(fā)送一個(gè)多播鄰居請(qǐng)求報(bào)文，其數(shù)據(jù)幀的目的MAC地址為對(duì)應(yīng)于請(qǐng)求節(jié)點(diǎn)多播地址的以太網(wǎng)多播地址33:33:FF:XX:XX:XX[5]。若節(jié)點(diǎn)收到一個(gè)來(lái)自待檢測(cè)IP地址的鄰居通告消息報(bào)文，則說(shuō)明本鏈路有其他節(jié)點(diǎn)在使用此地址，本節(jié)點(diǎn)只能再隨機(jī)生成interface ID或由管理員進(jìn)行手工配置。

鏈路內(nèi)的惡意攻擊節(jié)點(diǎn)可以監(jiān)聽(tīng)本鏈路的DAD報(bào)文，提取出每一個(gè)DAD報(bào)文中的待檢測(cè)地址，并以此地址偽造一個(gè)NA數(shù)據(jù)包進(jìn)行回復(fù)。這樣被攻擊節(jié)點(diǎn)會(huì)認(rèn)為此地址已被使用，從而只能再生成一個(gè)新的地址，并進(jìn)行DAD。攻擊節(jié)點(diǎn)一直針對(duì)DAD數(shù)據(jù)包進(jìn)行回復(fù)，所以將導(dǎo)致被攻擊節(jié)點(diǎn)始終無(wú)法獲得IP地址，從而切斷了被攻擊節(jié)點(diǎn)與外界的聯(lián)系。

由于攻擊節(jié)點(diǎn)無(wú)須利用任何欺騙手段就直接能接收到整個(gè)鏈路內(nèi)的所有DAD報(bào)文(即使在交換網(wǎng)絡(luò)環(huán)境下，交換機(jī)是根據(jù)數(shù)據(jù)包的源MAC地址來(lái)進(jìn)行端口綁定，目的MAC為以太網(wǎng)多播地址33:33:FF:XX:XX:XX的DAD報(bào)文將被轉(zhuǎn)發(fā)到各個(gè)端口)。若攻擊者對(duì)整個(gè)鏈路內(nèi)的DAD報(bào)文進(jìn)行回復(fù)，則將造成整個(gè)鏈路通信的癱瘓。在實(shí)驗(yàn)中，重復(fù)地址檢測(cè)DoS攻擊能有效阻斷被攻擊節(jié)點(diǎn)的通信。

2.1.2地址映射欺騙DoS

IPv6及節(jié)點(diǎn)間交互的ND報(bào)文中，鄰節(jié)點(diǎn)請(qǐng)求報(bào)文NS、鄰節(jié)點(diǎn)通告報(bào)文NA、路由器請(qǐng)求報(bào)文RS和路由器通告報(bào)文RA中均帶有鏈路層地址的選項(xiàng)字段。根據(jù)RFC 2461，當(dāng)節(jié)點(diǎn)收到NS/NA/RS/RA報(bào)文時(shí)，在一定條件下會(huì)根據(jù)其中的鏈路層地址選項(xiàng)字段進(jìn)行更新。節(jié)點(diǎn)在收到發(fā)向自己的NS、RS或RA報(bào)文時(shí)，若ND緩存中沒(méi)有對(duì)應(yīng)該報(bào)文源IP的記錄時(shí)，將創(chuàng)建IPMAC記錄并將其狀態(tài)設(shè)為stale，即暫不可用、有待檢驗(yàn)；若ND緩存中有記錄，則根據(jù)新的src linklayer addr選項(xiàng)中的MAC地址更新記錄，也將其狀態(tài)設(shè)為stale；對(duì)于收到的NA報(bào)文節(jié)點(diǎn)的具體處理依賴于其ND緩存中對(duì)應(yīng)記錄所處的狀態(tài)，例如當(dāng)緩存中不存在對(duì)應(yīng)的NA報(bào)文中IP地址，節(jié)點(diǎn)將拋棄此數(shù)據(jù)包，不作緩存更新。

鏈路內(nèi)的惡意節(jié)點(diǎn)可以發(fā)送偽造的RS/RA/NS/NA數(shù)據(jù)包，對(duì)目標(biāo)節(jié)點(diǎn)的緩存進(jìn)行竄改，將鄰居節(jié)點(diǎn)或默認(rèn)路由器的MAC地址映射到不存在的一個(gè)MAC地址，這樣就會(huì)造成目標(biāo)節(jié)點(diǎn)無(wú)法與鄰居節(jié)點(diǎn)或默認(rèn)路由器通信。由于目標(biāo)節(jié)點(diǎn)會(huì)發(fā)送NS對(duì)緩存中的鄰居節(jié)點(diǎn)進(jìn)行鄰居不可達(dá)檢測(cè)NUD，若在一定超時(shí)間隔后，無(wú)法收到來(lái)自目標(biāo)節(jié)點(diǎn)的NA報(bào)文內(nèi)，則將刪除緩存中的偽造記錄，重新進(jìn)行地址解析。為了進(jìn)行持續(xù)的DoS攻擊，攻擊節(jié)點(diǎn)需要回應(yīng)目標(biāo)節(jié)點(diǎn)向偽造MAC地址所發(fā)送NUD數(shù)據(jù)包。考慮到操作系統(tǒng)在實(shí)現(xiàn)IPv6協(xié)議棧時(shí)可能有所差別，試驗(yàn)中對(duì)各操作系統(tǒng)發(fā)送虛假RS/RA/NS/NA報(bào)文進(jìn)行了測(cè)試，其地址映射欺騙的結(jié)果如表1所示。表中的更新表示系統(tǒng)在收到虛假報(bào)文后對(duì)緩存立即進(jìn)行更新，對(duì)應(yīng)NA的有條件更新指系統(tǒng)收到NA報(bào)文后，當(dāng)緩存中存在對(duì)應(yīng)記錄時(shí)才進(jìn)行更新。

鏈路內(nèi)的主機(jī)根據(jù)RA報(bào)文中的參數(shù)進(jìn)行網(wǎng)絡(luò)設(shè)置，當(dāng)攻擊者偽造RA中的各項(xiàng)參數(shù)，則鏈路內(nèi)節(jié)點(diǎn)的網(wǎng)絡(luò)配置將受到不同程度的影響。

1)MTU欺騙RA報(bào)文中的MTU參數(shù)指明了鏈路層的最大傳輸單元，鏈路內(nèi)的主機(jī)根據(jù)此MTU來(lái)決定是否將數(shù)據(jù)包進(jìn)行分片發(fā)送。若本鏈路實(shí)際MTU為5 000，而攻擊者發(fā)送MTU為1 280的RA報(bào)文（RFC 2460中規(guī)定了IPv6中MTU最小為1 280 Byte），則鏈路內(nèi)主機(jī)在發(fā)送大于1 280的數(shù)據(jù)幀時(shí)就必須進(jìn)行分片，從而使網(wǎng)絡(luò)帶寬無(wú)法得到有效利用，同時(shí)數(shù)據(jù)包的分片與重組也造成主機(jī)計(jì)算資源的消耗。

2)前綴信息欺騙RA報(bào)文的前綴信息選項(xiàng)表示了本鏈路的地址前綴及有關(guān)地址自動(dòng)配置的信息。其中：onLink標(biāo)志說(shuō)明了該前綴是否屬于本鏈路的地址前綴；autonomous標(biāo)志說(shuō)明該前綴是否能用于主機(jī)的無(wú)狀態(tài)地址自動(dòng)配置過(guò)程。因此，攻擊者可以冒充本地路由器發(fā)送虛假RA，報(bào)文中填入另一網(wǎng)段的地址前綴，并設(shè)置相應(yīng)的onLink和autonomous標(biāo)志。若onLink標(biāo)志置為1，則鏈路內(nèi)被攻擊主機(jī)會(huì)在其prefix list中創(chuàng)建一條對(duì)應(yīng)于該另一網(wǎng)段地址前綴的記錄。在被攻擊主機(jī)與另一網(wǎng)段內(nèi)的節(jié)點(diǎn)通信時(shí)，由于該網(wǎng)段內(nèi)節(jié)點(diǎn)的IP地址匹配被攻擊主機(jī)prefix list中緩存的表項(xiàng)，被攻擊主機(jī)將認(rèn)為另一網(wǎng)段內(nèi)的節(jié)點(diǎn)和主機(jī)自身處于同一鏈路內(nèi)，從而被攻擊主機(jī)將直接在本鏈路內(nèi)對(duì)該IP地址進(jìn)行地址解析，而不通過(guò)路由器轉(zhuǎn)發(fā)，這樣就能造成被攻擊主機(jī)無(wú)法與該網(wǎng)段內(nèi)的任何節(jié)點(diǎn)進(jìn)行通信。若autonomous標(biāo)志置為1，則鏈路內(nèi)被攻擊主機(jī)將利用這個(gè)屬于另一網(wǎng)段的地址前綴進(jìn)行無(wú)狀態(tài)地址自動(dòng)配置，從而生成一個(gè)屬于另一網(wǎng)段的IP地址。這樣當(dāng)鏈路內(nèi)被攻擊主機(jī)以此IP地址為源地址與外界通信時(shí)，外界回應(yīng)的數(shù)據(jù)包將被路由器根據(jù)此另一網(wǎng)段的IP地址直接路由到另一網(wǎng)段，導(dǎo)致被攻擊主機(jī)收不到任何回應(yīng)報(bào)文。

3)跳數(shù)欺騙跳數(shù)限制hop limit字段的值表示了本鏈路內(nèi)的主機(jī)在發(fā)送報(bào)文時(shí)所應(yīng)設(shè)置的默認(rèn)跳數(shù)，限制報(bào)文在到達(dá)目的地之前所能經(jīng)過(guò)的最大鏈路數(shù)，操作系統(tǒng)一般會(huì)設(shè)置一個(gè)默認(rèn)值，如Windows默認(rèn)為128，Linux默認(rèn)為64。若攻擊者發(fā)送數(shù)值很小的hop limit，如將RA中的hop limit設(shè)置為1，則在鏈路內(nèi)被攻擊主機(jī)根據(jù)此數(shù)值更新其hop limit后，被攻擊主機(jī)發(fā)送的任何數(shù)據(jù)包到達(dá)第一個(gè)路由器后則均將被丟棄，從而無(wú)法與外界通信。

4)路由器生存期欺騙RA中的router lifetime字段表示發(fā)布此RA的路由器作為鏈路內(nèi)節(jié)點(diǎn)默認(rèn)路由器的生存期。當(dāng)此字段數(shù)值為0時(shí)鏈路內(nèi)主機(jī)則將該路由器在default rou￣ter list中的相應(yīng)記錄刪除，不再用其作為默認(rèn)路由器。根據(jù)RFC，當(dāng)節(jié)點(diǎn)的default router list為空，即節(jié)點(diǎn)沒(méi)有默認(rèn)路由器記錄時(shí)，在與任何IP地址通信時(shí)，節(jié)點(diǎn)只能在本鏈路進(jìn)行地址解析。因此攻擊者可以利用這一點(diǎn)，偽裝成鏈路內(nèi)默認(rèn)路由器發(fā)送RA，并將其中的router lifetime設(shè)為0，從而實(shí)現(xiàn)對(duì)本鏈路內(nèi)主機(jī)的DoS攻擊。

2.1.4Redirect DoS

對(duì)于路由器來(lái)說(shuō)，當(dāng)轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)包時(shí)若發(fā)現(xiàn)其目的IP地址對(duì)應(yīng)的節(jié)點(diǎn)屬于本鏈路或者附近有一個(gè)路由器能提供到目的IP地址的更好路由時(shí)，此轉(zhuǎn)發(fā)路由器將向數(shù)據(jù)包的源地址發(fā)送一個(gè)重定向(redirect)報(bào)文，通知源節(jié)點(diǎn)到目的地有一個(gè)更好的下一跳地址。攻擊者可偽裝成本地路由器，向目標(biāo)節(jié)點(diǎn)發(fā)送重定向報(bào)文，將其下一跳路由定向到一個(gè)不存在的地址，從而造成目標(biāo)節(jié)點(diǎn)的通信中斷。

2．2鏈路外DoS攻擊(IP flooding DoS)

ND報(bào)文中，255的hop limit限制確保了ND報(bào)文只能由同一鏈路內(nèi)的節(jié)點(diǎn)發(fā)出，因此鏈路外的攻擊者不能直接發(fā)送ND報(bào)文發(fā)起對(duì)本鏈路內(nèi)節(jié)點(diǎn)的DoS攻擊，但攻擊者可以利用節(jié)點(diǎn)neighbor cache過(guò)小和IPv6地址空間過(guò)大的矛盾，通過(guò)讓目標(biāo)鏈路中的路由器在短時(shí)間內(nèi)對(duì)大量IP地址進(jìn)行地址解析，耗盡路由器的緩存，使大量無(wú)用的多播NS報(bào)文占用目標(biāo)鏈路的帶寬，達(dá)到在鏈路外發(fā)起遠(yuǎn)程DoS攻擊的目的。

對(duì)于具有264地址空間的IPv6最小子網(wǎng)來(lái)說(shuō)，遠(yuǎn)程攻擊者可以根據(jù)該目標(biāo)子網(wǎng)的64位地址前綴，結(jié)合隨機(jī)或順序生成的后64位主機(jī)ID，組成屬于目標(biāo)網(wǎng)絡(luò)的IP地址，在短時(shí)間內(nèi)向目標(biāo)網(wǎng)絡(luò)內(nèi)的各個(gè)生成地址發(fā)送數(shù)據(jù)包。當(dāng)這些數(shù)據(jù)包經(jīng)過(guò)最后一跳的默認(rèn)路由器時(shí)，默認(rèn)路由器就必須對(duì)這些生成的地址進(jìn)行地址解析。由于子網(wǎng)的地址空間為264，生成的大量地址均將不存在，如圖1所示。即使對(duì)于擁有232個(gè)節(jié)點(diǎn)的子網(wǎng)，生成的IP地址也有大于99%的可能性是不存在目標(biāo)子網(wǎng)內(nèi)的。這樣最后一跳的路由器就必須等待每一個(gè)地址解析請(qǐng)求的超時(shí)，因而在短時(shí)間內(nèi)目標(biāo)路由器的緩存就可能被耗盡，使路由器無(wú)法為正常數(shù)據(jù)包進(jìn)行地址解析請(qǐng)求服務(wù)。且目標(biāo)路由器發(fā)送的大量多播NS報(bào)文也將占據(jù)鏈路內(nèi)的有效帶寬，形成對(duì)這個(gè)子網(wǎng)的DoS攻擊。這種攻擊方法在原理上類似于SYN flooding，攻擊的效果將由路由器地址解析的超時(shí)時(shí)間、緩存管理機(jī)制等因素決定。

3ND安全防護(hù)

從安全的角度看，鄰居發(fā)現(xiàn)協(xié)議的問(wèn)題就在于其運(yùn)行機(jī)制的默認(rèn)前提是鏈路內(nèi)節(jié)點(diǎn)可信，即子網(wǎng)中的每個(gè)節(jié)點(diǎn)均按照協(xié)議標(biāo)準(zhǔn)運(yùn)作。但是，由于IPv6將被廣泛地部署在不同的網(wǎng)絡(luò)環(huán)境中，并非均是ND協(xié)議運(yùn)行所默認(rèn)的可信網(wǎng)絡(luò)環(huán)境，ND協(xié)議就容易受到鏈路內(nèi)惡意節(jié)點(diǎn)發(fā)起的DoS攻擊，而且255的hop limit限制并不能阻止攻擊者從鏈路外發(fā)起利用ND的對(duì)鏈路內(nèi)路由器和整個(gè)子網(wǎng)的DoS攻擊。

要針對(duì)ND進(jìn)行安全防護(hù)，首先可以針對(duì)基于ND的各種攻擊方式進(jìn)行檢測(cè)。例如對(duì)于重復(fù)地址檢測(cè)DoS，由于IPv6地址空間巨大，由MAC地址或隨機(jī)生成的IP地址沖突的幾率極小，若節(jié)點(diǎn)連續(xù)幾次發(fā)現(xiàn)地址沖突，則可認(rèn)為受到重復(fù)地址檢測(cè)DoS；對(duì)于發(fā)送NS/NA/RS/RA進(jìn)行地址映射欺騙的DoS攻擊，節(jié)點(diǎn)可以對(duì)收到的ND報(bào)文進(jìn)行有選擇性接收，當(dāng)發(fā)現(xiàn)緩存中的MAC地址與ND報(bào)文中的MAC地址不匹配時(shí)，并不立即進(jìn)行更新，而是對(duì)目標(biāo)節(jié)點(diǎn)進(jìn)行鄰居不可達(dá)檢測(cè)，若等待一段時(shí)間后收到兩個(gè)NA報(bào)文，同一IP地址被映射到兩個(gè)不同的MAC地址，則可認(rèn)為鏈路中存在攻擊節(jié)點(diǎn)；對(duì)于網(wǎng)絡(luò)配置參數(shù)DoS，節(jié)點(diǎn)可以預(yù)先設(shè)置一些鏈路內(nèi)的默認(rèn)參數(shù)，如MTU、默認(rèn)路由器等，這些參數(shù)并不根據(jù)收到的RA報(bào)文進(jìn)行更新，而且本鏈路的合法路由器也不會(huì)對(duì)這些參數(shù)通過(guò)發(fā)送RA進(jìn)行設(shè)置。當(dāng)收到設(shè)置這些參數(shù)的RA時(shí)，節(jié)點(diǎn)即可認(rèn)為自己受到了欺騙攻擊，鏈路內(nèi)存在惡意節(jié)點(diǎn)。

為了避免基于ND安全缺陷的攻擊，比較有效的辦法是對(duì)ND報(bào)文進(jìn)行認(rèn)證，甄別合法報(bào)文。在RFC 2461中提及使用IPSec對(duì)ND協(xié)議數(shù)據(jù)包進(jìn)行認(rèn)證，保證其可信性和完整性，但利用IPSec時(shí)仍然受到密鑰管理的困擾：一個(gè)節(jié)點(diǎn)需要一個(gè)IP地址來(lái)運(yùn)行IKE，而IKE用來(lái)建立IPSec中的安全關(guān)聯(lián)SA，但在進(jìn)行地址配置獲得一個(gè)IP地址時(shí)需要已建立的安全關(guān)聯(lián)SA。目前只能通過(guò)管理員在節(jié)點(diǎn)上手動(dòng)設(shè)置密鑰，建立安全關(guān)聯(lián)SA。當(dāng)網(wǎng)絡(luò)中存在大量節(jié)點(diǎn)時(shí)，節(jié)點(diǎn)間需要建立很多安全關(guān)聯(lián)，這給管理員帶來(lái)了很大的負(fù)擔(dān)。目前，IETF的Securing Neighbor Discovery工作組正在研究此問(wèn)題的解決方法，即secure neighbor discovery[10]。但是對(duì)ND報(bào)文進(jìn)行認(rèn)證防護(hù)并不能避免遠(yuǎn)程攻擊者發(fā)起的IP flooding DoS攻擊，要防御IP flooding DoS，目前比較好的辦法是通過(guò)合理的緩存管理機(jī)制，限制單位時(shí)間內(nèi)進(jìn)行地址解析的次數(shù)，或采取有狀態(tài)的地址配置機(jī)制，在本鏈路內(nèi)對(duì)每個(gè)獲得地址的節(jié)點(diǎn)進(jìn)行登記，當(dāng)最后一跳路由器收到發(fā)向不存在IP地址的數(shù)據(jù)包時(shí)就能直接丟棄該數(shù)據(jù)包，從而在一定程度上避免DoS攻擊。但這種方法將喪失無(wú)狀態(tài)地址自動(dòng)配置的靈活性，而且并不適合用于節(jié)點(diǎn)頻繁移動(dòng)的無(wú)線網(wǎng)絡(luò)環(huán)境。因此，如何避免基于ND的遠(yuǎn)程DoS攻擊有待進(jìn)一步研究。

參考文獻(xiàn)：

［1］DEERING S， HINDEN R. IETF RFC 2460， Internet protocol， version 6 (IPv6) specification[S]. 1998.

[2］NARTEN T， NORDMARK E， SIMPSON W. IETF RFC 2461， Neighbor discovery for IP version 6[S]. 1998.

[3］Information Sciences Institute University of Southern California. IETF RFC 791，Darpa Internet program protocol specification[S]. 1981.

[4］NARTEN T， DRAVES R. IETF RFC 3041， Privacy extensions for stateless address autoconfiguration in IPv6[S]. 2001.

[5］CRAWFORD M. IETF RFC 2464， Transmission of IPv6 packets over Ethernet networks[S]. 1998.

[6］CRAWFORD M， NARTEN T， THOMAS S. IETF RFC 2470， Transmission of IPv6 packets over token ring networks[S]. 1998.

[7］CONTA A， DEERING S. IETF RFC 2463， Internet control message protocol for IPv6[S]. 1998.

[8］NIKANDER P， KEMPF J， NORDMARK E. IETF RFC 3756， IPv6 neighbor discovery (ND) trust models and threats[S]. 2004.

[9］THOMSON S， NARTEN T. IETF RFC 2462， IPv6 stateless address autoconfiguration[S]. 1998.

[10］ARKKO J， KEMPF J， ZILL B， et al. IETF RFC 3971， Secure neighbor discovery[S]. 2005.

注：“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”