面向“新工科”的IPv6網絡6to4隧道安全實驗技術與應用

劉真　胡曦明　李鵬　王濤

摘要：本文面向我國全面加快實施互聯網協議體系從IPv4向IPv6轉換升級的新部署，聚焦高校“新工科”專業教學改革與產業人才需求精準對接實現產教融合發展的新要求，在系統分析6to4隧道工作原理與安全性的基礎上，提出了基于虛擬仿真的6to4隧道攻擊與防御實驗教學設計，進一步通過實驗拓撲、操作與配置、數據測量與可視化分析等關鍵環節詳細闡述了基于“GNS3仿真平臺+Kali Linux虛擬機”的6to4隧道邊緣和隧道穿越SYN Flood攻擊以及防火墻攻擊防御的實驗教學應用案例，為面向“新工科”建設的實驗教學改革與創新發展提供了切實可行的實踐途徑。

關鍵詞：新工科;IPv6;6to4隧道;網絡安全;實驗教學

中圖分類號：TP393? 文獻標識碼：A? 論文編號：1674-2117（2020）23-0094-08

● 引言

隨著世界新一輪科技創新和第四次工業革命浪潮撲面而來，互聯網協議新體系IPv6成為中國網絡安全與信息化發展在新時代突破IPv4舊體系技術性障礙和體制性牽制的關鍵支點和重要著力點。2017年11月，中共中央辦公廳、國務院辦公廳印發《推進互聯網協議第六版（IPv6）規模部署行動計劃》，提出“加快推進IPv6規模部署，構建高速率、廣普及、全覆蓋、智能化的下一代互聯網”的明確要求，為我國互聯網建設從IPv4向IPv6全面轉換升級按下“快進鍵”。

在IPv6完全取代IPv4之前，IPv4/IPv6將以共存互通的機制長期運行[1]，特別是在向IPv6過渡初期，海量IPv4主機包圍下的IPv6孤島需要依賴Teredo隧道、6over4隧道、6to4隧道、ISATAP隧道等多隧道技術實現互通。[2]在這當中，6to4隧道作為一種采用特殊6to4地址實現IPv6孤島之間跨IPv4通信的自動隧道，因其成本低、易部署現已在教育行業得到大量應用。[3，4，5]然而，6to4隧道在為IPv4向IPv6過渡提供便利的同時，也給網絡安全帶來了潛在威脅。由于6to4隧道邊緣設備必須接收到達的IPv4包，攻擊者可向其發送偽造的攻擊報文，進而造成6to4隧道受到拒絕服務攻擊（DoS，Denial of Service）[6]、中間人攻擊和畸形報文攻擊等多種類型的安全威脅。

面對國內互聯網產業加快向IPv6轉換升級的新部署和新發展，高校網絡空間安全專業如何以“新工科”建設為引領[7]，聚焦IPv6隧道安全主題更新實驗教學內容與方法實現專業教學改革與產業人才需求精準對接的新要求，確保師生所教所學與社會所需協調一致，從而更高質量推進產教融合發展，以人才培養質量提升進一步增強教育服務國家IPv6技術創新發展的能力，成為了當前高?！靶鹿た啤睂嶒灲虒W改革領域富有現實性、基礎性和教育價值的重要課題。

● 6to4隧道工作原理與安全性分析

6to4隧道是一點到多點的自動隧道，主要用于將多個IPv6孤島通過IPv4網絡接入IPv6網絡，其工作原理和面臨的安全威脅如圖1所示。首先，IPv6主機將發送IPv6報文到位于IPv4網絡入口處的邊緣路由器A，邊緣路由器A接收IPv6報文之后根據已配置的6to4隧道把所接收的報文封裝新的IPv4報文頭部，然后將此IPv4報文通過IPv4網絡轉發到隧道目的端，即位于IPv4網絡出口處的邊緣路由器B。此刻，邊緣路由器B將拆除收到的IPv4報文頭部進行解封裝;邊緣路由器B向IPv6網絡轉發解封裝所得的IPv6報文，直到報文到達目的地。

在這個過程中，正常通信的IPv6孤島面臨多種安全威脅。

1.拒絕服務安全威脅

DoS攻擊是指利用網絡協議缺陷，通過突發式手段惡意耗盡被攻擊對象的資源，使其無法向外提供資源或服務直至崩潰。從攻擊原理來看，DoS攻擊可分為兩類：一類是語義攻擊，另一類是暴力攻擊。[8]SYN Flood攻擊兼具上述兩種攻擊的特征。而且，任何連接到Internet上并提供基于 TCP的應用服務的主機或路由器都可能成為這種攻擊的目標。[9]

2.畸形報文安全威脅

畸形報文攻擊是通過向被攻擊對象發送偽造的缺陷IP報文，使攻擊目標在處理這些IP包時，協議軟件無法正常運行直至崩潰，從而給攻擊目標造成嚴重破壞。例如，在IPv4網絡中，攻擊者向路由器或者主機發送畸形報文，受到攻擊的設備因處理不當而崩潰，無法完成正常通信。常見的畸形報文攻擊有Ping of Death、Teardrop等。

3.中間人攻擊安全威脅

中間人攻擊（Man-in-the-Middle Attack，MITM）是一種“間接”的入侵攻擊。這種攻擊模式是通過各種技術手段將一臺被攻擊者控制的計算機，稱為“中間人攻擊機”，虛擬地放置在網絡連接中的兩臺計算機之間[10]，然后，攻擊者利用這臺計算機，將其模擬成原有通信中的兩臺計算機，并與原有計算機建立活動連接，允許其讀取或篡改傳遞的消息。常見的中間人攻擊有ARP欺騙、DNS欺騙等。

● 6to4隧道安全實驗技術與實驗教學

1.實驗技術

傳統的IPv6安全實驗教學多基于“教師演示+學生模仿”的教學流程，通常采用集中多個課時分別完成攻擊和防御實驗，最后再將兩者組成綜合性網絡空間安全實驗，這樣的流程往往存在主題散、形式化和一刀切的弊端，不利于“新工科”背景下產教融合培養創新人才。為此，本文提出了一種基于“GNS3仿真平臺+Kali Linux虛擬機”的IPv6網絡6to4隧道安全性實驗教學設計。

（1）實驗環境搭建

如圖2所示，攻擊源1、2均為Kali Linux虛擬機，6to4隧道在GNS3中搭建，再通過VMware Workstation創建的虛擬網卡與GNS3中的Cloud設備將攻擊源1、2接入GNS3，分別組成IPv4網絡和IPv6網絡6to4隧道安全實驗環境。

實驗環境中的主要設備信息如表1所示。

（2）實驗流程

如下頁圖3所示，本實驗主要分為實驗環境搭建、攻擊實驗、防御實驗、數據測量與可視化分析四部分。首先，基于GNS3和Kali Linux虛擬機建立6to4隧道，搭建安全實驗環境。其次，利用相關工具在IPv4和IPv6環境中對6to4隧道進行攻擊實驗。之后，針對不同的安全威脅采用對應的防御方法進行防御實驗。最后，通過抓包分析、數據提取、計算測量網絡占用率和網絡時延等方式，準確獲取實驗數據，形成可視化結果，得到直觀具體的結論。

2.6to4隧道攻擊實驗教學

本文以SYN Flood開展6to4隧道邊緣攻擊和隧道穿越攻擊實驗教學，具體操作步驟及關鍵配置如下頁圖4所示。

（1）搭建6to4隧道

6to4隧道關鍵配置如下頁表2所示。其中，“int tunnel 1”表示定義隧道序號為1。“ipv6 unnumbered e0/0”表示tunnel 1借用了路由器接口e0/0的地址?！皌unnel source s2/0”表示設置隧道的源地址為路由器接口s2/0的地址。因此，本路由器接口e0/0的地址前綴必須嵌入源s2/0的地址?！皌unnel mode ipv6ip 6to4”則表示設置隧道模式為6to4。所以，當IPv6報文到達路由器時，經過處理后將從接口s2/0進入IPv4網絡。

（2）連通性測試

為了測試6to4隧道的連通性，在PC1 ping PC2時，分別抓取隧道邊緣路由器R2和R3的報文，結果如第98頁圖5所示。可以發現，在IPv6報文到達隧道邊緣路由器R2后，路由器R2根據已配置好的6to4隧道內容把所接收的IPv6報文封裝上IPv4報文頭部，并發送給隧道另一端的邊緣路由器R3。

（3）6to4隧道攻擊

SYN Flood攻擊方式可分為直接攻擊、欺騙式攻擊和分布式攻擊。直接攻擊中發送的SYN數據包并未偽裝自己的IP地址，而欺騙式攻擊中發送的是經過偽裝的IP地址的SYN數據包。另外，還可根據偽造的源地址方式，將欺騙式攻擊分為偽造特定源IP地址和偽造隨機源IP地址的攻擊。在本實驗隧道邊緣攻擊部分，將利用hping3在IPv4環境中發動直接攻擊和欺騙式攻擊;在隧道穿越攻擊部分，則利用Hyenae發動欺騙式攻擊，具體內容如下頁表3所示。

（4）數據測量與可視化分析

在隧道邊緣攻擊中，當虛擬機Kali Linux利用hping3進行直接SYN Flood攻擊時，虛擬機會相應收到隧道邊緣路由器響應的ACK報文，如下頁圖6所示。

但當虛擬機Kali Linux利用hping3進行特定源IP欺騙的SYN Flood攻擊和隨機源IP欺騙的SYN Flood攻擊時，由于偽造了源IP地址，所以虛擬機不會收到隧道邊緣路由器響應的ACK報文[11]，如下頁圖7、第99頁圖8所示。

同樣，在隧道穿越攻擊中，當虛擬機Kali Linux利用Hyenae進行特定源IP欺騙的SYN Flood攻擊時，虛擬機也不會收到隧道邊緣路由器響應的ACK報文，如下頁圖9所示。

在對6to4隧道進行SYN Flood攻擊的同時，觀察計算機CPU使用率，可以明顯發現CPU使用率大幅增加，一度接近100%，如下頁圖10所示。在攻擊結束后，由于被攻擊路由器需要在TCP連接建立等待時間超時后才能釋放因SYN Flood產生的大量半連接，因此CPU使用率從峰值向下緩降并且持續一段時間后才恢復到攻擊前的正常區間。

當隧道邊緣路由器受到攻擊時，IPv6主機PC1 ping PC2的響應時間也比隧道邊緣路由器未受到攻擊時的響應時間長，甚至出現了丟包現象。如下頁圖11所示，縱坐標表示響應時間，橫坐標表示PC1 ping PC2的次數。

上述現象產生的原因在于，當攻擊源Kali Linux虛擬機向隧道邊緣路由器建立一個TCP連接時，首先將發送一個SYN消息，如果路由器同意建立連接，則響應一個SYN消息的回應（SYN+ACK），而攻擊源收到SYN+ACK后并不會發送ACK完成三次握手。這時被攻擊的路由器就形成了“半連接”。而TCP半連接隊列是有限的，如果攻擊者發送大量SYN消息，半連接隊列就會溢出。當攻擊的SYN包超過半連接隊列的最大值時，正?？蛻舭l送的SYN數據包請求連接就會被丟棄。

3.6to4隧道防御實驗技術與實驗教學

（1）防御方法（如下頁圖12）

①防火墻。

防火墻是指在兩個網絡或系統之間實施訪問控制的安全防御系統，是內部網絡和外部網絡之間的一道安全屏障。[12]防火墻主要可分為包過濾防火墻和代理防火墻。前者根據已定義好的過濾規則，決定相關數據能否流動和傳遞，從而有效地攔截大量垃圾數據。后者則通常在客戶端和服務器之間充當轉接的作用，屏蔽了客戶端和服務器的直接連接，使得外網的非法數據難以直接越過防火墻進入內網，從而保護了內網的安全。

②SYN Cookie。

SYN Cookie技術使得TCP服務器收到TCP SYN報文后，并不按通常做法為之分配一個專門的緩沖區，而是只計算生成cookie值，然后作為SYN ACK報文的TCP初始序列號，隨該報文返回。[13]此時，服務器端并不為此次連接存儲任何信息。之后，當服務器再收到一個來自非活動套接字的ACK報文時，系統將根據這個TCP ACK包的包頭信息計算出一個Cooike值，并與返回的確認序列號進行比對。如果合法，系統將為之分配緩沖區，正式建立連接，否則丟棄該報文。

③SYN Cache。

SYN Cache機制通過一個專用的全局HASH表（Cache）代替每個端口的線性表來保存半連接信息，直至收到ACK信息才為連接分配系統資源。SYN Cache的設計核心就是盡量減少連接所占用的資源數量，使得服務器能夠容納更多的半連接。

（2）基于防火墻的攻擊防御實驗教學

為防御SYN Flood攻擊，本實驗將防火墻作為TCP連接的中轉代理與隧道邊緣路由器相連。經過對防火墻的合理配置，之前直接與邊緣路由器建立連接的數據流量現在都必須先與防火墻建立連接，從而降低了被非法數據攻擊的風險。

①操作與配置。

在GNS3中，模擬防火墻的ASAv的每個接口都有一個安全級別，其范圍是0～100，數值越大表示其安全級別越高，并且默認從高安全級別到低安全級別的訪問是允許的，而從低安全級別到高安全級別的訪問是不允許的。因此，設置ASAv接口e0/0的安全級別為0，接口e0/1的安全級別為100，使數據無法從接口e0/0訪問接口e0/1。此外，還通過配置訪問控制列表（Access Control Lists，ACL），禁止所有數據訪問接口e0/0，關鍵配置如表4所示。

②攻擊防御結果分析。

在Safety域中，IPv6主機發出的報文可以正常經過隧道邊緣路由器的封裝，解封裝到達目的IPv6主機。在Unsafety域中，攻擊源Kali Linux虛擬機發起SYN Flood攻擊時，大量惡意SYN包被防火墻阻擋在外，無法攻擊隧道邊緣路由器，如圖13所示。這說明配置的防火墻防御成功。

● 總結

隨著我國互聯網產業向IPv6全面轉換升級，“新工科”產教融合協同發展背景下高校IPv6課程教學面臨新的課題。以此為牽引，本文聚焦IPv6階段性部署過程中IPv6網絡互聯互通規?；鲩L的發展走向，針對6to4隧道安全性實驗教學提出了基于“GNS3仿真平臺+Kali Linux虛擬機”的教學設計，通過SYN Flood開展了6to4隧道邊緣攻擊和隧道穿越攻擊實驗教學，實驗過程中涉及的操作與配置、數據測量與可視化分析等過程性環節表明本文提出的6to4隧道安全性實驗技術可以快速、高效地將IPv6安全引入高校實驗教學體系，為“新工科”實驗教學改革與創新發展提供了切實可行的實踐途徑。

參考文獻：

[1]Y. Sookun and V. Bassoo. Performance analysis of IPv4/IPv6 transition techniques[C]. 2016 IEEE International Conference on Emerging Technologies and Innovative Business Practices for the Transformation of Societies （EmergiTech）， Balaclava， 2016：188-193， doi： 10.1109/EmergiTech.2016.7737336.

[2]Komal. Performance Evaluation of Tunneling Mechanisms in IPv6 Transition：A Detailed Review[C].2015 Second International Conference on Advances in Computing and Communication Engineering，Dehradun，2015：144-149，doi：10.1109/ICACCE.2015.95.

[3]Jianbo Liu.Application of tunneling technology in campus IPv6 network[C].2011 International Conference on Computer Science and Service System （CSSS）， Nanjing， 2011：3872-3875， doi： 10.1109/CSSS.2011.5974913.

[4]黃石平，謝健.南京醫科大學IPv6網絡的建設與應用[J].現代計算機：專業版，2014（15）：47-50.

[5]周振東.IPv6在教育信息化中的應用[J].中國信息技術教育，2011（09）：77-79.

[6]任志磊，劉穎，張思東.6to4機制的安全性分析[J].中國高新技術企業，2007（13）：101+105.

[7]教育部辦公廳印發《教育部產學合作協同育人項目管理辦法》[J].教育科學論壇，2020（09）：15.

[8]駱焦煌.異常網絡環境下云計算資源需求策略[J].吉林大學學報：理學版，2017，55（04）：964-968.

[9]張雙，卿斯漢.拒絕服務攻擊的分析和防范[J].計算機工程與應用，2002（12）：183-187.

[10] 康榮保，張玲，蘭昆.SSL中間人攻擊分析與防范[J].信息安全與通信保密，2010（03）：85-87+90.

[11] 孫輝，樊龍，馬士友.SYN Flood攻擊原理、檢測及防御[J].現代計算機專業版，2012（33）：51-53.

[12] 杜博杰，鐘慧茹，葛運偉.計算機網絡信息安全中防火墻技術的有效運用分析[J].中國新通信，2020，22（01）：154-155.

[13] 孫曦，朱曉妍，王育民.DDoS下的TCP洪流攻擊及對策[J].網絡安全技術與應用，2004（04）：31-34.

作者簡介：劉真（1998.09—），第一作者，男，四川南充人，陜西師范大學計算機科學學院創新實驗班本科生;胡曦明（1978.9—），通訊作者，男，四川南充人，博士，講師，教育碩士導師，主要研究領域為智慧教育、計算機教育;李鵬（1981.11—），男，陜西扶風人，博士，副教授，碩導，主要研究領域為移動計算、教育信息化;王濤（1980.07—），男，甘肅永昌人，博士，副教授，碩導，主要研究領域為計算機網絡、信息網絡安全。

基金項目：陜西省科技計劃重點研發項目（2020GY-221）;陜西省教育科學“十三五”規劃課題（SGH16H024）;教育部陜西師范大學基礎教育課程研究中心項目（2019-JCJY009）;中央高?；究蒲袠I務費專項資金資助項目（GK201503065）;陜西師范大學教師教學模式創新與實踐研究基金項目（JSJX2020Z28，JSJX2019Z47）;2020年度陜西師范大學一流本科課程建設項目“計算機網絡”（線上線下混合式課程）。