文档介绍:IPv6解决方案ND防攻击技术白皮书
关键词:ND,ARP,ND攻击,ARP攻击,交换机,IPV6
摘要:
缩略语清单:
1 ND攻击概述
邻居发现协议(Neighbor Discovery Protocol,以下称ND协议)是IPv6的一个关键协议,可以说,ND协议是IPv4某些协议在IPv6中综合起来的升级和改进,如ARP、ICMP路由器发现和ICMP重定向等协议。当然,作为IPv6的基础性协议,ND还提供了其他功能,如前缀发现、邻居不可达检测、重复地址检测、地址自动配置等。
在IPv4网络中,ARP攻击问题已经为广大的网络管理者,设备厂商所认识,ARP攻击能够造成大面积网络不能正常访问外网,使得正常用户深受其害。针对ARP攻击,大部分的网络设备厂商都推出了自己的ARP防攻击解决方案,在很大程度上解决了ARP攻击的问题。而伴随着IPv6网络的建设,在IPv6协议族中的NDP协议越来越被重视,而在ND协议的设计与ARP协议一样并未提供认证机制,导致网络中的主机是不可信的,从而使得针对ND协议的攻击非常容易。
2 ND协议介绍
ND报文类型
ND协议定义的报文使用ICMP承载,其类型包括:路由器请求报文、路由器通告报文、邻居请求报文、邻居通告报文和重定向报文。
由于ND报文中的可选字段及代码类型较多,下面描述的ND报文中的各个字段并不完全,主要描述了涉及到ND防攻击技术的选项。
路由器请求报文RS Router Solicitation Message
主机启动后,通过RS消息向路由器发出请求,期望路由器立即发送RA消息响应。RS报文格式如图1。
图1 路由器请求报文
l Type 类型字段,值133
l Code 代码字段,值0
l Options 选项字段
ü 源链路层地址选项仅用于已编址的链路层
可用于RS报文的只有源链路层地址选项,表明该报文发送者的链路层地址。如果IPv6头的源地址为未指定地址,则不能包括该选项。
同时,IPv6报文头中的字段要求如下:
l Hop Limit 值255,保证是本地链路上的报文
l Source Address 发送接口的本地链路地址或未指定地址
l Destination Address 本地链路中所有路由器的地址FF02::2
路由器通告报文RA Router Advertisement Message
路由器周期性的发布RA消息,其中包括前缀和一些标志位的信息,或者以RA报文响应路由器请求报文RS。RA的报文格式如图2。
图2 路由器通告报文
l Type 类型字段,值134
l Code 代码字段,值0
l M 管理地址配置标识(Managed address configuration)
0-无状态地址分配,客户端通过无状态协议(如ND)获得IPv6地址;
1-有状态地址分配,客户端通过有状态协议(如DHCPv6)获得IPv6地址。
l O 其它有状态配置标识(Other stateful configuration)
0-客户端通过无状态协议(如ND)获取除地址外的其他配置信息;
1-客户端通过有状态协议(如DHCPv6)获取除地址外的其他配置信息,如DNS、SIP服务器信息。协议规