报文IPv6解决方案ND防攻击技术白皮书

防攻击  时间:2021-03-03  阅读:()

IPv6解决方案ND防攻击技术白皮书

关键词 ND ARP ND攻击 ARP攻击交换机 IPV6

摘 要本文介绍了在IPv6网络中的ND攻击及防攻击的技术思路以及H3C公司的ND防攻击方案部署的典型方案以及技术特点。

缩略语清单

目 录

1 ND攻击概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2 ND协议介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2.1 ND报文类型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

1.1 邻居通告报文NA Neighbor Advertis ement Mes s age. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

2.2 ND协议主要功能介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

1.2 地址解析 Address resolution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

1.3 重复地址检测DAD Duplicate Address Detection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

3 ND常见攻击介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

3.1 ND常见攻击类型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

4 H3C的ND防攻击解决方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

4.1 信任表项与ND Detection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

4.2 RA Trust与DHCP Trust. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

5 总结. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1 ND攻击概述

邻居发现协议Neighbor Discovery Protocol  以下称ND协议是IPv6的一个关键协议可以说 ND协议是IPv4某些协议在IPv6中综合起来的升级和改进如ARP、 IC MP路由器发现和ICMP重定向等协议。当然作为IPv6的基础性协议 ND还提供了其他功能如前缀发现、邻居不可达检测、重复地址检测、地址自动配置等。

在IPv4网络中 ARP攻击问题已经为广大的网络管理者设备厂商所认识 ARP攻击能够造成大面积网络不能正常访问外网使得正常用户深受其害。针对ARP攻击大部分的网络设备厂商都推出了自己的ARP防攻击解决方案在很大程度上解决了ARP攻击的问题。而伴随着IPv6网络的建设在IPv6协议族中的ND P协议越来越被重视而在ND协议的设计与ARP协议一样并未提供认证机制导致网络中的主机是不可信的从而使得针对ND协议的攻击非常容易。

2 ND协议介绍

2.1 ND报文类型

ND协议定义的报文使用ICMP承载其类型包括路由器请求报文、路由器通告报文、邻居请求报文、邻居通告报文和重定向报文。

由于ND报文中的可选字段及代码类型较多下面描述的ND报文中的各个字段并不完全主要描述了涉及到ND防攻击技术的选项。

2.1.1 路由器请求报文RS Router Solicitation Message

主机启动后通过RS消息向路由器发出请求期望路由器立即发送RA消息响应。 R S报文格式如图1 。

 T yp e 类型字段值133

 Code 代码字段值0

 Options 选项字段

 源链路层地址选项 仅用于已编址的链路层

可用于RS报文的只有源链路层地址选项表明该报文发送者的链路层地址。如果IPv6头的源地址为未指定地址则不能包括该选项。

同时 IPv6报文头中的字段要求如下

 Hop Limit 值255保证是本地链路上的报文

 Source Address发送接口的本地链路地址或未指定地址

 Destination Address本地链路中所有路由器的组播地址FF02::2

2.1.2 路由器通告报文RA Router Advertisement Message

路由器周期性的发布RA消息其中包括前缀和一些标志位的信息或者以RA报文响应路由器请求报文RS。 RA的报文格式如图2。

 T yp e 类型字段值134

 Code 代码字段值0

 M 管理地址配置标识Managed address configuration

0无状态地址分配客户端通过无状态协议如ND获得IPv6地址

1有状态地址分配客户端通过有状态协议如DHCPv6获得IPv6地址。 O 其它有状态配置标识Other stateful c onfiguration

0客户端通过无状态协议如ND获取除地址外的其他配置信息

1客户端通过有状态协议如DHCPv6获取除地址外的其他配置信息如DNS、SIP服务器信息。

协议规定若M标记置为1 则O标记也应置为1否则无意义。

 Router Lifet ime 缺省路由器的生命周期单位秒

表示发送该RA报文的路由器作为缺省路由器的生命周期。Router Lifetime最长9000秒小时缺省值30分钟。如果该字段为0时表示该路由器不能作为缺省路由器但RA报文的其他信息仍然有效。

 Reachable Time 可达时间单位毫秒

发送NS报文后在得到邻居可达性确认后认为邻居可达的时间 0表示不指定。

路由器在接口上通过发送RA报文让同一链路上的所有节点都使用相同的可达时间。若Reachable Time为0表示路由器不指定该字段参数。该值可配置 RA报文中缺省值为0。

 Retrans Timer重传定时器单位毫秒

重传NS报文的时间间隔用于邻居不可达检测和地址解析。若该值为0表示路由器不指定该字段参数。该值可配置 RA报文缺省值为0。

 Options 选项字段

 源链路层地址选项 仅用于已编址的链路层。当路由器正在多个链路层地址上

进行负荷分担时要忽略该选项。

 MTU选项 链路的可变MTU

 前缀信息选项 用于地址自动配置的前缀信息可包含多个

 路由信息选项 用于主机生成缺省路由表明前缀通过该路由器是可达的

同时 IPv6报文头中的字段要求如下

 Source Address必须是发送接口的本地链路地址

 Destination Address 组播地址FF02::1 或发送RS请求报文的主机的单播地址

2.1.3 邻居请求报文NS Neighbor Solicitation Message

主机通过NS消息可以得到邻居的链路层地址、检查邻居是否可达、重复地址检测等。

 T yp e 类型字段值135

 Code 代码字段值0

 Target Address 目标地址 16bytes

请求目标的IP地址不能是组播地址可以是本地链路、本地站点、全局地址。 Options 选项字段

 源链路层地址选项

和RS报文的选项相同可用于NS报文的只有源链路层地址选项。源链路层选项仅用于已编址的链路层如果IPv6头的源地址为未指定地址则不能包括该选项。

同时 IPv6报文头中字段要求如下

 Source Address发送接口的地址或未指定地址DAD检测

 Destination Address 目的节点单播地址或目的节点地址对应的请求节点组播地址需要说明如果源地址为未指定地址则目的地址应为被请求节点的组播地址并且没有源链路层地址选项。

1.1 邻居通告报文NA Neighbor Advertisement Message

NA报文是主机对N S的响应报文 同时主机在链路层地址变化时也可以主动发送N A消息 以通知相邻节点自己的链路层地址或者角色发生改变。

 T yp e 类型字段值136

 Code 代码字段值0

 R 路由器标记Router F lag

表示NA报文发送者的角色。置位表示发送者是路由器复位表示发送者为主机。 S 请求标记Solicited Flag

置位表示为响应单播N S发送的NA报文。在NUD探测中 S标记作为邻居可达性确认标记在组播通告或非请求单播通告中 S标记必须清零如DAD检测中NS报文用的是被请求节点的组播地址 当地址冲突时 回应的NA报文的S标记需要清零。 O 重载标记Override Flag

1表示需要用目标链路层地址选项中的链路层地址来更新邻居缓存表。

0只有在链路层地址未知时才能用目标链路层地址选项来更新邻居缓存表。 Target Address 目标地址 16bytes

如果是针对N S而发送NA该字段直接拷贝N S报文目标地址如果不是针对N S发送的NA该地址是链路层地址发生改变的网络节点的I P地址。 目标地址不能是组播地址。 Options 选项字段只能是目的链路层地址选项通告发送者的链路层地址。同时 IPv6报文头中字段要求如下

 Source Address必须是发送接口的单播地址

 Destination Address 单播地址或者所有节点的组播地址FF02::1

2.1.4 重定向报文 Redirect Message

路由器通过重定向报文通知主机到目的地有更好的下一跳地址或者通知主机目的地址为本网段邻居。

 T yp e 类型字段值137

 Code 代码字段值0

 Target Address 目标地址 16bytes

到达目的地址的下一跳地址。如果目标为路由器本地链路外的报文 必须使用路由器的本地链路地址如果是主机本地链路报文  目标地址和目的地址必须一致。 Destination Address 目的地址 即IPv6头部的目的地址 16bytes

 Options 选项字段

 目标链路层地址选项新下一跳的链路层地址。

 重定向头选项触发报文尽可能多的部分但不应使重定向报文超过1280bytes。

同时 IPv6报文头中字段要求如下

 Source Address发送接口的本地链路地址

 Destination Address 触发重定向的数据报文的单播地址

福州云服务器 1核 2G 2M 12元/月(买5个月) 萤光云

厦门靠谱云股份有限公司 双十一到了,站长我就给介绍一家折扣力度名列前茅的云厂商——萤光云。1H2G2M的高防50G云服务器,依照他们的规则叠加优惠,可以做到12元/月。更大配置和带宽的价格,也在一般云厂商中脱颖而出,性价比超高。官网:www.lightnode.cn叠加优惠:全区季付55折+满100-50各个配置价格表:地域配置双十一优惠价说明福州(带50G防御)/上海/北京1H2G2M12元/月...

VoLLcloud7折月付$3,香港CMI云服务器原生IP解锁,香港VoLLcloud

vollcloud怎么样?vollcloud LLC创立于2020年,是一家以互联网基础业务服务为主的 技术型企业,运营全球数据中心业务。VoLLcloud LLC针对新老用户推出全场年付产品7折促销优惠,共30个,机会难得,所有产品支持3日内无条件退款,同时提供产品免费体验。目前所有产品中,“镇店之宝”产品性价比高,适用大部分用户基础应用,卖的也是最好,同时,在这里感谢新老用户的支持和信任,我们...

云基Yunbase无视CC攻击(最高500G DDoS防御),美国洛杉矶CN2-GIA高防独立服务器,

云基yunbase怎么样?云基成立于2020年,目前主要提供高防海内外独立服务器,欢迎各类追求稳定和高防优质线路的用户。业务可选:洛杉矶CN2-GIA+高防(默认500G高防)、洛杉矶CN2-GIA(默认带50Gbps防御)、香港CN2-GIA高防(双向CN2GIA专线,突发带宽支持,15G-20G DDoS防御,无视CC)。目前,美国洛杉矶CN2-GIA高防独立服务器,8核16G,最高500G ...

防攻击为你推荐
无线路由器限速设置如何设置无线路由器局域网限速?雅虎天盾雅虎天盾、瑞星杀毒软件、瑞星防火墙、卡卡上网安全助手能同时使用吗?淘宝网页显示不正常淘宝网页不能正常显示如何快速收录如何让百度快速收录freebsd安装最近安装了FreeBSD安装的时候没创建普通用户,然后用超级用户的身份进入系统,但是超级用户只有一个#提示符,怎么在超级用户下去创建一个普通的用户了?qq新闻弹窗QQ弹出新闻熊猫直播频道哪里可以查询熊猫频道每一个直播镜头是哪一只熊猫nod32免费激活码nod32获取免费激活码地理空间数据云地理空间数据云下下来的为什么是文件格式网易企业邮箱登陆怎样用手机登录网易企业邮箱
中国万网域名 3322动态域名 wordpress主机 plesk hawkhost linode 特价空间 老左博客 建站代码 台湾谷歌网址 bgp双线 idc是什么 129邮箱 服务器是干什么的 33456 服务器论坛 免费蓝钻 测速电信 双11促销 shuangcheng 更多