论文部分内容阅读
随着计算机网络的普及以及Internt成指数倍的增长,IPv4地址空间即将面临着枯竭的危险。IPv6是网络协议发展的下一阶段,它的发展是由IPv4地址资源的耗尽所推动的。随着IPv6网络在我国高校校园网中广泛部署和试用,开展IPv6网络安全性研究具有十分重要的意义。本文主要研究校园网IPv6邻居发现协议所存在的安全漏洞,并根据这些漏洞研究相应的检测系统,有效地阻止利用这些漏洞发起的安全攻击。
IPv6是网络层协议,需要将IP地址解析成数据链路层地址,使数据包能够在二层链路上正确转发,在IPv6网络中是使用邻居发现协议NDP(NeighborDiscoveryforIPVersion6)来实现此功能,与IPv4网络中的地址解析协议ARP(AddressResolutionProtocol)相类似。但是NDP是通过IP和ICMPv6的扩展选项来实现的。邻居发现协议不仅提供了地址解析服务,还提供了可以简化用户地址配置的服务,例如终端可以不需要DHCP服务器,自动生成全局IPv6地址。
本文研究的重点是在IPv6网络环境中,重点分析邻居发现协议的主要功能,分析邻居发现协议的各种漏洞,以及这些漏洞所带来的安全威胁。邻居发现协议攻击的基本原理,概括的说,是扰乱本地终端之间邻居发现各过程次序,以及扰乱终端获得正确的配置信息。终端与网关之间,没有一个有效的安全机制,来证明网关设备的可靠性与正确性,因此终端设备无法判断所接收到的路由通告消息以及邻居发现消息来源是否安全可靠。并且本文通过研究其攻击原理,设计相应的安全防御机制,以此检测存在的安全威胁。通过在路由器(或三层交换机)开发检测功能,并将存在威胁的检测结果发送至二层交换机,二层交换机通过数据链路层地址定位攻击者并关闭相应端口,有效阻止攻击者利用协议漏洞给网络带来的威胁。