收藏
下载资源 加入VIP,免费下载

IPv6环境下ND协议的安全威胁及防御对策研究.pdf

上传人:1184183030 文档编号:17296851 上传时间:2019-05-22 格式:PDF 页数:4 大小:290KB
下载 相关 举报
IPv6环境下ND协议的安全威胁及防御对策研究.pdf_第1页
第1页 / 共4页
IPv6环境下ND协议的安全威胁及防御对策研究.pdf_第2页
第2页 / 共4页
IPv6环境下ND协议的安全威胁及防御对策研究.pdf_第3页
第3页 / 共4页
IPv6环境下ND协议的安全威胁及防御对策研究.pdf_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述
学免免ww, kululu.cecu
9卷第5期
Vol19 \ o5
铁路m相加用
研究与开发
RE SEARCH AND DE\ELOPMENT
文帝縮号:1005-8451(2010)05-0005-04
IPv6环境下ND协议的安全威胁及防御对策研究
王宇杰,杨志军
(北京交通大学信息中心,北京100044
摘要:通过对IPv6地址与ND协议报文结构和工作机制的分析、,可以了解IPv6环境下工作于本地链
路范围的ND协议面临的安全成胁。从ND协议使用的5种类型1CMPv6消息入手,剖析可能存在的RA、NA、
重定向欺骗和RS、NS泛洪安全隐患,针对安全威胁提出在接入层交换机上实施的防御策略,起到保护本地
链路范围内信息报文正常交互的目的。
关键词:ND协议;ND欺;ND泛洪;安全防御
?分类号:TP393
文献标识码:A
Study on safety threat and defense countermeasure of ND protocol
under IPV6 environments
WANG Yu-jie, YANG Zhi-jun
(Information Center, Beijing Jiaotong University, Beijing 100044, China
Abstract: By means of analysis of IPV6 address and ND protocol packet framework and work mechanism, we could
understand safety threat of ND protocol working in the link-local scope under IPV6 environments. Starting with five types
ICMPV6 messages of ND protocol using, anatomizing potential safety hidden trouble concerning RA, NA, redirection cheat
and RS, NS flooding, aiming at safety threat, it was put forward defense policy which were implemented in the access switches,
achieving safeguard objective that the information packets normally exchange with each other in the link-local scope
Key words: ND protocol; ND cheat; ND flooding; safety defense
IPv6环境下邻居发现( Neighbor Discovery,与在IPv4下的ARP一样会造成地址学习的失败
简称ND)协议通过使用5种类型的 ICMIPV6消息,路由的错误和设备CPU的高负荷,影啊网络的互
实现如下主要功能:地址解析、验证邻居是否可通性,从而影响用户IPv6业务的稳定运行。
达、重复地址检测、路由器发现、前缀发现、地址
自动配置和重定向功能,它工作于本地链路范围
ND协议工作过私
内。ND协议取代了IPv4中使用的ARP、ICMP路
由器发现和ICMP重定向报文。IPv4下的ARP是
IPv6地址
直接封装在数据帧中进行传输的,其广播、动态学
IPv6地址分为单播、组播和任播3类。如果
习的工作机制注定是一种低效和不安全的协议,仅关心与ND协议相关的IPv6地址,那么,每个
容易受到地址欺骗和泛洪类型的攻击。而IPv6下IPv6节点启动IPv6协议機后,将在本地以太网卡
的ND协议是封装在IPv6报文中进行传输的,并接口上自动配置固定前缀FE80:/64,接口ID部分
且IPv6采用组播代替IPv4中的广播。因此,ND使用EUI-64地址的链路本地单播地址,启用私密
协议工作时,节点间的交互报文对其它节点的影性扩展的IPv6主机还能生成固定前缀FE80:/64,
响很小。虽然IPv6下的ND协议对比ARP要高效接口ID部分使用临时接口标识符的链路本地单播
得多,但是,其工作机制仍然存在着安全漏洞,比地址。如果主机接收到路由器的前缀公告信息,还
较典型的安全威胁有:RA欺骗,NA欺骗,重定能自动配置可聚合全球单播地址。而组播地址包
向欺骗,RS泛洪,NS泛洪。这些安全威胁的存在括由特定前缀FF:8标识的组播地址、被请求节点
组播地址和众所周知的组播地址,其中被请求节
收稿日期:2010-03-23
点组播地址由前缀FO2:1:FFO0:/104和单播地址
基金项目:北京交通大学基金项目(N07J00030)
的最后24bit组成,众所周知的组播地址主要有
作者简介:王宇杰,在读硕土研究生;杨志军,高级工程师
RCA12010.5.总第158期
展开阅读全文
相关资源
相关搜索

当前位置:首页 > 论文 > 铁路论文

版权所有:www.WDFXW.net 

鲁ICP备09066343号-25 

QQ: 200681278 或 335718200