IPv6安全性能研究

IPv6安全性能研究（精选8篇）

IPv6安全性能研究 第1篇

IPV6被认定为下一代因特网的协议, 将取代今日的基于IPv4的网络。它不仅部署了一个新的数据面, 从而解决了IPv4的各种寻址问题与效率问题, 而且还部署了一个新的选路控制面, 从而有效地利用了新型地址。但是在任务关键型联网环境中, 故障或中断都是人们无法接受的。因此, 针对IPV6网络性能的测试方案是否能够较为全面的检测系统运行情况就成为升级下一代互联网所需的首要课题。

1. 为什么要测试IPv6技术?

1.1 通过测试确保协同能力

IPv6初期部署的诸多障碍不仅包括IPv6与IPv4系统之间的协同能力, 而且还包括在不同厂商设备之间的协同能力。在部署IPv6之前查找和排除问题的测试工具是不容忽视的关键需要。要解决对旧有IPv4基础设施与众多厂商的IPv6系统之间存在的协同问题上的担忧, 就只有通过全面测试方法来确保其协同能力。

1.2 通过测试查找性能瓶颈

IPv6网络一旦完成并运行, 下一个需要关注的主要问题就是其性能如何。IPv6的初期部署将主要集中在软件水平, 以检验其功能。随着技术成熟到足以进行主流部署时, 将向下实施硬件水平的部署, 以达到最终的性能水平。为了测定新的IPv6设计的性能瓶颈, 需要有一个能够超过受测设备或受测系统性能与可扩展性限度的测试台。

2. 测试解决方案的需求

IPv6测试工具必须能够执行多种功能, 以充分测试和验证IPv6设备与系统。对于一致性测试而言, 测试解决方案必须能够完全达到受测设备或系统的控制面。对于性能与可扩展性测试而言, 测试解决方案必须能够在控制面水平上仿真使用IPv6的路由器, 并能够为大容量测试升级。解决方案还必须能够在数据面水平上通过系统运行线速业务负载, 以对被测设备进行全面的强度测试。

2.1 最优化的硬件平台

在简单路由器仿真能够运行于PC (个人计算机) 或工作站的同时, 还需要最优化的测试系统来提供全面的测试能力和高水平的可扩展性。例如, 为了仿真大型网络, 测试工具上的网络接口必须支持数百个甚至数千个IP接口与MAC地址--这种需要是现有成品硬件所无法支持的。为了提供充分测试IPv6系统所需的灵活性与可扩展性, 就要有特制的测试硬件。

2.2 双栈选路协议仿真

IPv6测试工具必须能够对用于当前IPv4的所有选路协议和过渡期的IPv6网络进行仿真, 其中包括OSPFv2、OSPFv3、IS-IS、IS-ISv6、RIP、RIPng、BGP和MBGP+等。这些选路协议用于通告在其上建立IPv6网络的底层网络拓扑。

2.3 生成和分析经隧道传输的业务负载的能力--双栈数据面

除了仅针对IPv6的方案以外, IPv6测试工具还必须能够对双栈路由器的双栈数据面进行强度测试。

3. Ixia的IPv6测试方案及案例

3.1 IPv6一致性测试

Ixia通过开发业界标准一致性测试套件IxANVL (Ixia自动网络验证库 (Ixia Automated Network Validation Library) ) , 解决了协议一致性测试的挑战。IxAN-VL以对话方式进行测试:它向被测路由器发送数据包, 接收响应的数据包, 再对响应进行分析, 以决定下一步要采取的行动。与简单数据包一代相比, 这使IxANVL能够以更加智能和灵活的方式测试复杂情况或反应, 并捕捉设备。以下为IPv6一致性测试案例:

(1) 目标:

对DUT是否符合各类RFC中定义的下列特性进行验证:

·Pv6 (RFC 2460) 。

·IPv6数据包在以太网网络上的传输 (RFC2464) 。

·PPP上的IPv6 (RFC 2474) 。

·ICMPv6 (RFC 2463) 。

·无状态的地址自动配置 (RFC 2462) 。

·路径MTU发现 (RFC 1981) 。

·相邻节点发现协议 (RFC 2461) 。

·组播收听器发现 (RFC 2710) 。

·隧道传输 (RFC 2529、RFC 2893和RFC 3056) 。

对旧有IPv4与IPv6路由选择, 提供附加测试套件。IPv6与IPv4均应在双栈实施中进行测试。

(2) 测试设置:

IxANVL Linux工作站使用一至两个测试接口与DUT直接连接, 或通过Ixia测试硬件连接 (如图所示) 。Ixia测试平台将根据每个测试案例的配置, 以IPv6和IPv4模式对主机或路由器进行仿真。

(3) 方法:

IxANVL在直接解释各种IPv6 RFC的基础上对DUT运行若干测试案例:

·以相应的网络参数配置每个IxANVL网络接口, 其中包括诸如IP地址、MAC地址和网关等DUT的网络参数。

·指定DUT的配置, 一般是通过诸如Expect脚本等命令脚本。IxANVL能够自动执行脚本, 以便在测试之前、期间或之后对DUT进行配置。

·选择一套测试案例在IxANVL中运行 (如图所示) 。

·使用命令脚本, 以成批模式运行IxANVL, 以此在测试案例之间按要求重新配置DUT, 对IxANVL测试设置进行匹配。

(4) 结果:

测试显示通过/失败的次数, 包括失败案例的原因总结:IxANVL既能在单机工作站上运行, 也可通过Ixia的最优化测试平台运行。IxANVL能够使用脚本接口实现完全自动化, 且IxANVL源代码也向用户提供, 便于自行定制, 从而达到高度的测试灵活性。

3.2 IPv6可扩展性与性能测试

Ixia测试IPv6路由器的可扩展性与性能所采用的一般方法包括首先以Ixia硬件测试接口围绕受测设备或受测系统 (DUT/SUT) 。然后, Ixia系统对测试该设备所需的其它所有条件进行仿真, 其中包括其它IPv6/IPv4双栈路由器、IP路由注入、IPv6选路协议以及业务负载传输等。通过这种方法, 可对大型和复杂拓扑进行仿真, 从而以最低的硬件需求、在逼真的系统环境中对DUT/SUT进行测试。例如, 在图1中, 四个Ixia测试接口与DUT连在一起, 每个接口上的众多路由器都在被仿真。

以下为IPv6可扩展性与性能测试案例:

(1) 目标:

测定IPv6控制面的性能与可扩展性。本测试将测定和描述诸如MBGP4+等IPv6选路协议。Ixia测试工具将对每个测试端口后面的许多同位体/相邻项和路由进行仿真;因此, 许多复杂的测试方案仅使用几个测试端口即可完成。

(2) 测试设置:

测试将使用IxExplorer对每个物理端口后面的众多BGP同位体和路由进行仿真。本测试将最少使用两个Ixia测试端口与DUT连接。用户可增加更多的Ixia端口, 以匹配DUT的容量。如图2所示。

(3) 方法:

·在Protocol Interfaces (协议接口) 文件夹下配置将被Ixia端口仿真的若干IPv6地址。

·在BGP协议文件夹下配置若干BGP同位体。用户可在电子表格设置中方便地增加同位体的数量。

·为每个BGP同位体配置若干路由。用户再次完全控制设置路由的方法, 包括每个路由的强制性与可选性BGP属性。

·启动BGP仿真, 观察由DUT注册和传送的所有所有路由。

·设置自动业务负载流, 以瞄准所有通告的路由。验证DUT能够按照仿真的拓扑向正确的目标发送业务负载。

·拍动仿真的路由, 以模拟因特网的不稳定性。

·对OSPFv3、IS-ISv6和RIPng重复测试程序。

(4) 测试输入:

仿真拓扑的大小可以调整, 通过变化来适应不同的测试方案。

·仿真路由器的数量。

·同位体/相邻项的数量。

·路由或LSA/LSP的数量。

·路由或链路属性。

·路由拍动的持续时间与频率。

(5) 结果:

测试的关键目标是测定DUT在沉重负载下以及在控制面中发生动态波动的情况下正确转发业务负载的能力。典型的量测标准包括:

·数据包损失率。

·数据包顺序错误。

·方向错误的数据包。

结论

本文针对所构建的IPV6网络的安全稳定的测试需求提出相应的测试要点和方法, 通过部分的测试案例证明Ixia测试工具的有效性。在今后的实践中能够证明, Ixia的全面测试工具将为管理从IPv4向IPv6的过渡提供强大的动力与灵活性。

参考文献

[1]DEER ING S, R H INDEN.Internet Protocol version 6 (IPv6) Speci2 fication[S].RFC2460, 1998.

[2]STEVENS, THOMASM.Advanced SocketsAPI for IPv 6[S].RFC2292, 2002.

[3]GILL IGAN R, THOMSON S, J BOUND J.Basic Socket In-terface Extensions for IPv6[S].RFC2553, 1999.

[4]S.Kent, R.Atkinson, "Security Architecture for the InternetProtocol"RFC2401, 1998.11

IPV6校园网的网络安全研究 第2篇

【关键词】IPV6；校园网；网络安全；IPSec

高校校园网有不同于其他宽带网的独有特点，其承担着学校内容部的教学资源共享、教学视频上传、数字图书馆、校园IP监控等多方面与教育教学开展相关的专业应用。同时，由于高校学生接触网络知识面比较广，对校园网的实际应用远远超出教学限制范围，活跃的用户群体加上网络安全应用知识的淡薄，对校园网络安全带来的极大的挑战。IPV4的安全服务协议已然不能满足现代信息吞吐量所必须的安全匹配体制，针对IPV6的网络安全体制研究正在国内高校网络建设中广泛的开展。结合校园网所体现的应用功能性，利用现代计算机网络通信IPV6协议，引进IPSecurity（IPSec）作为安全防护协议，能够满足校园网用户对端到端服务可靠性和安全性的要求。

1.校园网安全特点及常见攻击

互联网的最早应用起源与高等你校园，校园网也一般集合了行业内较为先进的网络体系结构。高校内用着最密集的活跃用户群体，同时也为校园网的内部安全带来了诸多威胁，校园网的安全管理系统具有庞大和复杂的特点，其安全特点和常见的安全攻击如下所示：

1.1校园网的速度快， 规模大

校园网由于其自身实现的功能性，对传输速率和信息吞吐量要求较大，普遍使用以太网网数据传输技术，铺设千兆、万兆的传输网络。用户群体的密集和信息传输量的巨大对网络安全防御体制带来巨大的挑战。

1.2校园内部的网络安全管理体制的不健全，复杂的网络维护和设备购置管理往往责任分配不清楚，出现问题不能得以及时解决，使安全问题进一步扩大

1.3活跃的用户群体

用户群体的密集且对网络资源利用的廣泛性，部分学生的不良上网习性导致病毒和木马有机可乘。之前“风靡一时”的熊猫烧香病毒正是利用地点导致校园网的短时间瘫痪。另一方面，部分学生甚至自己学习和研究网络黑客攻击技术，转而攻击校园内部网络，对网络安全造成不同程度的负面危害。

1.4开放的网络环境

由于教学应用和科研的实际需求，决定了校园我网络是相对开放的，管理方式方面比较宽松，这对病毒入侵提供了可能性。

1.5盗版资源泛滥

由于部分教师和学生缺乏版权意识，寻求免费和便利的资源下载或在线浏览方式，导致盗版软件、影视资源在校园内使用泛滥，这些盗版软件和多媒体资源的现在占用了大量网络宽带，同时为病毒的入侵和传播敞开了大门。

以上种种因素都是校园网容易遭到安全攻击的诱发因素，也是容易被攻击和破坏的目标。

2.IPv6 报头潜在的安全问题

IPV6报头协议与IPV4相比，提高了数据包的传输安全协议和处理效率。同时，由于，IPV6报头结构比较复杂而且标准约束性较小，导致其合法性和安全性难以受到全面且深入的安全监控和检测。IPV6的报文字段受到攻击性而被破坏的可能性最大，其面临的主要安全威胁包括：①网络黑客能够利用数据链路层的字段的非相匹配来迷惑防火墙或者其他病毒防护软件。②黑客通过对源IP的伪造，来隐藏自己的身份对IP实施欺性攻击。③任何类型的扩展报头能够以确定的次数和不同的数据传输顺序出现在IPV6数据包中，这些不受明确且严格限制的特性容易导致多方面的网络系统安全攻击，如ARP欺骗攻击、ND攻击、DoS攻击、网络资源或系统资源的抢占等。任何类型的扩展报头能够以不同的顺序或是不确定的次数出现在IPv6 数据包中。这些不受约束的特性还可能存在如ND 攻击、ARP 欺骗攻击、DoS 攻击、系统资源和网络资源的抢占等。

3.IPSec 安全机制极其在校园网中的应用

IPSec网络传输协议为提IP协议的保密性和完善性而专门定制的。其实现的功能为解决网络层的安全。IPSec协议的结构特点能够有效的防护系统免受多方面的网络安全攻击，如保护IPV6报头免受安全攻击威胁等，能够提校园网的整体安全防水平。IPSec的安全特性属于IPV6协议的外在安全特性，它具有为IP写作提供无缝安全保障的功能特性，是IPV6的协议套件。IPSec 为TCP 等上层协议提供很强的加密认证服务，校园网在IPSec 报头的保护下更加安全IPV6的校园网络中IPSec的具体应用包含以下两方面：

3.1端到端的安全应用

端到端的网络信息传输机制配合其他安全体制，为校园网提供了数据传输的机密性和完整性保障。其技术原理为：将位于不同路由器（网关）的网络主体通过受保护的校园网进行相连，主机之间无需配置IPSec传输协议，不同主机之间配置IPSec利用IPV6传输协议进行数据的透明性传输。同时不同主机之间可以结合使用AH和ESP，在实际应用中，可以将AH在ESP之后进行封装，以提高数据包传输的安全性和完整性，使用的结构模式可以选择隧道模式和传输模式。其中传输模式的构建方式为：将主机的数据包首先进行AH和ESP加密认证，在传输过程中利用利用IPSec协议对数据包进行封装和匹配性修改，即在原有IP头IP和TCP协议中插入AH头或者ESP头，通过这种模式来抵御IPV6网络中诸如DOS攻击、ARP攻击等安全威胁，有效的保护TCP、UDP、SPX等上层协议，确保了校园网的安全。

3.2路由安全应用

IPV6与IPV4的动态地址大多是通过DHCP来获取的，IPSec协议在路由安全上的实际应用能够防止网络威胁对网关的攻击，提高网络控制报文协议的安全性。在校园网的是实际应用模式为：将主校区路由器、分校区路由器和公网路由设备分别配置IPSec安全协议。在嵌套式的隧道模式下，主机通过校园网向不安全的公用或专用网络中的分机发送邮件，首先需要将邮件发送至对应的网络路由器，通过IPsec封套成新的数据包并且配置新的IP头，然后通过受保护的隧道传送至核心路由器，分机路由器对收到的数据包进行处理，去除掉对应的新IP头，实现数据传输信息的解封，最终还原成邮件文本格式，转发给目标分机。整个数据传输过程中IP数据报头和上层协议都受到IPSec的安全保护，从而减少了IP地址欺骗，ARP攻击、AD攻击等威胁。

4.结语

IPV6在校园网的具体应用有着极大的可发展空间，其具有的大空间地址、灵活IP报文、高安全心性能等特点能满足现阶段校园网的实际需求。但是，IPV6的协议非绝对安全，如它对用户的限制性较低，与其它安全设备的兼容性较低，安全和管理机制尚不健全等问题对校园网的安全带来的潜在的威胁。因此，对于IPv6 的研究任重而道远，但是我们能看到基于IPV6的校园网建设将是未来的发展趋势，其中对于传输协议的研究和安全系统的保障是推动IPV6普及化发展的关键。 [科]

【参考文献】

[1]张伟.IPv6过渡技术发展历程分析[J].电信网技术，2011（06）.

[2]李哲夫.基于IPv6的校园网用户管理系统设计[J].微计算机应用，2011（04）.

IPv6安全性能研究 第3篇

传感器网络与Internet之间的连通日益重要, 传感器可以应用不同的连接技术, 其中IEEE802.15.4设备具有短距离, 低速率, 低功耗和低成本特点。本文在6Lo WPAN的基础上对传感器网络的特征的加以讨论。6Lo WPAN使IPv6数据包进行传感器网络进行衔接, 同时, 各种应用领域将受益于因特网基于IP的基础设施。本文将基于IPV6的IEEE802.15.4标准与互联网的融合讨论。

2 MAC层的IEEE802.15.4标准

MAC层位于物理层和网络层之间, 主要负责管理信道的访问以及确保设备间数据帧的准确传输。IEEE802.15.4标准的MAC层一共定义了四种类型的帧:信标 (Beacon) 帧、命令帧、ACK确认帧、数据帧。前三种类型的帧主要用于建立与管理IEEE802.15.4网络, 而数据帧则用于封装实时的业务数据。每种帧都由三部分组成, 分别为帧头、数据负载以及用作校验的帧尾部分。

IEEE802.15.4标准的主要特点。

(1) 成本低:通常使用有限的硬件资源中低端嵌入式设备。 (2) 低功耗:电池可持续工作数月甚至数年。 (3) 高效率:短距离的信号覆盖范围从10M到百米的范围内。 (4) 多种类型:设备一般包括全功能设备 (FFD) 和精简功能设备 (RFD) 。 (5) 多模式:双传输模式是由MAC层中定义, 一种是信标使能模式, 另一种是非信标使能模式。

3 6Lo WPAN技术

3.1 6Lo WPAN适配层简介

6Lo WPAN的技术底层采用的PHY和MAC层IEEE802.15.4标准和6Lo WPAN的IPv6的选择与组网技术, 其目标主要是传感器网络。由于IPv6的迅速发展, 引入IPv6协议已成为一种必然趋势, 但由MAC IPv6中支持的有效载荷的长度比由6Lo WPAN的底层提供大得多。

3.2 6Lo WPAN适配层报文格式

6Lo WPAN协议栈采用层次式的报文格式, 依次是IEEE802.15.4物理层头部、IEEE802.15.4 MAC帧头部、适配层头部、IPv6报文头部。6Lo WPAN在网络层和MAC层之间引入适配层, 除了前面提到的协调IEEE 802.15.4与IPv6在大小上的差异外, 另一个重要原因是二者在帧类型上的区别。为了尽可能的节约空间, 适配层只是承载MAC层四种帧中的数据帧, IPv6报文就是封装在其中的。适配层头部包含四个字段:Mesh Discovery、Broadcast、Fragment和IPv6压缩头部。

3.3 6Lo WPAN的技术优势

(1) 便于推广:IP网络的应用非常普遍。IPv6的应用更是解决了地址不足的问题, 下一代互联网的核心技术, 也加速了其普及的步伐, 用IPv6将会更容易被接受。 (2) 良好的可利用性:IP网络协议栈的结构被广泛认可, 传感器网络可以有效地利用该结构。 (3) 支持无状态地址自动配置:在IPv6中, 当节点开始工作时, 可自动读出的MAC地址, 并根据该相对规则部署的IPv6地址。

3.4 6Lo WPAN的关键技术

6Lo WPAN的工作组的宗旨是定义, 同时符合开放标准如何执行在IEEE802.15.4链路基于IP的通信和确保互操作性与其他IP设备。6Lo WPAN一些关键技术如下。

(1) 报头压缩技术。目前, 6Lo WPAN适配层报头压缩一般都是通过压缩编码的方式实现的, 运用较多的并且效率较高的压缩编码是HC1和HC2。前者负责IPv6基本报头的压缩, 后者则负责上层协议的头部压缩。由于在无线传感器网络中TCP协议比较大, 且应用场景有限, 因此, 现在只考虑了UDP协议的压缩。采用HC1和HC2编码对IPv6头部和UDP头部进行压缩后, 报头将会呈现两个域:编码域和未压缩域。

(2) 分片和重组技术。IPv6最大的传输单元为1280个字节, 但是IEEE802.15.4标准定义的MAC层最大传输单元只有127个字节。一个完整的适配层报文 (包括头部字段) 可能无法承载在单独的一个802.15.4帧上。为了解决这一问题, 适配层定义了两种报文格式, 即:不分片格式与分片格式。

(3) 地址分配和地址管理。其中一个6Lo WPAN的与众不同的特点是16位短地址的动态分配的能力。利用这个短地址, 分层路由可以使用。此外, IPv6支持无状态地址自动配置, 同时, LR-WPAN设备可能会在很大程度上和密集分布在其中的人在难以到达的地方, 所以它更重要实现无状态地址自动配置。

4 结语

6Lo WPAN适配层的应用实现了传感器网络与IPv6互联网连接。适配层进行压缩的IP头, 允许更小的6Lo WPAN的数据包在传感器网络中发送。6Lo WPAN的应用将在工业、科研、监测, 以及家庭、办公室和工厂环境的自动化将变得越来越广泛。

参考文献

[1]唐宏, 谢静, 鲁玉芳, 唐伦.无线传感器网络原理及应用.北京:人民邮电出版社, 2010.

[2]王相林.IPV6核心技术[M].北京:科学出版社, 2009.

[3]谢希仁.计算机网络.电子工业出版社, 2003.

[4]IEEE standard 802.15.4-2006.Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications for Low-Rate Wireless Personal Area Networks (WPANs) .

[5]李善仓, 张克旺.无线传感器网络原理及应用.机械工业出版社, 2008.

[6]Transmission of IPv6 Packets over IEEE 802.15.4 Networks.September 2007.

IPv6的安全性研究 第4篇

为了适应互联网的快速发展由IETF (互联网工程任务组, The Internet Engineering Task Force) 建议制定了下一代网络协议IPng, 即IPv6协议。与IPv4相比, IPv6具有下面一些优点: (1) IPv6采用128位编址, 巨大的地址空间使所有的终端都可以使用真实的地址进行通信; (2) 通过其聚合地址的能力, IPv6支持灵活的寻址方式, 减小了路由表的规模, 提高了路由器转发数据包的速度; (3) IPv6增强了对流的支持, 为服务质量控制提供了良好的网络平台; (4) IPv6加入了对自动配置的支持, 能够将节点插入IPv6网络而不需要任何人为干预即可自动配置它; (5) 在使用IPv6网络中利用IPSec对网络层的数据进行加密并对IP报文进行校验, 极大地增强了网络的安全性; (6) IPv6增强了对移动终端的支持, 降低了网络部署的难度, 为用户提供永久在线的服务。

1 IPv6网络的安全策略

IPv6采用全新的网络安全体系结构IPSec协议, 这是IPv6的一个强制组成部分。

1.1 IPSec安全协议

IPSec的目标是保护IP数据包安全、抵御网络攻击, 它主要包含认证报头 (AH, Authentication Header) 、封装安全净荷 (ESP, Encapsulating Security Payload) 和Internet密钥交换协议 (IKE, Internet Key Exchange Secure Protocol) 3个协议。

1.2 认证报头AH

AH是IPv6中的一个扩展头, 它的格式如表1所示。

AH主要用于保证数据的一致性, 它可以提供数据完整性的服务、对数据包来源进行认证和抗重放攻击等安全保护。目前, AH计算认证数据的算法有MD5、SHA-1等。

1.3 封装安全净荷ESP

ESP也是IPv6提供的一个扩展头部, 它能够在网络层实现对数据包的全加密以保证信息的安全, 防止来自于网络上的侦听。ESP通过对数据报的加密, 可以提供多种安全服务:保证数据包的机密性、对数据源进行身份认证、对抗重放攻击、提供有限的业务流机密性等。ESP的主要标准是数据加密标准

1.4 互联网密钥交换协议IKE

IKE是综合了ISAKMP、Okaley和SKEME 3个协议形成的安全协议框架, 它的功能主要是定义加密算法、密钥协商、密钥生成、密钥交换及密钥管理。

1.5 IPSec工作模式

IPSec的工作模式有两种:传输模式是在IP层对上层的TCP或UDP的协议数据进行封装并根据具体配置提供安全保护, 主要用于保护上层协议;隧道模式是在ESP关联到多台主机的网络访问实现时提供安全保护, 主要用于保护整个IP数据包。

通过以上分析我们知道, IPSec安全协议可以通过提供数据源的身份认证、数据完整性检查、机密性的保证及对IP数据包净荷的加密等安全保护, 保障IP层上的数据通信的安全。

2 IPv6特有的安全威胁

IPv6把IPSec作为必备协议, 可以解决端到端的数据传输的安全问题, 但安全是相对的, IPv6协议在引入IPSec和IPv6地址机制的同时也带来了一些新的安全性问题。

2.1 地址扫描和探测

安全事件发生之前通常先进行地址扫描, 在IPv4网络中, 扫描很快就可以完成, 但在IPv6中有所不同:由于IPv6网络子网大小是64bits或者更大, 这使得IPv4网络中传统的扫描和探测技术在IPv6网络中不再适用, 但是这并不能完全防止扫描式网络攻击。

由于IPv6网络中地址太长不便记忆, 管理人员往往会给一些关键设备配置特殊的IPv6地址, 这就给扫描和探测带来了方便;而且IPv6中还引入了许多熟知的组播和任播地址 (比如所有节点地址是ff01∷1和ff02∷1、所有路由器地址是ff01∷2、ff02∷2和ff05∷2) , 这些地址往往会配置给网络中的一些关键设备, 这就给攻击者提供了明确的攻击目标。

要防止扫描和探测, 可以采用的措施主要有:在边界路由器上过滤IPv6地址;关键应用采用静态地址;在防火墙上过滤不必要的服务;选择性过滤ICMP报文;尽量杜绝分配有特征的地址;使IPSec与防火墙、入侵检测等安全机制相互配合等。

2.2 自动配置和邻居发现协议

在IPv6中, 网络的配置是自治完成的, 所需的信息是从路由器通告中得到的, 这就使得非授权的用户可以更容易地接入和使用网络, 特别是在无线环境中, 如果没有数据链路层的认证和访问控制, 一个配有无线网卡的非法用户可以轻松地接入和访问IPv6网络。

邻居发现负责路由器和前缀发现、重复地址检测、邻居到达能力和链路层地址决定。如果网络中存在恶意节点, 该节点就可以通过发送错误的路由器宣告、错误的重定向消息, 让IP数据包流向不确定的地方, 进而达到拒绝服务、拦截和修改数据包的目的。

上述攻击只能在同一网段的节点中完成, 可以通过对邻居发现报文进行认证、甄别合法报文, 以防止恶意攻击。目前, I-ETF已经通过一种安全邻居发现协议SEND。

2.3 ICMPv6和PMTU (Path MTU)

ICMPv6是IPv6的重要组成部分, 它包括了IPv4中ICMP和ARP的功能, 所以要使IPv6正常工作就不能像在IPv4中那样为了安全考虑而完全禁止ICMP, 这就为攻击者提供了方便。ICMPv6可被利用来产生拒绝服务攻击和反射攻击, 攻击者只需冒充其它节点不停产生错误的IP包即可。

IPv6中通过PMTU发现机制使得IP包的分段和重组只在源节点和目的节点进行, 这提高了中间节点的转发效率。但在进行PMTU发现时, 若不对收到的包太大消息进行合法性检查, 将可能引入拒绝服务攻击:如果伪造的包太大消息中指示的PMTU太小, 将导致网络性能严重下降;相反, 如果伪造的包太大消息中指示的PMTU太大, 将导致某些路由器丢弃数据包, 若这样的错误消息不断重复, 网络中将会大量丢包, 甚至拒绝服务。

我们可以采用IPv6分片过滤机制来防止上述攻击:只允许端到端的分片, 重叠分片被看作攻击;除最后一片外, 所有小于最小MTU (1280B) 的分片都是不合法的。

2.4 IPSec的不足

IPv6使用IPSec来保证网络安全, 但IPSec也存在一些不足: (1) IPSec是一个网络层协议, 不负责高层应用的安全; (2) IPSec部署和实施需要网络边界、路由系统等外部环境的参与, 这使得其通用性受到限制; (3) IPSec的API应用开发接口还没有标准化; (4) IPSec在IKE、防止流量分析和拒绝服务攻击等方面还存在很大不足。

所以, IPSec需要和防火墙、VPN、漏洞扫描、网络过滤等网络安全设备及高层安全协议一起使用。

2.5 移动IPv6

移动IPv6 (Mobile IPv6) 就是利用IPv6的一些新特点来支持移动IP的, 它可以为用户提供透明、无缝的网络连接, 使用户可以永久在线。在移动IPv6中, 移动主机大都通过无线链路接入网络, 而无线的链路更容易遭受窃听及受到攻击。

3 过渡时期的安全脆弱性

现在网络中主机数量庞大, IPv4向IPv6过渡将经历一个长期的“过渡时期”。在“过渡时期”, 将同时存在IPv4和IPv6两种网络, 这将使网络结构更复杂, 存在新的安全隐患。目前广泛使用的过渡机制主要有3大类: (1) 双协议栈, 必须同时考虑IPv4和IPv6的安全性, 一种协议的漏洞往往会殃及另一种; (2) 隧道模式, 其加密技术将导致边界防火墙和入侵检测系统失效, 攻击者可以伪造隧道报文进入内网; (3) IPv4/IPv6协议转换, 提供了一种纯IPv6节点和纯IPv4节点互通的机制, 它会破坏网络层端到端的安全性。如何保证“过渡时期”网络的安全, 是目前研究的热点之一。

摘要：IPv6作为下一代网络核心协议已经开始应用。对IPv6网络作了介绍, 研究了IPv6网络的安全策略, 分析了IPv6网络面临的新的安全问题及过渡时期的安全脆弱性, 并给出了一些安全建议。

关键词：IPv6,安全,IPSec

参考文献

[1][美]Pete Ldshin.下一代Internet的网络技术[M].北京:人民邮电出版社, 2001.

基于IPv6网络安全研究 第5篇

随着现在网络的飞速发展,网络技术的不断进步,网络人数的成指数的增加,IPv4地址的数量将会不足。这时就出现了IPv6协议。它以其地址寻址空间庞大、安全机制增强等等优点,成为国内外下一代网络发展的趋势及其研究热点。IPv6网络环境下,对协议本身进行了安全性改进,采用层次化地址结构,基本报文头长度固定等等,提升了网络的安全性,也为新的应用提供了便利,促进了更好的开展新的安全业务和应用。但是IPv6也存在一些未解决的问题,IPv6安全协议造成削弱,给互联网安全带来隐患,海量的IPv6地址自动设置造成网络寻址的复杂性等问题。

2. IPv6的特点

IPv6不同于IPv4,它能为许多其它的设备服务。因此,从长远来看,IPv6有利于互联网的持续和长久发展。

与IPv4相比,IPv6有多种特点,请见表1。

3. IPv6环境下的网络安全优势

IPv6强制实施了标准化的因特网安全协议IPSec。因为采用了IPSec保证,使得IPv6在网络安全方面有很多优势。提升了业务和应用的安全性,保证了端到端的安全。采用因特网安全协议IPSec对报文进行封装,中间路由器对其封装的报文进行透明传递,保证了网络端到端的安全性。

1)避免了IPv4存在的一些攻击。通过在中间设备上禁止分片、不允许重叠分片等机制,有效防范了如IP碎片包的攻击;具有IPv6组播目的地址和链路层组播地址的数据包产生ICMPv6消息,避免了如广播风暴的产生;因为庞大的IPv6地址数量,实施扫描攻击非常困难。

2)可以构建安全的虚拟专用网络。通过IPv6的IPSec隧道实现的虚拟专用网络更加安全。基于IPSec网关路由器实际上是IPSec隧道的终点和起点,为了满足转发性能要求,路由器需要设置专用加密板卡。

3)提高了内部网络的保密性。当网络内部端口需要和网络上的主机进行交互时,我们可以配置IPSec网关实现网络内部的安全。这是因为被IPSec封装的IPV6报文不能被中间路由器解析处理,只能被目的主机进行处理。

4. IPv6网络安全风险

IPv6解决和缓解了IPv4网络环境下存在的一部分安全隐患,但IPv6本身也将带来一些新的安全隐患,原有的IPv4下的一些安全问题在IPv6环境中依然存在,而随着IPv6协议新技术的引查询攻击工具服务器端数据库,调用相应的攻击脚本工具,对目标系统发起对应的网络攻击,并将攻击检测结果传回客户端。

5.1 服务器端实现

Socket通信的服务器端一般要经过Socket的创建、绑定端口、监听等待、建立连接、发送和接收数据几个步骤:

1)创建Socket,函数socket()为网络通信做基本的准备,建立套接字;

2)端口绑定,建立完套接字后,需要将返回的套接字与本机上的端口相关联,以便在该端口监听服务请求;

3)监听等待,当套接字与端口捆绑后就需要对其端口进行监听,函数listen()监听服务请求,将bind的文件描述符变为监听套接;

4)接受,监听模式启动后,如果有服务请求,就需要函数accept()进行接收设置;

5)发送连接请求,connect()函数是客户端用来同服务端连接的;

6)数据发送与接收,采用TCP/IP方式是用send()和recv(),这两个函数返回实际发送或者接收的字节数目;采用UDP方式进行传输使用sentto()和recvfrom();

7)结束,当所有的数据传输接收以后,可以调用close()函数来释放该socket套接字,从而停止在该socket上的任何操作。

IPv6 socket通信服务器端的主要代码如下:

5.2 客户端的设计与实现

客户端的实现和服务器端有些不同。首先也是建立连接,将用户的攻击任务组织成NEWATTACK消息发给服务器端,攻击随即展开;接收服务器端传回来的攻击结果信息(Info消息),生成攻击结果报表,用户可以随时通过任务树调看;用户完成所有攻击任务,断开与服务器端的连接,同时关闭服务器端。

6. 总结

综上所述,我们看到了IPv6取代IPv4的必然性,IPv在网络安全中的优势,但是在IPv6下并不是网络就绝对安全,依旧存在某些新旧网络安全隐患。我们在从IPv4过渡到IPv6的过程中,要先做好更充足的准备来应对可能发生的网络安全问题。

摘要：随着网络人数的不断增加,IPv6取代IPv4只是时间的问题,我们首先介绍了IPv6优于IPv4的特点,它之所以成为下一代网络发展的必然趋势的原因。其次介绍了在IPv6下,网络安全比现在存在哪些优势和技术,从而也带来了哪些新的安全隐患。最后我们举例说明在IPv6下如何实现网络入侵的流程。

关键词：IPv6,网络安全,网络攻击

参考文献

[1]吴明宇.基于IPV6协议的网络安全研究[J].2010(3).

[2]张秀爱.IPv6安全机制的研究[J].通信技术,2009(7).

[3]黄晓博.IPv6下网络攻击平台的研究与实现[J].2009.01.

[4]张俊.浅析IPv6的安全性.网络安全技术与应用,2005.10:44-46.

[5]蒋建春,冯登国.网络入侵检测原理与技术.北京:国防工业出版社,2001.

IPv6安全体系结构分析与研究 第6篇

当今大家所熟知的Internet是建立在TCP/IP协议基础之上的全球互连网，其最大的特点是开放性，而这一特点也是基于TCP IP协议的Internet能够迅速发展的主要原因之一，遵循开放性原则的Internet，其终极目标是要在全世界范围内建立起一个技术共享和资源共享的虚拟网络社会。但是随着互联网的普及，政治、军事和经济信息在网络上传输，越来越多的电子商务在因特网上得到发展，从而对Internet的安全问题也提出了更高的要求，由于TCP/IP协议发展的初衷是遵循开放性的原则，以网络用户互信为基础，在网络安全方面并没有作过多的考虑，使得现行TCP/IP网络协议体系结构本身就存在许多安全隐患。

1) IP欺骗 (IPSpoofing) 。一个IP数据包是否来自其真正的源地址，IP协议本身并不提供任何技术保证。从IP协议的帧结构分析可知，任意一台主机可以发出含有任意源地址的IP数据包，使得基于IP地址标识的数据包从理论上来说是不可信的，从而可以使得一些基于IP地址实现的访问控制技术失效。目前网络上的很多攻击手段，如SYNFlooding, DoS/DDoS和SMURF等均是利用了IP协议这个缺陷。

2) 源路由攻击。源路由是IP帧结构的一个选项，它的设计功能为使IP数据包沿指定的路径从源地址到达目的地址。但是也被网络攻击者利用，它一方面可以被用来假冒源IP地址的数据包到达目的地址，另一方面也使得入侵者能够绕开某些网络的安全措施，从对方没有预料到的路径到达目的地址。

3) 网络侦听。目前网络上传输的信息大部分为明文信息，甚至一些操作系统的登录密码，如大多数Unix系统目前仍缺省采用明文密码方式，这些敏感信息很容易通过网络侦听工具获得，而网络上的窃听工具又非常丰富，如Sniffer、Tcpdump和Snoop等，使得网络用户很容易获取其他网络用户的密码。为了改善现有TCP/IP协议在安全等方面的不足，Internet工程专门小组 (InternetEngineeringTaskForce，简称为IETF) 之中的一个工作组，即下一代网络协议 (IPng) 工作组于1994年9月提出了一个正式的草案“TheRecommendationfortheIPNextGenerationProtocol”, 1995年底确定了IPng协议规范，称为IPv6。IPv6在IP层实现了较为严格的安全标准，也提供了多项安全服务。这些标准由RFC1825 (Internet协议安全体系结构) RFC1826 (IP鉴别头) RFC1827 (IP封装安全载荷) 及用于鉴别和封装载荷的若干算法标准构成一个体系。

2 IPSec协议

IETF在IPv6中提出了全新的网络安全体系结构，即IPSec标准。尽管IPSec是为IPv6设计的，但也可应用于IPv4中。IPSec描述了新体系结构提供的安全服务以及这些服务的实现机制。IPSec提供的安全服务包括：数据私有性、基于无连接的数据完整性、数据包来源认证、访问控制、抗数据重发攻击 (ProtectionofReplay) 以及一定程度上的数据流量私有性 (TrafficFlowConfidentiality) 等。这些安全服务是通过ESP (EncapsulatingSecurityPayload) 和AH (AuthenticationHeader) 这两个安全协议来实现的。同时，除安全协议外，还有一系列与IPSec相关的技术标准，如加密算法及实现数据完整性的Hash算法的规范、密钥的交换标准IKE (InternetKeyExchange) 、安全关联 (SA) 等。

2.1 安全关联与安全关联数据库

安全关联 (SecurityAssociation，简称为SA) 是PSec的基础，ESP和AH协议都要通过才能够实现安全服务。安全关联是用来描述和实现连接安全的，可用三元组来标识：<安全参数索引 (SPI) ，安全协议 (ESP或AH) ，目的IP地址>，其中安全协议只能是ESP或AH中的一种，包括的安全参数有加密算法鉴别算法、各算法的密钥、初始向量和密钥的生存期等。

安全关联数据库 (SecurityAssociationDatabase，简称SAD) 用来存放安全关联，每一安全关联都在安全关联数据库中有唯一的记录，安全协议通过安全参数索引 (SecurityParametersIndex，简称为SPI) 查找对应的SA，然后依照SA中的安全参数完成通信双方的安全通信。除了这3个域外，安全关联数据库中的记录主要还包括以下与安全处理相关的内容：包序列号、AH采用的算法及密钥、ESP采用的算法及密钥、安全关联的生命周期等，其中，包序列号用来防止数据包的重发攻击。

2.2 安全策略数据库

安全策略数据库 (SecurityPolicyDatabase，简称SPD) 用来存放和管理用户的安全策略，对所有进出IP包的处理都需要查询安全策略数据库，以确定下一步的具体处理方法。安全策略库由安全策略的有序列表组成，类似于包过滤防火墙的过滤规则。每条策略由IP包的一些属性如源IP地址、目的IP地址、源端口号、目的端口号，以及一些命名字符串 (如用户名、域名) 和安全关联等组成，通常这些属性也用来在安全策略数据库中定位对相应IP包进行处理的安全策略。

2.3 IPSec的工作模式

IPSec的工作方式分为两种：传输模式和隧道模式。传输模式用于两个主机间的连接，使用原明文IP头，在IP层对上层TCP或UDP的协议数据单元进行封装，并根据具体配置提供安全保护。隧道模式用于两个网关之间的连接。主要用于保护整个IP数据包，包括全部TCP/IP或UDP/IP头和数据，用自己的地址作为源地址加入到新的IP头。当它用在用户终端设置时，可提供更多的便利来隐藏内部服务器主机和客户机的地址。

2.4 IPSec工作原理

IPSec无论工作在那种工作模式下，当IP数据包进入或离开支持IPSec的网络端口时，IPSec模块将根据安全策略数据库 (SPD决定对该IP包进行何种形式的处理，如图1所示。对IP数据包的处理方式分为3种：抛弃、旁路和根据安全关联 (SA) 进行IPSec处理。当某网络端口接收到IP数据包后，根据该IP包的相关属性以及制订的一些安全设置，在安全关联数据库中寻找相应的安全关联，对该IP数据包进行解密等处理，然后在安全策略库中寻找相应的安全策

略，如果不存在与该IP数据包相对应的安全策略，则将抛弃该IP数据包并在日志文件中加以记录;如果找到了相应的安全策略并且策略规定要抛弃该包，则抛弃该IP数据包并在日志文件中加以记录;如果策略规定要旁路该IP包，则不对该IP包作另外的处理，让它通过;如果策略规定要对该IP包进行IPSec处理，则该策略里应包含对该IP数据包进行处理的一个或多个安全关联指针，通过安全关联指针可以在安全关联数据库中找到相应的安全关联，如果该安全关联与刚才找到的安全关联一致，则对该IP数据包进行IPSec安全处理;若两者不一致的话，则要将IP包抛弃。

另外需要说明，在IPv6中，对进入的IP数据包出去的IP数据包的处理是有所区别的，比如对安关联的定位、寻找的方法是不完全相同，这里就不深入说明。

2.5 IP认证协议-AH

AH协议是在所有数据包头加入一个密码。AH通过一个只有拥有密钥的用户才能采用“数字签名”方式来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果：AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性，简单来说，AH只能保证能检测出传输内容在传输过程中被恶意修改和传输出错所造成的传输内容的变化，但是无法保证所传输的IP数据包在传输途中被复制或偷窥，也就是说，无法保证内容的保密性。

目前，使用最普遍的AH加密算法为MD5和SHA-1, MD5可使用最高到128位的密钥，而SHA-1更是可使用最高为160位密钥。

AH作为IPv6中的一个扩展头，其格式如图2所示。头标记用来标记下一个扩展头的类型;长度域表示认证数据的长度;保留域在计算认证数据时，必须设为0;安全参数索引用来标识安全关联;序列号域用来防止IP数据包的重发攻击，收发双方同时保留一个序列号计数器，每收发一个IP数据包，序列号将递增1，在递增到232后复位，接收方可以根据接收到的IP数据包序列号来判断该IP数据包是否为重发包，若是则将其抛弃;认证数据域的长度可变，并由长度域来指明，认证数据是通过将传输过程中变化的域和认证数据域置0后，对其余所有数据进行完整性计算后得到的。

2.6 IP加密安全协议-ESP

ESP作为IPv6中的一种扩展头，提供IP包的数据加密功能，同时也提供了IP数据包来源认证、基于无连接的数据包完整性、防止重发攻击以及数据流量的私有性等功能。其中，ESP提供的数据包完整性与AH提供的数据包完整性有所区别，提供对整个IP数据包，包括包头和所传数据的完整性认证，而ESP提供的完整性则只关心IP数据包的所传数据部分。ESP还提供数据流量私有性功能，但只是在隧道模式下才能实现该功能。防止黑客通过网络侦听手段获取IP数据包，并分析相关内容。因为IPSec工作在隧道模式时，黑客只能侦听到发生在隧道两端的IPv6网关之间的流量，而内部的整个IP包都已被加密，黑客无法知道该IP包是属于那个连接的，也就无法获取两台指定主机之间的IP数据包。图3为采用ESP加密前后的IPv6包结构。在IPv6中，而有的扩展头位于ESP前面，而有的扩展头则位于ESP后面，图3只列出了位于ESP前面时的情况。

图4是ESP包的格式。其中，安全参数索引用来标识安全关联，说明ESP采用的安全参数，如密钥、加密算法等，接收方在收到ESP包后，将根据安全参数索引、目的地址及安全协议来定位处理该IP包的安全关联，取得安全参数，然后将ESP包解密;序列号用来防止包的重发攻击。在ESP中，目前要求至少支持DES-CBC加密算法。

2.7 密钥交换协议 (IKE)

在IPSec中进行密钥交换有两种方法：一种是使用IKE协议进行自动地密钥交换，一种是手工模式。手工模式只适用于小规模的或者用硬件实现的IPSec，大多数情况下都需要使用IKE协议通过公用网络进行密钥交换。

密钥交换协议IKE是在ISAKMP协议基础之上，同时又综合了Okaley和SKEME协议，IKE采用了前者的ISAKMP语言，同时又采用了后两者的密钥交换方法，通过协商安全策略，形成了各自的验证加密参数。IPSec通过SPI查询SA。SPI建立起IKE和IPSec之间的联系。但是SPI位长为32位，发送端和接收端产生同样的SPI值的可能性很大，可能导致各种拼接攻击。

IKE提供强的主机级身份认证，但同时只支持有限的用户级身份认证，并且不支持非对称的用户认证。需要通过PKI，或利用其它鉴别协议来完成用户认证。

3 结束语

IPv6利用新的网络安全体系结构IPSec，通过AH2和ESP两个安全协议分别为IP协议提供了基于无连接的数据完整性和数据私有性，加强了IP协议的安全性，克服了原有IPv4协议在安全方面的不足。

参考文献

[1]NaganandDoraswamy, DanHarkins.IPSEC新一代因特网安全标准[M].北京:机械工业出版社, 2000.

[2]WRichardStevens.TCP/IP详解[M].卷1:协议.北京:机械工业出版社, 2000.

高校IPv6网络安全技术的研究 第7篇

随着网络技术的不断发展,网络用户的人数呈现出爆炸式的增长, 这使得原有的IPv4网络环境发生重大变化。 首先网络的地址空间数量已经无法满足当前网络用户的需求;其次,由于用户的增加使得路由的数量不断呈几何量增长。 另外,网络的普及使得对网络安全、性能、服务质量都提出了更高的要求,这使得原有的IPv4协议根本无法解决此类问题。 高校作为科研的桥头堡, 在高校中应用IPv6作为校园网的主要协议并对网络安全性加以研究,是当前高校科研的一个热点。

2IPv6技术

2.1IPv6协议分析

1997年,针对IPv4协议无法满足网络社会的需求 , IETF ( 互联网工 作组 ) 制定了IPv6 (Internet Protocol Version 6)协议。 与IPv4相比,IPv6具有几个优势。

(1)相对无限的地址空间 。 IPv6的地址长度是128位,意味着IPv6拥有2128个IP地址,这个地址空间可以给当前全球所有的设备无限制地提供IP地址。

(2)支持移动设备。 针对移动终端数量的不断增长 , IPv6在设计之初就针对设备的移动问题给出相应的解决方案。

(3)内置安全特性。 IPv6的内置安全机制是IPsec安全机制,这是一个协议簇,AH(认证报头)利用内置加密算法对传输数据进行加密,在传输过程中被截获时对方无法获取数据的原始信息内容,保障了数据的安全性和机密性。

(4)服务质量 。 通过对网络业务的分类对服务进行处理,对Diff-Serv模型进一步发展,解决了可扩展问题, 由于该模型不能实现端到端的服务, 需要通过PHB、流量工程、网络流量规划等联合实现。

IPv6地址是128位 , 原有的IPv4的十进制表示方法描述难度加大,采用16进制进行表示,每4个16进制数表示一节, 中间用冒号隔开, 例如:7D83:982A: 52DA:ECF1:B2C3:D672:8874:573B。 为了简化IPv6的地址描述, 可以通过符号:: 来表示连续的0, 例如: A2C3:0000:0000:0000:0000:0001:B3C4:FAD6可以表示为:A2C3:::::1:B3C4。

IPv6的地址可以分为单播 、 组播和任播三大类 ,单播地址是对应节点(节点可以有多个接口)的某个接口, 那么一个节点可以对应多个单播地址;组播是数据在网络中传输时, 所经过的节点都对传输的数据包进行检测,查看数据包中的目的地址与自身是否一致,由检测的结果来决定接收还是转发;任播是对一组接口进行数据发送,另外任播不能将源地址封装在IPv6数据包中。

2.2IPv6安全机制

IPv6的报头结构和IPv4相比要简单的多 ,IPv6协议中有2个地址空间及6个域,报头虽然占40个字节, 要比IPv4的报头长, 但由于长度固定, 不需要进行计算,减少了内存资源的消耗。

(1)IPv6中的验证。 IPv6的认证报头具有重播放的保护机制,只有接收节点对序列号验证,该传输业务才有效。 也就意味着,IPv6的报头在加密扩展报头、端到端扩展报头、TCP、UDP、 路由及网络控制等报头之前,进而保障无连接的完整性。

(2)IPv6中的加密。 IPv6协议标准中包含的密码算法是DES-CBC, 给IPv6提供安全业务协议制定者设计了封装安全载荷(ESP),为了保障传输IP数据包的完整性,机密性和可靠性,先通过报头来确定数据包的真实性,然后再对其进行解密。

3校园网IPv6构架

3.1高校网络需求分析

在高校,网络已经成为师生工作、学习、交流不可缺少的一部分,校园网建设的好坏直接关系到高校的教学和科研。 建设校园网不能只考虑先进性、前沿性,还要充分考虑学校自身的经济情况和师资力量。 一般来说,校园网的建设需要把握实用、先进、开放、可扩展、安全等几个原则。

当前,虽然高校之间的情况不同,但每个高校的大体组成是相近的,一般都有教职工行政楼、教学楼、图书馆、网络中心和学生宿舍。 当前校园网的建设要充分考虑未来的发展, 对于网络中的硬件要使用IPv6作为主协议,特别是教学楼、行政楼和网络中心,尽可能地选为IPv6,对于学生宿舍 ,采用IPv6和IPv4混合使用 ,采用双协议栈技术。

3.2校园网构架方案设计

对于基于IPv6的校园网, 需要在原有的IPv4校园网的基础上进行设计, 不能将以前的网络完全推翻重建,那样会花费更多的人力和财力。 对于新的IPv6协议需要利用原有的网络, 使用隧道技术进行双协议的使用。 其网络架构如图1所示。

4校园网IPv6安全体系

4.1校园网IPv6RA安全威胁和防范

(1)IPv6 RA安全威胁 。 在核心交换机层启用IPv6 RA功能 ,假如IPv6网络通过无状态分配 ,一般来说 ,路由器会周期性地公告RA报文,对节点声明IPv6地址前缀,主机收到RA报文后,进而生成链路地址,RA公告主要包括链路前缀和MTU信息。 当攻击者模拟路由器发送RA报文, 通过默认路由指向攻击者的IPv6主机, 那么就可以获取其他用户的信息,从而使网络的安全受到威胁。

(2)IPv6 RA安全威胁防范 。 为了防范RA欺骗 ,在中心交换机上配置安全RA, 对于配置交换机的上层端口设置为信任,其他的则为非信任,这样对于下层端口来进入的RA报文,则直接丢弃,这使得即使攻击者冒充RA报文发送给交换机,也会被丢弃,有效地阻绝了RA报文欺骗。

4.2IPv6校园网安全评估系统

对校园网的安全进行评估,可以有效地保护网络的安全。 安全评估系统通过对IPv6网络的渗透弱点进行整理分析,并对每次的渗透进行风险评估,生成对应的攻击图,并在此基础上生成风险评估报告,自动加载到知识库之中。

整个IPv6校园网络安全评估系统主要由渗透测试模块、攻击图生成模块、系统管理模块、IPv6态势分析模块和IPv6弱点知识库模块组成,具体如图2所示。

5结束语

本文针对高校IPv6网络安全技术进行分析,对于当前高校网络的普及化,安全问题已经成为师生关注的焦点。随着网络的不断发展,IPv6取代IPv4已经成为必然, 但IPv6是一个新生的事物,在发展和壮大过程中,需要受到各方面的挑战。本文仅对IPv6校园网的部署和安全防范进行了描述,具体的一些细节并没有完全展开。

摘要：针对IPv6网络的安全问题,论文通过设计IPv6网络安全评估系统从技术角度来解决该问题。首先对IPv6协议和IPv6安全机制进行详细的分析;其次分析当前高校的网络需求,对校园网的架构进行设计;最后对IPv6RA安全威胁和防范进行分析,并给出了IPv6网络安全评估系统。论文对于IPv6研究人员和校园网架构人员都具有一定的积极意义。

IPv6局域网攻击安全检测研究 第8篇

网络入侵的手段一般可以分为程序缺陷和协议漏洞。本文主要讨论使用IPv6协议漏洞进行局域网攻击的入侵。邻节点发现过程是IPv6对IPv4的一大改进。它通过地址解析等功能，保证同链路的主机的正常通信，通过实现路由发现等过程，确保主机与链路之外网络的通信，它是主机与网络互联的第一个阶段，有着非常重要的意义。邻节点发现是通过上述5种报文交互来实现的。在报文交互的过程中，某个报文的内容、出现时机发生错误，就会导致过程的失败。一旦过程失败，就会导致后续的网络服务无法正常运行。比如，重复地址检测过程的失败，会导致主机无法获得合法IP，或者，如果一再有NA报文对重复地址检测发出的NS请求报文进行应答，那么主机永远也无法获得有效的IP地址;地址解析过程失败，主机就无法与指定IP的目标主机进行通信;路由发现过程失败，主机就无法获得有效路由前缀，只能有链路本地地址而无法获得可集聚全球单播地址或站点本地地址，无法通过路由器与链路外网络进行联系。

局域网攻击的基本原理，概括的说，是扰乱邻节点发现各过程次序。攻击主机要对网络流量进行侦听，通过对数据报的分析，来获知其他主机状态及邻节点发现过程的阶段，进而发出包含指定信息的数据报，来扰乱邻节点发现过程的进行。甚至，攻击主机主动发出请求报文，误导其他主机对某目标主机进行应答而导致目标主机的瘫痪，或者伪装路由器，发送公告报文，误导主机使用攻击主机当作路由器进行转发等等。

通过上面分析可以看出，局域网攻击的范围主要局限在本链路内，但破坏力极大，尤其当前接入网的主要形式是以太网，多主机共用一条物理链路，局域网攻击一旦发起，将会威胁所有主机的信息安全及正常通信。

2 网络检测技术的分类

防御网络攻击的手段有多种，可以大致分为入侵检测系统(IDS,Intrusion Detect system)，入侵防护系统(IPS,Intrusion protection system)以及统一威胁管理(UTM,Unified Threat Management)。IDs应用于大多数场景中，通过对网络流量的检测，报告攻击行为的发生。护S提供更加深层的防护，不仅能够发现恶意代码，而且还能够主动地阻止恶意代码的攻击，在企业网中比较常见。UTM最早由Fortinet公司在2002年提出，2004年9月美国著名的IDC提出将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理。很多人称其为多功能防火墙、多功能安全网关。IPS与UTM都是以IDS为基础的，通常都将IDS作为系统的一部分再进行扩展。尽管二者有着很多的优势，但DS以其容易搭建，耗费低，规模小，灵活等特点，适宜在小型试验网的环境中进行攻击的检测。IDS的设计目的是探测攻击和未授权的使用，并对攻击采取一定措施予以制止。攻击的检测结果通常称为安全事件。IDS按照功能可以分为三类，网络IDS(NIDS)、主机IDS(HIDS)、分布式IDS(DIDS)。

3 攻击检测与策略分析

3.1 目标的提出

前面阐述了IPv6局域网攻击的原理、危害及几种具体的攻击形式。在真实的网络环境中，可以观察到这些攻击并不是单一存在的。它们往往围绕着一个目的，按照一定规律和顺序出现在网络中。从攻击者的角度看，为了达到某个目的，比如迫使某个主机无法使用网络服务，必然要首先扫描到该主机，通过某些手段得到主机的IP地址和MAC地址，然后通过其他方式，如DDOS攻陷主机，或者通过虚假的邻节点宣告进行欺骗等待。当目的达成时，攻击者实际使用了多种攻击方式。

3.2 扫描攻击的检测

扫描攻击Alive6在攻击过程中向局域网所有主机(ff02::1)发送三个数据报完成主机信息的扫描:

普通的ICMPv6请求应答报文;

下一报头是SSCOPMCE的IPv6数据报;

逐跳选项报头中包含无法识别选项的ICMPv6请求应答报文。

ICMPv6请求应答报文是局域网中最常见的一种，发送方要求目标节点立即回送一个回送应答报文。类似于IPv4协议中的ICMP报文，请求应答报文用于网络中的错误诊断，通过该报文的使用，发送方可以明确到目的端的链路是否畅通。但是，攻击主机也常用该手段得知目的端是否连接到网络，及目的端使用的IP地址和MAC地址。所以，不能因为发现ICMPv6请求应答报文，就宣称出现扫描攻击。

SSCOPMCE全称是(Service Specific Connection Oriented Protocol Multicast Control Environment)。它适用于ATM的AAL适配层，类似TCPSACK(Selected ACK)协议，起到对某些数据报进行选择性重传的作用。但接入层是以太网的环境中，该报文不会引起其他主机的应答。此报文的出现可以作为Alive6攻击发生的一个特征，是产生Alive6攻击的必要不充分条件。

逐跳选项报头用于为通向目标的路径上的每次跳转指定发送参数。选项是一系列字段的集合，它或者描述数据报转发的一个方面的特性，或者用作填充。逐跳选项报头的长度为8字节的整数倍。当逐跳选项报头的类型字段最高两位的值为二进制“10”时，接收方回送一个ICMPv6参数问题报文并丢弃该报文，所以路由器不会转发该报文。

通过上面的分析可以看出，Alive6攻击，从行为上，可以依靠三种报文来确定。如果监控主机依次嗅探到三种报文，具有相同的源地址，并且目的地址都为组播地址，就可以确认局域网中发生了Alive6攻击，报文中的源地址就是攻击主机的IP地址。

3.3 扫描攻击的检测实现

3.3.1 总体设计

扫描攻击检测预处理器包括两个模块:嗅探分析模块、预警模块。嗅探分析模块捕获并分析数据报，如果数据报符合检测条件，就设置某些标志位并进行一记录操作;如果数据报不符合条件，则丢弃继续进行侦听。该模块的关键在于对标志信息的操作，不同的标志状态对应不同的检测条件，当标志状态发生改变时，下一个检测条件就要发生变化。如果报文预警模块对标志信息进行检测，当标志信息表明发现攻击时，对攻击进行预警，并打印嗅探分析模块所记录的数据报相关信息，如IP地址等。

预处理器需要记录攻击报文，当确认一个报文含有攻击信息或者受害人信息时，要将报文(Struct Packct类型的数据结构)保存到相应的记录中。所以，有两个链表需要预处理器进行维持:嫌疑攻击主机链表;曝光主机链表。嫌疑攻击主机链表的一个元素记录了嫌疑主机的信息及发送攻击包的信息。曝光主机链表中保存了被扫描到的主机信息，这些主机信息也应该以警报的形式被预警。通常，一个嫌疑攻击主机对应多个曝光主机。

3.3.2 详细设计

预处理器开始运行后，首先初始化全局变量。nowtype标志现在的警戒状态，当收到一个IPv6 Echo Request报文时，nowtype为1;当nowtype为1，并且收到SSCOPMCE报文时，nowtype为2;当nowtyPe为2，并且收到带有含错误选项的逐条选项报头的报文，nowtyPe设置为3。nowtyPe标识了攻击检测所处的状态，即当前收到报文的类型和数量。当nowtyPe为3时，说明发生了Alive6攻击。debug控制打印信息。sushosts为嫌疑攻击主机链表。然后，分别进行捕获分析流程和检测预警流程的操作。捕获分析流程将检测结果写入嫌疑攻击主机链表中和曝光主机链表中。检测预警流程对这两个链表进行访问，对检测到的警报进行预警分析。

1)捕获分析流程：捕获分析流程中，当捕获到一个数据报P时，首先判断该数据报是否为ICMPv6 Echo Request类型报文，或者SSCOPMCE类型报文，或者带有含错误选项的逐跳请求报头的报文，如果都不是，函数退出，继续进行捕获。否则，P是一个攻击数据报。首先获取P的源地址，并以该地址作为关键字对嫌疑攻击主机记录进行查找，如果该攻击主机已被记录，则对该记录进行标志位的修改，否则，生成一个新的记录，并进行修改。

如果捕获的数据报P是一个ICMPv6 Echo Reply请求应答数据报，或者是一个ICMPv6 Parameter Problem参数错误数据报，并且报文的目的地址是某个嫌疑主机的地址，则P是一个受害主机曝光自己存在的数据报，P的源地址所代表的主机就是受害主机。受害主机的护地址及数据报P都将被记录在曝光主机链表中。如果P的目的地址并没有在嫌疑主机链表中，说明P是一个正常的数据报，不是对攻击报文做出的回应，无需对P进行记录。

2)检测预警流程：预警检测流程定时检查嫌疑攻击主机链表，当发现一个嫌疑攻击主机后，对其进行状态检查。如果已经捕获到该主机发送的三种攻击报文(ICMPv6 Echo Request、SSCOPMCE类型报文、带有含错误选项的逐跳选项报头的数据报)，并且此时与攻击主机发送最后一个攻击包之间的时间差超过一个预定值(预定值的设置使预处理器有足够的时间去等待捕获曝光主机的报文，一般为10秒)。则对该嫌疑主机进行警报。

然后，对嫌疑攻击主机所关联的曝光主机链表进行遍历，预警每个曝光主机的IP信息。预警曝光主机的操作完成后，进程进行睡眠，再继续进行检查操作。如果检查嫌疑攻击主机链表未发现符合条件的主机，则直接进行睡眠，再重新进行嫌疑主机的检查。该流程使用到两个预定值:攻击时间差预定值、睡眠时间预定值。攻击时间差预定值保证在预警之前，所有受害主机的应答报文都没检测到。睡眠时间预定值使流程进入休眠，防止因为频繁进行检测而浪费系统资源。

参考文献

[1]JERNEL N J.Towards a network theory of the immune system[J].Annual Review of Immunology.1974,125C,125C:373-389.

[2]DE CASTRO L N,VON ZUBEN F J.The clonal selectionalgorithm with engineering applications[A].WorkshopProceedings of GECCO‘00,Workshop on Artificial Immune Systems and their Applications,2000.

[3]Kim J,Bentley P.An Evaluation of Negative Selection inan Artificial Immune System for Network Intrusion Detec-tion[C].the Proceed-ings of the Genetic and Evolution-ary Computation Conference,2001:1330-1337.

[4]JELASITY M,DOMBI J G.A concept on modeling species in genetic algorithms[J].Artificial Intelligence,1998,99(1):1-19.

[5]Ishida Y.An immune network approach to sensor-based diag-nosis by self-organization[J].Complex Systems,1996(10):7390.

[6]Huber P J.Robust Statistics.New York:Wiley,1981.

[7]Rolf Oppliger.Security at the Internet Layer.IEEE Computer,1998:43-47.