ipv6网络的安全屏障send协议.pdf
5页
" 2 4 网络新技术与应用研讨会论文集( 2 0 0 5 ) I P v 6 网络的安全屏障一S E N D 协议 高嵩1 贾卓生 北京交通大学计算机学院1 0 0 0 4 4 摘要:本文介绍了存在于原始邻居发现中潜在的安全威胁,并阐述了S E N D 协议的设计 依据,最后对S E N D 中存在的不足提出自己的看法 关键字:安全邻居发现协议,合成加密地址,R S A 签名,认证路径请求,认证路径通告 T h e S a f e g u a r do fI P v 每一S E N DP r o t e c o l G a o S o n gJ i a Z h u o s h e n g S c h o o lo f C o m p u t e rS c i e n c ea n dT e c h n o l o g y , B e i j i n gJ i a oT o n gU n i v e r s i t y1 0 0 0 4 4 A b s t r a c t :T h i sp a p e ri n t r o d u c e st h et h r e a t se x i s t i n gi nt h eo r i g i n a lN D Pa n di n t r o d u c e st h e d e s i g no fS E N D ,a l s ob r i n g sf o r w a r ds o m eo w no p i n i o n sa b o u tt h ef a u l t so fS E N D . K e y w o r d s :N D P ,S E N D ,C G A ,R S As i g n a t u r e ,C P S ,C P A 一、引言 I P v 6 引入后由于其地址范围的扩充——由I P v 4 的3 2 位扩展为1 2 8 位,同时也引入了“即 插即用”的新特性:一个节点只需要知道自己的链路层地址及本地网络的子网前缀就能够通 过I P v 6 的无状态或者有状态自动配置得到自己的唯一的I P v 6 地址,从而成为网络的一个部 分。
所有新接入I P v 6 网络的主机都不必手动进行I P 地址的输入,而是由整个网络代替完成 方便了I P v 6 下的地址配置这就需要整个邻居发现协议坚实可靠,否则就会带来潜在的威胁, 由于初始的R F C 2 4 6 0 [ 1 l 没有给出具体的解决安全方案,因此在R F C 3 7 9 1 t 2 】中专门介绍了安全 的邻居发现协议——S E N D ( S e c u r i t yn e i g h b o rd i s c o v e r y ) . 二、邻居发现协议 邻居发现协议是I P v 6 协议的一个基本的组成部分由因特网工程任务组( I E T F ) 在1 9 9 8 年1 2 月制列它整合了原有I P v 4 协议中的地址解析协议( A R P ) 、控制报文协议( I C M P ) 中的路由器发现部分、重定向协议的功能,并进行了一定的扩展邻居发现协议解决了连接 在同一条链路上的所有节点之间的互操作问题 在I P v 6 中.节点通过邻居发现用于【3 】: ( 1 ) 确定同一链路上节点的数据链路层地址; ( 2 ) 找到可以转发他们的数据报的邻近路由器: ( 3 ) 随时跟踪哪些邻居可达,哪些不可达,并且检测有改变的链路层地址。
同时,I P v 6 中的邻居发现协议对I P v 4 功能还有所改善和更新I P v 6 的邻居发现通过如 下五个I C M P v 6 消息来完成如上提到的基本功能1 4 J : ( 1 ) 邻居请求消息:节点发送邻居请求来请求目标节点的链路层地址.同时也向目标 1 高嵩,1 9 8 2 ,男,硕士研究生g s _ k o f @ 1 6 3 .c o m I P v 6 技术 2 5 节点提供自身的链路层地址,即完成了A R P 功能 ( 2 ) 邻居通告消息:节点通过邻居通告消息来回应邻居请求消息,并且发送非邻居请 求通告消息它与邻居请求消息共同完成了邻居不可达检测 ( 3 ) 路由器请求消息:为了使路由器迅速产生路由器通告,主机发送路由器请求消息 ( 4 ) 路由器通告消息:路由器通过此通告告诉节点网络的相关配置信息,节点可通过 该信息得到地址前缀和链路的M T U 信息 ( 5 ) 地址重定向消息:路由器发送重定向包来通知到目的地路径上更佳的下一跳节点, 主机可被重定向到更佳的下一跳路由器 由此可以看出,I P v 6 中的邻居发现协议是连入I P v 6 网络进行信息获取和交换的第一步, 如果该协议中存在隐患,那么一台主机可能根本无法连入I P v 6 网络,或者连入网络后得到的 信息都是攻击者伪造的.已经进入了某些人的圈套。
因此说,进行安全的邻居发现设计实际 上是设计整个I P v 6 安全屏障 不安全的邻居发现协议存在的潜在的威胁可以有如下几种p l : 1 ) 邻居请求/通告欺骗 一个攻击的节点可以伪装成一个合法的节点,可以是主机也可以是路由器攻击者可以 通过发送一个包含了不同的链路层源地址选项的邻居请求,或者发送一个包含了一个不同的 链路层地址选项的邻居通告邻居缓冲区中新的链路层地址覆盖了旧的,这个攻击会因此成 如果伪装的链路层地址是一个有效的地址,随着攻击者回复给邻居请求消息的单点地址 作为邻居不可达检测的一部分数据包会持续的重定向就构成了重定向D O S 攻击 2 ) 邻居不可达检测失败 链路上的节点会通过邻居不可达检测来监视路由器和目的节点的连通性节点发送包含 目标地址的邻居请求到对应节点,如果对应节点可达它就发送回一个邻居通告然而,如 果正在请求的节点没有受到恢复,他会尝试几次,最终删除了在邻居缓冲中该邻居对应的实 体如果需要,这会触发标准地址解析协议去得到新的M A C 地址如果得知对应节点不可达 ( 可能是假的) ,邻居缓冲区内的实体清空,那么上层的协议将不能发送数据恶意的节点 会持续发送虚假的邻居通告消息以回复邻居不可达检测消息。
3 ) 重复地址检测D O S 攻击 如果在一个网络里,连入的主机是靠无状态的地址自动配置的,一个攻击者就可以进行 一次D O S 攻击——给一个新连上1 P v 6 网络的主机发出的所有重复地址检测信息发送地址重复 回应,使得这个主机可能永远都不会有一个地址攻击者可以有两种方式声称地址:①它可 以通过一个邻居请求回复,假装也正在进行重复地址检测②通过发送邻居通告回复,假装 它已经在使用这个地址了 4 ) 路由器请求和通告攻击 同一个子网里的一个攻击节点主机可以伪装成这条链路中的路由器,通过多播貌似合法 的I P v 6 上一跳路由器通告,或者以单播方式回复路由器通告给一个多播方式发出的路由器请 求如果这个被攻击者把攻击者作为了默认的路由器,攻击者就有可能获取该主机的所有消 息,或者进行“中间人”攻击 攻击者使用路由器的链路层地址以给一个合法节点发送一个重定向消息由于这个主机 根据链路层地址识别这条消息,认为他是来自第一条链路路由器,于是就接受了地址重定向, 只要攻击者用这个链路层地址回复邻居不可达消息重定向就会持久有效 2 6 网络新技术与应用研讨会论文集( 2 0 0 5 ) 一个攻击者可以发送路由通告消息声明某些任意长的前缀在使用,如果一个发送节点认 为这个前缀,它会试着通过邻居请求对这些地址进行解析,但是这些请求是不会有回复 的。
于是构成- j " D O S 攻击攻击者可以在这个伪造的前缀上使用任意的生存时间,如果生存 期是无穷大,发送请求的主机会被拒绝服务直到它丢失了这个前缀列表 伪造地址配置前缀:攻击节点可以发送一个路由器消息指定一个无效的子网前缀给一个 自动配置地址的主机这个主机就会用这个前缀去自动产生地址,甚至这个前缀不适合这个 子网结果就是返回的包永远都到不了主机,因为主机的原地址是无效的这也构成了拒绝 服务攻击 I P v 6 路由器通告包含了一些参数用来告诉主机它们是否应该执行有状态的地址自动配 置一个攻击节点发送一个看似有效的路由器通告( 这个通告是复制合法的从默认路由器发 来的路由器通告) 除了包含的参数被改成中断有效的通信构成- ] D O S 攻击 5 ) 重传攻击1 6 ) 邻居发现D O S 攻击 进攻节点利用子网前缀伪造一些地址然后不断给这些地址发送数据包最后一跳路由器 有义务通过发送邻居请求包去解析这些地址但一个合法的主机试图进入该子网时,如果这 个路由器正在忙于发送其他的邻居发现请求时,它是不可能获得邻居发现服务的这个攻击 甚至可以在进攻者不的情况下发生 三、S E N D 协议 S E N D 协议1 2 1 是由I E T F 在2 0 0 5 年3 月份提出的意在解决I P v 6 中邻居发现存在的安全隐患的 说明文档。
它增加了几个安全选项和两个消息以达到此目的 在介绍S E N D 之前先分析上一节提出的各个具体威胁,我们发现其实安全隐患无非就是 以下三种: ( 1 ) 没有防止重传攻击的机制 ( 2 ) 没有对数据源进行验证核实的机制,即无法知道数据包中的源地址是不是它所声称 的地址 ( 3 ) 在l P v 6 体系下,路由器的作用更加重要,但是没有相关的对路由器进行权威性验 证的机制,即我们无法知道这个路由器是不是恶意攻击者 也许有人会想到使用I P s e c 协议的确,I P s e c 协议是专门用来为网络层设计的安全协议, 但是它在邻居发现中却无法发挥作用,因为在I P s e c 体系中每一个需要用I P s e c 进行处理的 数据包都会对应一个S A ( s e c u r i t ya s s o c i a t e ,安全联盟) ,而S A 由目的地址、S P I ( 安全策 略索引) 和安全协议标识符唯一识别进行邻居发现之前的主机还没有配置地址,无法标识 S A 可见用I P s e c 的方法失败原始的N D P 规范中指出了使用I P s e c 来保护N D P 消息。
但 并没有给出详细的使用I P s e c 来做到这一点的说明在N D P 中,由于在使用I K E 中产生的自 引导( b o o t s t r a p p i n g ) 问题,I P s e c 只能手工配置安全联盟另外,如果手工配置来保护N D P , 则安全联盟数量会非常庞大,使得在N D P 中使用I P s e c 变得很不现掣引 我们再看安全邻居协议如何解决首先,既然同样作为邻居发现的一部分,安全的邻居 发现所使用的消息格式也应该与普通的消息格式相同,即同样使用I C M P v 6 的包格式其次, 又因为增强了安全性,就有必要增加一些新的邻居发现选项和新的I C M P v 6 报文I P v 6 的可 扩展性很好的做到了这一点:新增的选项可以使用在邻居选项域中,而新增的消息可以链接 I P v 6 技术 2 7 在旧有消息的后面,让前一消息的“N e x tH e a d ”( 下一头) 域置成标识新选项的数字即可 下面来看看S E N D 如何通过引入新的选项和报文解决前面提到的三种潜在威胁的 ( 1 ) 针对重传攻击,自然可以采用时间戳( T i m es t a m p ) 和N o n c e 选项来解决【7 1 。
( 2 ) 对于验证数据源,我们也自然而然的想到了通过证书机制来解决同样,在S E N D 中,提供了两种方法一引入两个选项:C G A ( 合成加密地址) 和R S A 签名选项,来起到验证 的作用 C G A 选项:它实际上是利用I P v 6 地址和其他一些附加参数计算单方向的加密哈希运算 得到的一个。
