第18卷第5期凌鹏程等:一种基于IPv6邻居发现协议的中间人攻击方法?19?
节点进行无状态地址自动配置的步骤如下。通过获取网卡MAC地址并且根据EUI一64规则生成接口ID,配合链路本地前缀FE80::164构成链路本地地址,并确定自动生成的链路本地地址在本地链路唯一。此时节点通过无状态地址自动配置获得IPv6地址一共有两种方式:路由器周期性的向组播地址FF02::1(IPv6中取消了广播,并利用部分组播地址实现广播的功能,此组播地址代表本地所有节点地址)发送路由通告消息RA,IPv6节点收到后根据RA中的子网前缀自动随机生成IPv6全局地址;IPv6节点也可以以该链路本地地址为源地址,主动向路由器发送路由请求消息RS,请求获得IPv6全局地址,其过程如图2所示:
图2无状态方式地址自动配置过程
NDP在设计时对其安全性进行了一定考虑,规定对所有收到的NDP数据包都必须验证其Hoplimit字段是否为255,即确保节点收到的NDP报文来自本链路内的节点,防止利用NDP从链路外发起对链路内节点的攻击,但255的跳数限制并未解决链路内部存在恶意节点时的安全问题。
节点在通信过程中利用邻居缓存(NeiighborCache)、目的地缓存(DestinationCache)、前缀列表(Prefixlist)和缺省路由器列表(Defaultrouterlist)上述四种缓存存储了邻居节点的相关信息和网络的相关参数。在与邻节点通信时,就是通过查询上述缓存来进行具体的下一跳确定、地址解析、邻居不可达检测NUD和地址重复检测DAD等。因此,缓存中的信息对节点间的交互具有重要的作用,若缓存中信息的合法性、有效性均无法得到保证,则节点间通信的安全性也就无法得到保证。
由于缓存中信息的建立是通过一系列的NDP报文交换来实现的,而节点却无法对来自本链路的NDP报文进行有效性、合法性的确认,只能默认接收本报文并据此对缓存进行更新,因此若链路中的恶意节点发送特殊构造的NDP报文,伪造自己的身份,则能够利用节点间的信任前提,对目标节点进行欺骗攻击,成为“中间人”,对目标节点的通信数据包进行截获和篡改。
4针对NDP漏洞的MITM攻击方法
有4种方法可以实现针对NDP的中间人攻击,分别为:
(1)伪造NS/NA报文;
(2)伪造RS,RA报文:
(3)伪造Redirect报文;
(4)通过伪造RA报文中的前缀字段实施前缀欺骗。
本文着重讨论及实现第(2)种方法,即通过发送伪造的RS及RA报文实现中间人攻击。文中的攻击方法基于图3所示的交换式以太网,其中主机C为攻击者,运行笔者编译的攻击软件,路由器A、主机B为被攻击节点,主机B通过路由器A与外网进行IPv6通信。实验目标为:使主机C成为路由器A与主机B的“中间人”,截获路由器A与主机B的通信内容。
图3测试环境网络拓扑
伪造RS/RA报文进行中间人攻击的方法为:首先攻击节点对目标路由器发送伪造的RS报文,其中将目标主机的IP地址映射为攻击节点的MAC地址,路由器接到此伪造的RS报文后会误把攻击节点当做被攻击节点,这样在路由器向被攻击节点发送数据时就会发送到攻击节点处;其次,攻击节点向被攻击节点发送RA报文,伪造目标路由器的IP和MAC地址的映射,被攻击节点接到此RA报文后会将攻击节点当做默认的路由器,在需要向路由器发送数据时,将会发送到攻击节点处。由此中间人攻击完成。
在上述实验环境中,假设攻击主机C欲截取路由器A和主机B之间的通信,则主机C需要分别向路由器A、主机B发送虚假的RS、RA报文,对路由器A和主机B中的缓存进行更新。
4.1通过发送RS报文攻击路由器
RS报文是主机发向路由器的报文,当路由器收到一个Rs报文,若发现自己的邻居缓存(NeighborCache)中没有RS报文发送节点的IP地址记录或缓存中该IP对应的MAC地址与RS报文中的SrcLinkLayerAddr字段相异时,路由器将根据RS报文中的IP和MAC地址更新缓存中的记录,并将状态设置为statleo
因此,为截取路由器A发送到主机B的数据包,攻击主机C可伪装为主机B,向路由器A发送虚假
RS,即以IPB为源地址,但链路层地址选项为MACc。当
?20?电脑与信息技术2010年10月
路由器A收到此Rs包时,将更新NDP缓存中关于主机B的记录,由于A中IP。映射到MACc,则从路由器A发往主机B的数据将被交换机转发到攻击主机C。4.2通过发送RA报文攻击目标主机
RA报文是路由器发向主机的报文,用于通告链路前缀、MTU、地址配置方式和路由器生存期等信息,分为UnsolicitedRA和SolicitedRA。由于链路内的所有节点都将接收到UnsolicitedRA报文,因此攻击主机C一般可能采取向目标节点发送SolicitedRA报文的策略。
如图4,为截取主机B发送到路由器A的数据包,攻击主机C将冒充路由器A向主机B发送SolicitedRA报文,即以IPA源地址,但链路层地址选项为MAC。,且override标志位置l。当目标主机B收到RA时,若主机B的缓存中不存在路由器A的对应记录时,主机B将创建一条新记录,IPA对应到MAC。,状态设为stale;若已存在路由器A的对应记录,则需通过向主机B发送RA报文的方式删除主机B中缺省路由器列表(DefaultRouterlist)中的对应记录,再更新主机B中的IP-MAC映射关系。
图4RS/RA方法中间人攻击过程示意图
攻击主机C先冒充A发送一个IP、MAC地址都正确的solicitedRA报文,但其中的RouterLifetime字段被设置为O。这样,攻击主机C就冒充了路由器A,向主机B通告路由器A不能再作为默认路由器,此时主机B将从缺省路由器列表中删除路由器A的记录。接着攻击主机C再以IPA、MACc向节点B发送solicitedRA,则主机B将根据此RA在缺省路由器列表创建A的记录,并同时更新邻居缓存(NeighborCache)。至此,在主机B的缓存中,路由器A再次成为默认路由器,但IPA对应到了MAC。,自此在后续通信中主机B发送到路由器A的数据包,将以MAC。为链路层的目的地址,交换机则根据MAC。将其转发到攻击主机C,这样C就截取了B发向A的通信数据包。
由此看出,攻击主机C结合虚假RS、RA报文,能够实现在路由器A和主机B之间的中间人攻击。但是,这种RS/RA欺骗的效果取决于路由器A周期性发送UnsolicitedRA的频率,若路由器A频繁地发送UnsolicitedRA。则对节点B来说,其缓存中A的记录将不断更新为正确的IP、MAC对应,从而导致路由器A在被攻击主机B的缓存中常处于stale状态,使B的通信中断。因此应在可允许的范围内尽量加大对主机B发送上述两种RA报文的频率,以使主机B在有数据欲发出时能及时把主机C当做路由器A来发送。
5NDP—MITM工具的设计与实现
为完成上述攻击,攻击主机需发送伪造的RS/RA报文,且该数据包可由用户根据需要自行填充。如上文所述,根据网络环境不同,用户应可调整发送频率。为使界面友好,笔者采用VC2005编译环境,MFC框架。发送功能采用WinPcap4.0.2库所提供的相应功能。
5.1NDP—MITM工具的数据结构设计
为生成完整的网络层数据包,需自定义ICMPv6包头结构体,完整描述ICMPv6所有字段。
5.1.1RS报文数据结构
路由器请求消息(RS)结构如图5所示,其类型字段值为133。
类型(8位)代码(8位)校验和(16位)保留(32位)
选项(变长)
图5路由器请求消息(RS)结构
依据RS报文结构,NDP—MITM工具的ICM—Pv6一RS数据结构定义如图6所示:
图6NDP—MITM工具中IPMPv6RS报文数据结构5.1.2
RA报文数据结构
?24?
电
脑与信
息技术2010年10月
整天线的方向角等措施。
2.3
WiMAX与Wi—Fi的组网
IEEE
802工作组提出的802.1l和802.16分别应
用于无线局域网和无线城域网,Wi—Fi的性质与
WIMAX类似,是符合802.1l系列标准产品的统称。
Wi—Fi在短距离通信时传输速率较高,WiMAX和
Wi—Fi混合组网方式是目前应用热点,通过WiMAX来
连接Wi—Fi热点,可以提高wi—Fi的覆盖能,实现
E1/TI和IP双通道的无线传输力。根据市场需求和应用模式来看,二者将在很长时间内互补共存。
2.4
WiMAX与NGN的组网
下一代网络(NGN)是基于IP的开放式平台,可承
载话音、数据、多媒体等多种类型的业务,提供固定、宽带、移动等多种形式的互连。IP多媒体子系统(IMS)是
移动网络向全IP发展的体现,是NGN的核心组成部
分,特点是接入网络间的独立性、支持多种计费方式等。通过IMS功能实体来实现WiMAX网络和NGN的互连,向用户提供丰富的多媒体宽带业务,满足QoS
所需指标。
3
结束语
WiMAX技术是在通信网络宽带化、移动化、IP化
的趋势下成长发展的,从组网角度看WiMAX网络的发展,是分阶段完成的,商业化的最初阶段WiMAX与
wi—Fi的关系是共存并相互配合,在解决一些组网关
键技术后,WiMAX会选择与现有的宽带城域网或3G网络混合组网,这样能充分利用现有网络的核心网,WiMAX技术的最终目标是与NGN充分融合。随着WiMAX组网所需技术的发展和完善,WiMAX网络凭借其技术优势,必将在未来的网络互联发挥重要作用。参考文献:
【l】
彭木根,张涛,王文博.WiMAX组网方案研究【J】.电信科学,2005
(10):22—27.
【2】
郎为民,孙月光,孙少兰.WiMAX网络频谱规划研究哪.电信快报,
2009(2):6-9.
【3】严学强,雷正雄.WiMAX构建端到端的网络架构的解决方案叨.电
信技术.2007(11):25—27.
【4】刘波,安娜,黄旭林.WiMAX技术与应用详解【M】.北京:人民邮电出
版社,2007.
【5】原玲.3G与WiMAX联合组网研究册.计算机工程与应用,2007,43
(3):153-156.
零笞屹海a海塔电附零祭零鹕秘牙电器客勒器牙电器牙磅离鹕祭努吻¥牙磅¥笞均簿努电芦牙弛≯弛彝劈磅鼢牙的莽甾电器牙电器客啦彝苔啦奔甾她g氧
(上接第21页)工具功能灵活,用户可根据需要任意调整所需参数。经
过实际测试,可以达到预期目标。
但根据实施和测试结果,该工具软件仍有需要改进的方面。如使用该软件时,需将适配器设为混杂模
式,易被侦测软件怀疑;该工具软件攻击方式需频繁发送虚假RS/RA报文,若发送间隔设置过大则被攻击主机有网络连接停滞现象,易被用户察觉。针对这些方面的研究和改进还将持续进行。参考文献:
[11
Ryutov
TJntegmtedAeeessControlandIntrusionDetectionforWebServers[Cl
Procofthe23rdIntematlonalConfereneeonDistributedComputingSyste,m,2003-05.
12]DeeringS.HindenR.RFC2460--InternetProtoedVersion
6(IP峋
Specification[S/OL].Category:StandardsTrack,1998.
【3】林碌锵,荆继武,李智.一种WWW服务器的安全实施方案Ln.计算机
图10软件界面
应用,2003,23(10):100-102.
6总结
[41茹裟描尝‘薷:篇忠三0i竺
本文通过分析NDP的工作原理找出了NDP的安
is]茹器:1善淼址路由机制研究综述.计算机工程与应用
全漏洞,并实现了针对此漏洞的NDP—MITM工具。该tJi,2004,40(34):136—140.