03 IPv6邻居发现
H3C IPv6邻居发现经典讲义
无表项
有可达表项 获得可达信息
获得可达信息 报文发送 组装报文
地址解析
表项的清除方式
•目的缓存和邻居缓存: 邻居不可达检测机制保证无用表项的删除
没有必要周期性的清除目的和邻居缓存表项。尽管缓存表可能会不正确的保留 有陈旧的表项,但是邻居不可达检测机制能够保证在该不正确的表项被使用时 清除该表项。
•前缀列表和路由器列表:
请求发向单播地址,不打扰其他节点。如果发生变故 将收不到任何响应。
重定向功能
2002::3,把这个 包裹送到2001::1 那里,小心轻放。
2002::3为我提供 长期快递服务 (包月的),给 我媳妇2001::1寄 个包裹啥的也得 找它。
2001::1?让 2002::4送不是 更快?
2002::3,把这个 包裹送到2001::1 那里,小心轻放。
•目的缓存表(Destination Cache)
最近有流量发送的目的地址组成的表项,由重定向报文更新。
•前缀列表(Prefix List)
从路由器公告中接收到的前缀建立的表项,由路由器公告中提取。
•默认路由器列表(Default Router List)
本网段路由器组成的表项,从路由器公告中提取。
Type:4 IP header+data:触发该重定向消息的IP数据包的部分或全部,但要保 证重定向消息报文长度不超过1280字节。
MTU选项
Type:5
Length:1
MTU:链路推荐的MTU值
• • •
• • •
接口应保持的信息
•邻居缓存表(Neighbor Cache)
最近向其发送过流量的邻居组成的表项,由各种ND报文更新。
邻居缓存表
ipv6邻居发现协议
IPv6地邻居发现技术2、工作原理邻居发现协议是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能,可选实现链路层地址变化、输入负载均衡、泛播地址和代理通告等功能。
邻居发现协议采用5种类型的IPv6控制信息报文(ICMPv6)来实现邻居发现协议的各种功能。
这5种类型消息如下。
(1)路由器请求(Router Solicitation):当接口工作时,主机发送路由器请求消息,要求路由器立即产生路由器通告消息,而不必等待下一个预定时间。
(2)路由器通告(Router Advertisement):路由器周期性地通告它的存在以及配置的链路和网络参数,或者对路由器请求消息作出响应。
路由器通告消息包含在连接(on-link)确定、地址配置的前缀和跳数限制值等。
(3)邻居请求(Neighbor Solicitation):节点发送邻居请求消息来请求邻居的链路层地址,以验证它先前所获得并保存在缓存中的邻居链路层地址的可达性,或者验证它自己的地址在本地链路上是否是惟一的。
(4)邻居通告(Neighbor Advertisement):邻居请求消息的响应。
节点也可以发送非请求邻居通告来指示链路层地址的变化。
(5)重定向(Redirect):路由器通过重定向消息通知主机。
对于特定的目的地址,如果不是最佳的路由,则通知主机到达目的地的最佳下一跳。
3、主机的数据结构IPv6的一个设计要求是:即使在一个有限的网络内,主机也必须正确工作,而不像路由器不能储存路由表,不能有永久的配置,因此主机必须能自动配置,必须能学到交换数据的有关目的地的最小信息。
这些信息储存的存储器叫做缓存,这些数据结构是一系列记录的排列,称作表项。
IPv6邻居发现机制IPv6协议中一个重要特性就是IPv6的邻居发现机制
IPv6邻居发现机制IPv6协议中一个重要特性就是IPv6的邻居发现机制,在本课题的实验中可以看到IPv6邻居发现机制中的众多特性。
地址自动配置与邻居发现有密切的关系,因此也将在本节中涉及。
一、邻居发现IPv6邻居发现最初在RFC 1970(参考文献〔7〕)中描述,目前已在RFC 2461 [i]中重新定义。
IPv6邻居发现提供了几种不同用途,包括以下方面的支持:l 路由器发现。
即帮助主机来识别本地路由器。
2 前缀发现。
节点使用此机制来确定指明链路本地地址的地址前缀以及必须发送给路由器转发的地址前缀。
3 参数发现。
此机制帮助节点确定诸如本地链路MTU之类的信息。
4 地址自动配置。
用于IPv6节点地址自动配置 [ii]。
5 地址解析。
替代了ARP和RARP,帮助节点从目的IP地址中确定本地节点(即邻居)的链路层地址。
6 下一跳确定。
可用于确定包的下一个目的地,即可确定包的目的地是否在本地链路上。
如果在本地链路,下一跳就是目的地;否则,包需要路由,下一跳就是路由器,邻居发现可用于确定应使用的路由器。
7 邻居不可达检测。
邻居发现可帮助节点确定邻居(目的节点或路由器)是否可达。
l 重复地址检测。
邻居发现可用于帮助节点确定它想使用的地址在本地链路上是否已被占用。
8 重定向。
有时节点选择的转发路由器对于待转发的包而言并非最佳,这种情况下,该转发路由器可以对节点进行重定向,以将包转发到最佳的路由器。
例如,节点将发往Internet的包发送给为节点的内联网服务的默认路由器,该内联网路由器可以对节点进行重定向,以将包发送给连接在同一本地链路上的Internet路由器。
邻居发现服务通过5种ICMPv6 [iii]报文类型来执行,这些报文包括:9 路由器宣告。
要求路由器周期性地发送多点传送路由器宣告消息,宣告其可用性及其可到达的在线节点、用于配置的链路和Internet参数。
这些宣告包含对所使用的网络地址前缀、建议的路程段极限值及本地的MTU的指示,也包括指明节点应使用的自动配置类型的标志。
IPv6邻居发现协议
IPv6邻居发现协议
概述 邻居发现协议的消息类型 路由器发现 地址自动配置 地址冲突检测 邻居地址解析
概述
IPv6具有即插即用的特性,而该特性就 是通过邻居发现协议(Neighbor Discovery Protocol, NDP)来实现的。 NDP消息通常应该在链路本地的范围内 收发。因此,封装NDP消息的数据包也始终 使用IPv6链路本地地址,或者链路本地范围 内的多播地址。
路由器发现
路由器通过在相连的链路上周期性地发送 路由器通告消息,表明它的存在并通告配 置的所有参数。大多数情况下在广播链路 上使用。 刚刚连接到某个链路接口的主机需要获得 一份路由器通告消息,以便能够发现链路 上的路由器并学习到链路的参数。因此连 接到链路时,主机会发送一条路由器请求 消息去请求一条路由器通告消息。收到后 将该路由器添加到缺省路由器列表中。
邻居发现协议的消息类型
邻居发现协议(NDP)是在RFC2461中定义的, 为了完成某些功能,它使用ICMPv6协议来 交换一些必要的消息,主要有5种: 路由器通告(Router Advertisement, RA)消息 路由器请求(Router Solicitation, RS)消息 邻居通告(Neighbor Advertisement, NA)消息 邻居请求(Neighbor Solicitation, NR)消息 重定向(Redirect)消息
地址冲突检测
被请求节点的多播地址是由前缀 FF02:0:0:0:0:1:FF00::/104加上目标地址的 最后24位组成。这样做的原因是这个地址 可以匹配该节点自动配置的所有地址。除 此以外,如果两个节点同时对一个地址进 行冲突检测时,它们可以互相检测到。
邻居地址解析
IPv6邻居发现协议安全问题研究的开题报告
IPv6邻居发现协议安全问题研究的开题报告一、选题背景IPv6(Internet Protocol version 6)是针对IPv4(Internet Protocol version 4)的地址瓶颈和安全性问题进行设计的下一代互联网协议,其主要特点包括地址空间更加庞大、服务质量得到保证、支持安全机制等。
IPv6邻居发现协议是IPv6协议栈中的一部分,主要用于网络设备之间的地址解析和路由器的发现,其安全性直接影响到IPv6网络的可靠性和安全性。
目前,已经发现了IPv6邻居发现协议的某些安全问题,例如邻居缓存投毒、邻居欺骗等。
这些问题不仅会影响网络的正常运行,而且会导致网络安全威胁。
因此,本研究将着重探讨IPv6邻居发现协议的安全问题,并提出相应的解决方案,以提高IPv6网络的安全性和可靠性。
二、研究内容1. IPv6邻居发现协议的工作原理及特性。
2. IPv6邻居发现协议的安全问题调研,包括邻居缓存投毒、邻居欺骗等。
3. 分析IPv6邻居发现协议的安全问题可能对网络带来的影响,如服务中断、信息泄露等。
4. 提出解决IPv6邻居发现协议安全问题的方案,包括加强邻居缓存管理、采用安全认证机制等。
5. 通过实验验证方案的可行性和有效性。
三、研究意义IPv6邻居发现协议的安全问题直接影响到IPv6网络的可靠性和安全性,如果这些问题没有得到及时解决,将会给IPv6网络带来严重的安全威胁。
本研究将重点研究IPv6邻居发现协议的安全问题,并提出一系列的解决方案,这对于提高IPv6网络的安全性和可靠性具有重要的意义。
此外,本研究的成果还可为网络工程师和网络安全专家提供参考和指导,进一步推动IPv6网络的发展和安全性研究。
四、研究方法本研究将采用实验和理论相结合的方法,首先通过网络仿真软件模拟IPv6网络环境,搭建IPv6邻居发现协议的测试环境。
然后通过实验收集相关数据,并进行数据分析和处理,以提取有用的信息。
IPv6网络邻居发现概述
15
配置RA消息相关参数
取消对RA消息发布的抑制
[Router-Ethernet0/0] undo ipv6 nd ra halt
配置RA消息发布的时间间隔
[Router-Ethernet0/0] ipv6 nd ra interval maxinterval-value min-interval-value
1::2:B/64
Stale Delay Probe Reachable Stale
10
目录
邻居发现协议 地址解析 无状态地址自动配置 ND协议配置
IPv6地址自动配置
有状态地址自动配置
从DHCP服务器获取地址及相关信息
无状态地址配置
根据路由器发布的信息而自动配置IPv6地址及相 关信息
IPv6网络邻居发现概述
技术创新,变革未来
引入
ND(Neighbor Discovery,邻居发现)协议是IPv6 的一个关键协议,它综合了IPv4中的一些协议如 ARP、ICMP路由器发现和ICMP重定向等,并对他 们做了改进。本章介绍了IPv6邻居发现协议中的地 址解析、无状态地址自动配置等重要功能,并对如何 配置ND协议进行了讲解。
Type = 137
Redirect -(重定向消息)
5
目录
邻居发现协议 地址解析 无状态地址自动配置 ND协议配置
IPv6地址解析概述
与IPv4中的地址解析不同,IPv6地址解析包 含了两个过程
解析IPv6地址所对应的链路层地址过程 邻居可达性状态的维护过程,即邻居不可达检测
(NUD)
《深入解析IPV6》第六章 - 邻节点发现
||||||| | ||||||| | ||||||| | ||||||| | ||||||| |
||||||| | ||||||| | ||||||| | ||||||| | ||||||| |
||||||| | ||||||| | ||||||| | ||||||| | ||||||| | ||||||| | ||||||| | ||||||| | ||||||| | ||||||| | ||||||| | ||||||| |
IPv6中的ND用于确定邻节点乊间的关系,它取代了IPv4中使用的地址解析协议(ARP)、以及
ICMP中的路由器发现和重定向报文,还提供了额外的功能。
|
● 参数发现
● 地址自动配置 ● 重复地址检测
● 地址解析
● 邻节点丌可达检测
● 重定向功能
主机使用ND
发现邻节点路由器 自动配置地址、地址前缀、路由以 及其他配置参数
| | | | | | | | | | | |
|
6.3.2 前缀信息选项
● 前缀长度- 表示地址前缀中的前缀字段的先导位位数。8字节。可取0~128,为识别子网通常设为64。 ● 链路上标志- 值为1时表示前缀所指示的地址存在于收到路由器公告报文的链路上,值为0表示丌在 ● 自治标志- 值为1时表示前缀用于创建一个自治(无状态)地址,值为0时表示前缀丌作这个用途。 ● 路由器标志- 该标志是RFC3775为移动IPv6定义的。 站点前缀表是由主机维护的,当全球地址匹配了站点前缀,就优先选用站点本地地址。 ● 保留1、2- 保留1、2是为了将来使用所保留的字段,并且设置为0。 ● 站点前缀标签- 值为1时表示由前缀字段定义的站点前缀和站点前缀长度字段用于更新站点前缀表。
ipv6的规则 -回复
ipv6的规则-回复IPv6的规则IPv6,即Internet协议第六版,是互联网上使用的一种网络层协议,它是IPv4的升级版本。
相比IPv4,IPv6具有更大的地址空间和更先进的特性,以满足当前和未来互联网发展的需求。
在IPv6中,有许多规则和标准,这些规则确保网络的正常运行和安全性。
本文将一步一步地回答关于IPv6的规则。
第一步:IPv6地址规则IPv6地址是由128位二进制数表示的地址,这给予了IPv6一个庞大的地址空间。
IPv6地址的格式由八个16进制数块组成,每个块用冒号分隔。
例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334是一个IPv6地址的例子。
IPv6地址可以是全球唯一的,也可以是链路本地的或站点本地的地址。
第二步:IPv6路由规则IPv6路由是指数据包从源主机到目标主机过程中,通过中间设备的传递。
IPv6路由规则是一种确定数据包流向的规则,它告诉路由器如何将数据包发送到正确的目的地。
IPv6路由规则使用前缀匹配来判断最佳的路径。
路由器根据IPv6地址的前缀来决定数据包该转发至哪一个接口。
第三步:IPv6邻居发现规则IPv6邻居发现是一种用于发现和识别网络上邻居设备的机制。
它用于在主机或路由器之间建立通信会话,以确定连接的可用性和性能。
IPv6邻居发现规则包括邻居发现协议(NDP)和邻居发现协议ICMPv6 信息。
邻居发现协议允许主机解析IPv6地址,查找邻居设备,并建立有效的邻居关系。
第四步:IPv6安全规则IPv6的安全性是网络中至关重要的一环。
IPv6安全规则包括防火墙规则、访问控制列表(ACL)和加密机制等。
防火墙规则允许或禁止特定的IPv6流量通过防火墙,以保护网络免受潜在的攻击。
ACL用于限制特定主机或特定流量的访问权限。
加密机制可以用于对IPv6数据包进行加密和解密,保护数据的机密性和完整性。
第五步:IPv6扩展头规则IPv6扩展头是一种用于将额外信息添加到IPv6数据包的机制。
ipv6邻居发现的主要过程
ipv6邻居发现的主要过程
IPv6邻居发现是IPv6网络中设备发现并与其邻居建立连接的
过程。
主要过程包括以下几个步骤:
1. 链路层地址解析,在IPv6邻居发现过程中,设备首先需要
确定其邻居的链路层地址。
为了实现这一点,设备会发送一个邻居
请求消息(Neighbor Solicitation),请求邻居设备告知其链路层
地址。
这个消息会被发送到目标设备的IPv6链路本地多播地址。
2. 邻居设备响应,收到邻居请求消息的设备会做出响应,发送
邻居通告消息(Neighbor Advertisement),其中包含其链路层地址。
这个消息会直接发送给请求设备。
3. 缓存邻居信息,一旦设备收到邻居通告消息,它会将邻居的IPv6地址与链路层地址进行映射,并将该映射信息存储在邻居缓存中,以便将来使用。
4. 邻居监视,设备会定期发送邻居探测消息(Neighbor Unreachability Detection)来监视邻居设备的可达性。
如果设备
在一定时间内没有收到邻居的通告消息,它会将邻居标记为不可达,
并尝试重新进行邻居发现过程。
总的来说,IPv6邻居发现过程包括地址解析、邻居响应、邻居
信息缓存和邻居监视等步骤,确保设备能够发现其邻居并建立连接,从而实现IPv6网络中设备之间的通信。
简单描述ipv6 邻居发现的过程
IPv6邻居发现过程随着互联网的发展和普及,IP位置区域资源的使用已经越来越紧张,IPv4位置区域枯竭的问题也日益严重。
为了解决IPv4位置区域不足的问题,IPv6协议应运而生。
IPv6协议采用128位位置区域长度,大大扩大了可用的IP位置区域数量,同时还提高了路由效率和安全性。
IPv6邻居发现是IPv6协议中的一个重要过程,它是指主机或路由器在IPv6网络中发现并识别直接相连的邻居的过程。
在IPv6网络中,每个主机和路由器都有一个唯一的128位的IPv6位置区域,为了进行通信,它们需要通过邻居发现过程来获取对方的链路层位置区域,这样才能发送数据包到对方。
邻居发现过程由多个步骤构成,下面将详细介绍IPv6邻居发现的过程:1. Router Solicitation(路由器请求)当一个IPv6主机启动或者连接到网络时,它会发送一个Router Solicitation消息到本地链路上的广播位置区域(FF02::2),以请求路由器的相关信息。
这条消息的目的是为了获取默认路由器的位置区域和其他配置参数。
2. Router Advertisement(路由器通告)收到Router Solicitation消息的邻居路由器会向主机发送Router Advertisement消息,其中包括了路由器的IPv6位置区域、网络前缀、MTU(最大传输单元)和其他配置参数。
这样主机就能获得网络配置信息,包括默认网关等。
3. Neighbor Solicitation(邻居请求)在IPv6网络中,邻居之间通过IPv6位置区域来通信,但需要先了解对方的链路层位置区域才能进行通信。
当一个主机需要与其邻居通信时,它会发送一个Neighbor Solicitation消息,来请求对方的链路层位置区域。
4. Neighbor Advertisement(邻居通告)收到Neighbor Solicitation消息的邻居主机或路由器会向对方发送Neighbor Advertisement消息,其中包括了对方的链路层位置区域。
IPv6 邻居发现协议介绍
Prefix Information格式
•
•
Prefix Len:前缀的bit数,0-128(0或128什么含义?)
L:on link flag,当设置时,可用于on-link(是否直连)判决;当未设置时,RA对于前缀on-link还是offlink不持立场,即host不能认为通过该前缀生成的IP是off-link的。只有当Valid Lifetime为0,且L设置 为1,才表示该前缀的地址为off-link A:用于RFC2462 无状态地址自配置 Valid Lifetime&Perferred:参考RFC2462 无状态地址自配置 Prefix:一个IP地址或者IP地址的前缀,不能携带link-local的prefix
NS报文格式
• Node发送NS报文请求解析target Node的链路层地址,同时携带了自身的链路层地址,当 Node发送NS用于解析地址时,以组播方式发送;当验证可达性时,以单播方式发送
•
IP头 – 源IP:发送方接口IP或者为未定义IP(用于DAD检测时) – 目的IP:被请求节点组播地址或者目标地址
• 记录NUD算法涉及的相关数据记录,如邻居状态,重发计数,定时器等
• IPv6的NDP协议组合了IPv4时的ARP,RDISC(RFC1256 ICMP Router Discovery Messages),ICMP Redirect • 相比IPv4的增强
– router发现作为协议基本功能,主机不需”窥探“路由协议 – RA携带了link地址,不需额外的分组交换获取router的link地址 – RA携带了prefix,不需单独配置host的掩码 – RA使能地址自配置 – RA广播link MTU,保证那些没有知名MTU预定义值的link上的所有node使用相同 的MTU – 定义被请求节点组播地址,降低非解析目标节点的中断数 – Redirect携带了新的下一条的link地址,不需再发起的单独的报文交换去获取
IPv6邻居发现ND
RECHEABLETIME以后。。。 修改
<1::1, MAC1, Stale>
Unicast Neighbor Advertisement:[1::2, MAC2]
上层要发送报文 <1::2, 1::1>
Unicast Neighbor Solicitation:[1::1,?],[FE80::,MAC2]
Neighbor Advertisement:[1:;1::1,MAC1, STALE>
修改 <1::1, MAC1, Delay>
修改 <1::1, MAC1,Probe>
16
地址解析示意图
1::1:A/64
1::2:B/64
00E0-FC00-0001
A
NS报文
00E0-FC00-0002
B
源MAC:00E0-FC00-0001;目的MAC:3333-FF02-000B 源IP地址: 1::1:A; 目的IP地址: FF02::1:FF02:B (被请求节点组播地址) 目标地址: 1::2:B 选项: 00E0-FC00-0001(源节点MAC地址)
3
IPv4 和 IPv6 报文头对比
IPv4 报头
Version IHL
Type of Service
Total Length
Identification
Flags
Fragment Offset
Time to Live
Protocol
Header Checksum
Source Address Destination Address Options
IPv6的邻居发现技术
IPv6的邻居发现技术1、引言随着IP网络规模和业务的迅速发展,IP网络的用户数急剧增加,正因为如此,IP网络也暴露出越来越多的问题,如地址空间不足、QoS、安全问题等。
为了解决Internet的这些问题,尤其是解决地址空间不足的问题,IETF于1992年在IPv4的基础上定义了下一代的Internet协议,被称之为“Ipng”或“IPv6”。
IPv6解决的最大问题是扩大了地址空间,另外,它与IPv4相比在其它许多方面都具有优势,例如安全性、服务质量、移动性等。
IPv6的一个显著特点就是它具有“即插即用”功能。
即插即用使节点直接连接到网络后,不需要经过任何人工配置就能够使用,即插即用使网络的管理和控制变得更加简单;其次,节点只需要知道自己的链路层地址及本地网络的子网前缀,就能够通过IPv6的无状态或者全状态自动配置得到惟一的IPv6地址,从而成为网络的一部分;另外,IPv6还实现了更好的对节点移动性的支持。
这些功能都是通过邻居发现协议来实现的,同一个子网内的所有主机和路由器之间的交互也都是通过邻居发现协议来实现的。
2、工作原理邻居发现协议是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能,可选实现链路层地址变化、输入负载均衡、泛播地址和代理通告等功能。
邻居发现协议采用5种类型的IPv6控制信息报文(ICMPv6)来实现邻居发现协议的各种功能。
这5种类型消息如下。
(1)路由器请求(Router Solicitation):当接口工作时,主机发送路由器请求消息,要求路由器立即产生路由器通告消息,而不必等待下一个预定时间。
(2)路由器通告(Router Advertisement):路由器周期性地通告它的存在以及配置的链路和网络参数,或者对路由器请求消息作出响应。
IPv6邻居发现攻击防护解决方案技术白皮书
Hillstone IPv6邻居发现攻击防护解决方案技术白皮书关键词:IPv6,邻居发现(ND),安全网关,NS/NA,RS/RA摘要:本文介绍了IPv6邻居发现协议的基本原理、攻击种类、Hillstone安全网关防护方法,以及典型实际环境中的应用。
缩略语:1.IPv6邻居发现协议简介IPv6的邻节点发现(ND)协议,是用一系列的报文和步骤来确定邻节点之间关系的过程。
ND取代了IPv4中使用的ARP、ICMP路由器发现和ICMP重定向报文。
●ND协议定义功能:●ND协议报文格式:邻节点发现报文使用ICMPv6的报文格式,及ICMPv6的从133到137的报文类型。
●ND协议报文类型:2.IPv6邻居发现攻击介绍在IPv4网络中,ARP攻击问题已经为广大的网络管理者、设备厂商所认识,ARP攻击能够造成大面积网络不能正常访问外网,使得正常用户深受其害。
针对ARP攻击,大部分的网络设备厂商都推出了自己的ARP攻击解决方案,在很大程度上解决了ARP攻击的问题。
而伴随着IPv6网络的建设,在IPv6协议族中的ND协议越来越被重视,而ND协议在设计上与ARP协议一样并未提供认证机制,导致网络中的主机是不可信的,从而使得针对ND协议的攻击非常容易。
ND攻击类型总结如下:●地址欺骗攻击攻击者利用NS/NA/RA报文来修改受害主机或网关上的MAC地址,造成受害主机无法与网络进行正常的通信,甚至形成中间人攻击。
●路由通告欺骗攻击RA报文能够携带很多网络配置信息,包括默认路由器,网络前缀列表,是否进行有状态地址分配等网络配置的关键信息。
如果受害者接收了虚假的RA信息,会造成网络配置错误,从而引发欺骗攻击。
●针对网关的泛洪攻击通过发送大量的NS/RS报文,造成网关的ND表项溢出。
3.Hillstone IPv6邻居发现攻击防护方法通过对上文ND攻击类型的介绍,我们可以看出发现当前ND攻击防御的关键所在:如何获取到合法用户和网关的IPv6地址和MAC地址的对应关系,并如何利用该对应关系对ND报文进行检查,过滤掉非法ND报文。
基于IPv6邻居发现协议的攻击工具的设计与实现
认路由器,从而接受该重定向。
3 攻击工具的实现与效果 3.1 实验环境 3.1.1 硬件环境
实验中采用多台主机,均为 P4 3.0GHz,intel处理器, 512M 内存的 Windows XP主机,Cisco交换机,路由器(使用 双网卡Linux主机)搭建。
实验网络拓扑结构如图1 。
图 2 攻击工具整体架构图
3.2.2 IPv6攻击过程
(1) 通过WinPcap库函数pcap_findalldevs()获取攻击主 机的网卡列表;
(2) 递归网卡列表,选择要发送数据包的网卡; (3)通过 pcap_open_live()打开所选择的网卡适配器 adapter,并且将网卡设定为混杂模式; (4) 攻击函数Attack()由包填充函数Fill_Packet()和数 据报发送函数pcap_sendpacket()构成; (5)填充函数 Fill_Packet()主要填充数据链路层 Ethernet、网络层 IPv6、以及上层协议,如 ICMPv6协议、
SA。目前只能通过管理员在节点上手动设置密钥,建立安全关 联 SA,当网络中存在大量节点时,节点间需要建立很多安全关 联,这给管理员带来了很大的负担。目前,IETF 的 Securing Neighbor Discovery工作组正在研究此问题的解决方法,即Secure Neighbor Discovery,但同样由于认证机制过于复杂,常用于网络
30 网络安全技术与应用 2008.10
应 用 安 全
续发送虚假 NA 来响应 NUD 的 NS ,进而造成拒绝服务。
2.3 重定向攻击
3.2.1 IPv6攻击工具设计
从 NDP的安全威胁分析可以看出,该协议存在一些安全
(1)恶意的最后一跳路由器 攻击者周期性地发送RA,假冒真的最后一跳路由器声明
IPV6 邻居发现ND协议资料
LWF
LWF
• Router Solicitation消息格式 • --主机发送Router Solicitations以便督促路 由器尽快生成Router Advertisements。 Router Solicitation消息格式如图1所示。
LWF
Hale Waihona Puke • Router Advertisement消息格式 ----路由器周期地发出Router Advertisement消息,或因 响应Router Solicitations而发送Router Advertisement消息。 • Router Advertisement消息格式如图2所示。
2—ICMP Type = 134 (RA) Src = link-local address (FE80::/10) Dst = all-nodes multicast address (FF02::1) Data = options, subnet prefix, lifetime, autoconfig flag
LWF
常见术语
节点(node):执行 IP 协议的设备。
路由器(router):一个节点,转发不是显示寻址到自己的 IP 分组。
主机(host):任何不是路由器的节点。
上层(upper layer):紧挨着下面的 IP 层的协议层。例如传输协议 TCP 和 UDP、控制协议 ICMP、路由协议OSPF,以及被在 IP 上“隧道 化” (即,被封装进 IP)的互联网络层(或低层)协议,例如 IPX、 AppleTalk 或 IP 自身。 链路(link):通信设施或媒介,是紧挨着上面的 IP 层的协议层,节点能够 在其上的链路层通信。例如以太网(简单或桥接)、PPP 链路、X.25、 帧中继、ATM 网络,以及互联网络层(或高层)“隧道”,例如 IPv4 或 IPv6 自身之上的隧道。
IPv6邻居发现协议简介
(1)INCOMPLETE(未完成状态):表示正在解析地址,但邻居链路层地址 尚未确定。
(2)REACHABLE(可达状态):表示地址解析成功,该邻居可达。
(3)STALE(失效状态):表示可达时间耗尽,未确定邻居是否可达。
(4)DELAY(延迟状态):表示未确定邻居是否可达。DELAY状态不是一个稳 定的状态,而是一个延时等待状态。
IPv6邻居发现协议
Neighbor Discovery Protocol,NDP
Michael 2017/09/29
課程目标
学习完本课程,您应该能够:
■ 熟悉邻居发现协议的基本功能 ■ 熟悉邻居发现的报文结构 ■ 掌握IPv6地址解析过程
■ 描述邻居状态机变化的过程
■ 掌握IPv6重定向的原理
■ 描述主机数据结构和数据发送算法
Host Router
1. RS
ICMPv6 Type = 133 (RS)
2. RA
ICMPv6 Type = 134 (RA) Src = Router link-local address
Src = link-local address (FE80::/10)
Dst = all-routers multicast address (FF02::2)
02
路由器发现
二、路由器发现(Router Discovery)
用于定位邻居路由器,生成default router列表,并获取与地址自动配置有关 的前缀和配置参数。用RS/RA机制实现。
主机发送Router Solicitation报文 路由器回应Router Advertisement报文 主机从RA报文获得前缀及其它参数
ipv6邻居发现协议
ipv6邻居发现协议IPv6邻居发现协议是为IPv6网络设计的一种协议,旨在发现局域网中的邻居节点,并建立相应的链路层地址映射。
本文将介绍IPv6邻居发现协议的工作原理和应用。
IPv6邻居发现协议通过多种机制实现邻居节点的发现。
首先,节点在局域网中广播邻居发现请求,通常使用目的IPv6地址为所有节点的多播地址。
邻居节点接收到该请求后,会返回邻居发现应答,以便建立链路层地址映射关系。
其次,节点还可以发送多播邻居发现请求,以寻找远程网络中的邻居节点。
邻居发现协议还支持通过无状态地址自动配置的方式,使节点能够更加灵活地获取IPv6地址。
邻居节点发现过程中,存在一种重要的概念,即邻居缓存。
邻居缓存用于存储已发现的邻居节点的信息,包括IPv6地址、链路层地址和有效时间等。
通过邻居缓存,节点可以在通信时快速查找邻居节点的链路层地址,提高数据传输的效率。
邻居发现协议适用于多种应用场景。
一方面,它可以用于路由器的发现和选择,以便节点能够选择最佳路径进行通信。
另一方面,邻居发现协议也可以用于多播组成员的发现,以便节点加入或离开多播组。
IPv6邻居发现协议的设计考虑了安全性和效率。
为了保证安全性,邻居发现协议引入了邻居验证机制,以防止邻居伪装攻击。
在发现过程中,节点可以验证邻居节点的信息,防止非法节点的加入。
为了提高效率,邻居发现协议对邻居发现请求和应答进行了优化,减少了网络中的广播流量。
此外,邻居发现协议还支持查询邻居节点的状态,以便节点能够了解邻居节点的可达性和可用性。
总结起来,IPv6邻居发现协议是一种用于发现IPv6网络中邻居节点的协议。
它通过多种机制实现邻居节点的发现,并建立链路层地址映射关系。
邻居发现协议在路由器发现、多播组成员发现和地址自动配置等方面具有广泛的应用。
为了保证安全性和效率,邻居发现协议引入了邻居验证机制和优化的消息传输机制。
通过IPv6邻居发现协议,IPv6网络可以更加稳定和高效地进行通信。
技术盛宴丨IPv6系列基础篇(下)——邻居发现协议NDP
通过上一期文章(IPv6基础篇(上)——地址与报文格式),相信大家对于IPv6的背景、地址和报文格式有了一定了解,接下来大家可能对于终端访问IPv6网络资源的过程原理更感兴趣。
那么一个终端如果要访问IPv6的资源,关键的步骤是什么呢?当然是它需要一个IPv6的地址。
那么这个地址又从何而来?是不是只能像IPv4一样手动配置或者通过DHCP服务器下发?其实不然,IPv6有更加简洁的地址分配方式,可以通过邻居发现协议实现IPv6地址的自动分配。
并且IPv6邻居发现协议远不止这一项功能,这一期将对IPv6邻居发现协议做展开讲解。
NDP协议概述NDP(Neighbor Discovery Protocol,邻居发现协议)是IPv6协议体系中一个重要的基础协议。
通过使用ICMPv6报文实现以下丰富的功能:• 无状态自动配置(简化版的DHCP):路由器发现、前缀发现、参数发现;• 重复地址检测(DAD),相当于IPv4的免费ARP;• 地址解析,相当于IPv4的ARP;• 邻居不可达检测(NUD);•路由器重定向。
为NDP定义的ICMPv6消息ICMPv6(Internet Control Message Protocol Version 6,互联网控制报文协议版本6)是IPv6的基础协议之一。
ICMPv6的协议类型号(IPv6报文中的Next Header字段的值)为58。
ICMPv6的报文格式图1所示:▲图1:ICMPv6报文格式报文中字段解释如下:• Type:表明消息的类型,0至127表示差错报文类型,128至255表示消息报文类型;• Code:表示此消息类型细分的类型;• Checksum:表示ICMPv6报文的校验和,校验的部分包括了ICMPv6数据和IPv6的报头部分(IPv6报头不含校验);• Data:ICMPv6数据。
ICMPv6消息类型中有5种是为了支持邻居发现协议而定义的,功能如图2描述:▲图2: ICMPv6五种消息类型无状态自动配置IPv6地址配置方式IPv6地址有128位,即使有简化书写的方式,为主机配置IPv6地址也是一件工作量不小的活儿。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISSUE 1.X
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
引入
IPv6是用什么机制实现二、三层地址映射? 是用什么机制实现二、三层地址映射? 是用什么机制实现二 二、三层地址映射关系又是如何维护的? 三层地址映射关系又是如何维护的? 主机如何进行自动配置IPv6全球单播地址的? 全球单播地址的? 主机如何进行自动配置 全球单播地址的r Discovery,邻居发现)协议是 ( ,邻居发现) IPv6的一个关键协议 的一个关键协议 综合了IPv4中的一些协议并做了改进,还提供了一 综合了 中的一些协议并做了改进, 中的一些协议并做了改进 些非常重要的功能
地址解析 替代ARP 邻居不可达检测(NUD)
ND
无状态地址 自动配置
路由器发现,包括前缀、参 数等信息 接口ID自动生成 重复地址检测(DAD) 前缀重复编址
路由器重定向
4
ND协议报文 协议报文
ND协议使用 协议使用ICMPv6报文类型 协议使用 报文类型
ICMPv6类型 类型
Type = 133 Type = 134 Type = 135 Type = 136 Type = 137
19
本章总结
IPv6邻居发现协议的基本概念 邻居发现协议的基本概念 邻居发现协议的功能 地址解析过程 地址自动配置过程 路由器重定向过程
杭州华三通信技术有限公司
RA报文中会携带有 报文中会携带有Preferred lifetime及Valid Lifetime这两 及 这两 报文中会携带有 个值, 个值,系统据此进行地址状态的变化
Valid Tentative Preferred
Preferred Lifetime Valid Lifetime
Deprecated
涉及三个机制: 涉及三个机制:
路由器通告——节点获得链路上可用的前缀及路由器信息 重复地址检测——保证了配置的每个IPv6地址在链路上的唯一性 前缀重新编址——重新通告前缀,完成网络前缀的切换
13
无状态地址自动配置过程
RT
前缀:2001:1::/64
NodeA
NodeB
Link 节点发送请求RS 路由器发送RA,前缀信息 DAD检测,发送NS报文 无NA回应,则地址可用
11
目录
ND协议基础 协议基础 IPv6地址解析 地址解析 无状态地址自动配置 路由器重定向
无状态地址自动配置概述
节点根据路由器发出的RA消息, 节点根据路由器发出的 消息,结合接口的标识 消息 符而生成一个全球单播地址 无状态地址自动配置的优点
真正的即插即用 网络迁移方便 地址配置方式选择灵活
邻居不可达检测是节点确定邻居可达性的过程 邻居可达性状态机用来描述邻居的可达性, 邻居可达性状态机用来描述邻居的可达性,共有五 种状态, 种状态,可互相迁移
INCOMPLETE(未完成) REACHABLE(可达) STALE(失效) DEALY(延时) PROBE(探测)
9
邻居状态机迁移过程图
NodeA
00e0-fc00-0001 1::1:A/64 00e0-fc00-0002 1::2:B/64
NodeB
Link
NS:
1)
源MAC地址: 00e0-fc00-0001 MAC 目的MAC地址: 3333-ff02-000b 源IP地址:1::1:A 目的IP地址:FF02::1:FF02:B (被请求节点组播地址) 目标地址:1::2:B 选项:00e0-fc00-0001 (源节点MAC地址)
16
前缀信息选项
在RA报文中携带的前缀信息选项 报文中携带的前缀信息选项
Type=3
Length=4
Prefix length Valid lifetime
L A R
Reserved
Preferred lifetime Reserved
Prefix
17
目录
ND协议基础 协议基础 IPv6地址解析 地址解析 无状态地址自动配置 路由器重定向
路由器重定向
路由器重定向的目的是通知链路上的节点, 路由器重定向的目的是通知链路上的节点,在同一链路上存 在一个更优的转发数据报文的路由器
NodeA
RTA
网络
网络A 网络 网络
RTB 链路 1) 2) 3) 数据报文(目的地:NodeB) ICMPv6重定向(使用RTB) 数据报文(目的地:NodeB) NodeB
10
NUD检测过程 检测过程
NodeA
00e0-fc00-0001 1::1:A/64 00e0-fc00-0002 1::2:B/64
NodeB
Link
NS :
源MAC: 00e0-fc00-0001 目的MAC: 00e0-fc00-0002 源地址:fe80::2e0:fcff:fe00:1 目的地址:1::2:B 目标地址: 1::2:B 选项:源节点MAC地址是00e0-fc00-0001
ND协议在第三层上实现 协议在第三层上实现
IPv4 ARP协议报文 协议报文
MAC帧头 帧头 ARP头 头 协议数据
IPv6 ND协议报文 协议报文
MAC帧头 帧头 IPv6报头 ICMPv6报头 报头 报头 协议数据
5
目录
ND协议基础 协议基础 IPv6地址解析 地址解析 无状态地址自动配置 路由器重定向
Invalid
time
15
RS与RA报文 与 报文
RS报文 报文
Type=133 = Code=0 = Reserved Options Checksum
RA报文 报文
Type=134 = Cur Hop Limit Code=0 = M O H Prt P Rsvd Reachable time Retrans timer Options Checksum Router lifetime
IPv6地址解析概述 地址解析概述
包含两个过程 IPv6地址解析的优点 地址解析的优点
解析IP地址所对应的链路层地址过程 邻居可达性状态的维护过程,即邻居不可达检测(NUD) 加强了解析协议与底层链路的独立性 增强了安全性 减小了报文传播范围
7
IPv6地址解析过程 地址解析过程
课程目标
学习完本课程,您应该能够: 学习完本课程,您应该能够:
了解邻居发现协议的基本功能 了解IPv6主机数据结构 主机数据结构 了解 了解邻居发现的报文结构 掌握地址解析过程 熟悉邻居状态机的变化过程 描述无状态地址自动配置的过程 掌握IPv6报文重定向原理 报文重定向原理 掌握
目录
ND协议基础 协议基础 IPv6地址解析 地址解析 无状态地址自动配置 路由器重定向
收到NA回应,则地址不可用
有节点回应NA
14
地址的状态与生存周期
地址的生存周期包含4种状态: 地址的生存周期包含 种状态: 种状态
Tentative:临时状态。表明地址处于重复地址检测过程中 Preferred:优先状态。检测通过,推荐使用 Deprecated:反对状态。不建议用于新的通信活动,但现有的 通信可继续使用 Invalid:无效状态,不能用于任何通信活动
消息名称
RS -(Router Solicitation,路由器请求) RA -(Router Advertisement,路由器公告) NS -( Neighbor Solicitation,邻居请求) NA -( Neighbor Advertisement,邻居公告) Redirect -(重定向消息)
发送组播NS INCOMPLETE 组播NS超时 单播NA EMPTY
单播NA超时 PROBE
单播NA NA确认超时 REACHABLE 可达时间耗尽/ 非请求NA 收到NA确认
STALE
有报文要发送 NS/NA报文导致的状态转换 RS/RA报文导致的状态转换 上层协议导致的状态转换
DELAY
1)
NA :
源MAC: 00e0-fc00-0001 目的MAC: 00e0-fc00-0002 源地址:1::2:B 目的地址: fe80::2e0:fcff:fe00:1 目标地址: 1::2:B 标志S位:置1 选项:被请求节点MAC地址是00e0-fc00-0002
2)
2)
NA:
4)
源MAC地址: 00e0-fc00-0002 目的MAC地址: 00e0-fc00-0001 源IP地址:1::2:B 目的IP地址:1::1:A 目标地址:1::2:B 选项:00e0-fc00-0002 (目的节点MAC地址) 标志S位:置1
3)
8
邻居不可达检测概述