认路由器，从而接受该重定向。
３ 攻击工具的实现与效果 ３．１ 实验环境 ３．１．１ 硬件环境
实验中采用多台主机，均为 Ｐ４ ３．０ＧＨｚ，ｉｎｔｅｌ处理器， ５１２Ｍ 内存的 Ｗｉｎｄｏｗｓ ＸＰ主机，Ｃｉｓｃｏ交换机，路由器（使用 双网卡Ｌｉｎｕｘ主机）搭建。
实验网络拓扑结构如图１ 。
图 ２ 攻击工具整体架构图
（２）重复地址检测（ＤＡＤ）ＤｏＳ 链路内的恶意攻击节点可以监听本链路的 ＤＡＤ报文，提
取出每一个 ＤＡＤ报文中的待检测地址，并以此地址伪造一个 ＮＡ 进行回复。这样被攻击节点会认为此地址已被使用，从而 只能再生成一个新的地址，并进行 ＤＡＤ。攻击节点一直针对 ＤＡＤ 数据包进行回复，所以将导致被攻击节点始终无法获得 ＩＰ 地址，从而切断了被攻击节点与外界的联系。
为 Ｃ 的 Ｍ Ａ Ｃ 地址，从而使 Ａ 发送到 Ｂ 的数据都重定向到 Ｃ 。 ＩＥＴＦ ＲＦＣ ２４６０．１９９８．
［上接 ７５ 页］
法提供训练数据集（Ｔｒａｉｎｉｎｇ Ｄａｔａ Ｓｅｔ）作为算法的输入，分类 ｉ个属性｛０ ｓ ｉ ｓ Ｌｅｎｇｔｈ（Ｘ ）－１｝， Ｙ （ｉ＋ｋ）表示Ｙ连接记录的第十个
器，Ｂ 为客户端，Ｃ 为攻击者。它们的地址情况如下：
的物理接入控制不能得到较好保证的场合，并不会在所有的网
服务器Ａ：ＩＰ（３ｆｆａ：ｂ００：ｆｆｆｆ：：１）、ＭＡＣ（００－１１－２５－６ｆ－０ｆ－３ｅ） 络环境下使用。因此，本文中所提到的针对 ＮＤＰ的攻击方法将 客户端Ｂ：ＩＰ（３ｆｆａ：ｂ００：ｆｆｆｆ：：２）、ＭＡＣ（００－１１－２５－６ｆ－０ｆ－ｃ１） 在一段很长的时期内存在，成为网络安全隐患，那么，如何针
３ 入侵检测引擎
采用定期训练分类器，不断更新规则库，提高了检测的 精度，改善了网络入侵检测的有效性，实践验证了系统的有 效性和精确度，但还有一定的不足，如规则库的建立所依赖
在每条连接记录中，参加模式比较的属性由源主机ＩＰ、源 的模式 Ｒ 只考虑了连接记录包头的基本信息，并未考虑数据
攻击者Ｃ：ＩＰ（３ｆｆａ：ｂ００：ｆｆｆｆ：：３）、ＭＡＣ（００－１３－ｄ４－ｄ９－ｂｃ－ｂｄ） 对 ＮＤ 下的攻击进行有效的防护将成为下一步的研究方向。
攻击者 Ｃ 向服务器 Ａ 发送 ＮＡ ，使服务器 Ａ 的邻居缓存 参考文献
表发生改变，改变正常用户 Ｂ 在 Ａ 邻居缓存表中的 ＭＡＣ 地址 ［１］Ｄｅｅｒｉｎｇ Ｓ，Ｈｉｎｄｅｎ Ｒ．Ｉｎｔｅｒｎｅｔ ｐｒｏｔｏｃｏｌ ｖｅｒｓｉｏｎ ６ ｓｐｅｃｉｆｉｃａｔｉｏｎ．
器的输入是经过预处理后的网络连接记录和构造的候选特征 属性｛Ｏｓｉ＋’’＝ Ｌｅｎｇｔｈ（Ｙ）－１｝，定义函数Ｅｑｕ（Ｉ，ｋ）为Ｘ（ｉ）和Ｙ（ｉ＋ｋ）
的组合体，输出为用户行为规则库。其过程中存在并使用着正 的比较结果。
常行为规则或异常行为规则，因此，分类引擎的功能有：（１）分 ４ 结语
析被检测系统的原始历史数据，形成规则库。（２）进一步降低误 报率。（３）更新规则库，识别新的攻击类型。
ＳＡ。目前只能通过管理员在节点上手动设置密钥，建立安全关 联 ＳＡ，当网络中存在大量节点时，节点间需要建立很多安全关 联，这给管理员带来了很大的负担。目前，ＩＥＴＦ 的 Ｓｅｃｕｒｉｎｇ Ｎｅｉｇｈｂｏｒ Ｄｉｓｃｏｖｅｒｙ工作组正在研究此问题的解决方法，即Ｓｅｃｕｒｅ Ｎｅｉｇｈｂｏｒ Ｄｉｓｃｏｖｅｒｙ，但同样由于认证机制过于复杂，常用于网络
２．２ ＩＰｖ６下特有的ＤｏＳ
（１）配置虚假的地址前缀和网络参数 链路内的主机根据 ＲＡ 报文中的参数进行网络设置，当
恶意攻击节点伪造 ＲＡ 中的各项参数，则被攻击节点的网络 配置将受到不同程度的影响。攻击主机发送包含错误子网前 缀的 ＲＡ，被攻击主机使用错误的前缀信息配置 ＩＰ地址，导致 该主机无法在子网中正常运行。攻击主机发送包含恶意参数 的虚假 ＲＡ，假扮路由器，来破坏通信，如声明较小值的 ＭＴＵ、 ｈｏｐ ｌｉｍｉｔ、ｒｏｕｔｅｒ ｌｉｆｅｔｉｍｅ，被攻击主机按此参数配置后发出的 数据包将无法到达目的节点。
一个ＩＰ地址来运行ＩＫＥ，而ＩＫＥ用来建立ＩＰＳｅｃ中的安全关联ＳＡ，
但在进行地址配置获得一个 ＩＰ 地址时需要已建立的安全关联
图 ４ 未配置全球地址的 图 ５ 配置虚假地址前缀的 网络配置情况 网络配置情况
（３）Ａ Ｒ Ｐ 欺骗攻击模块 假设有三台局域网内的机器 Ａ、Ｂ、Ｃ，其中，Ａ 为服务
其生命期值为０，被欺骗的主机就会认为该路由器不再提供服 务，进而选择假的主机作为默认路由器，攻击者就有机会截 取主机的通信或者实施中间人攻击。
（２ ）Ａ Ｒ Ｐ 欺骗 由于邻居缓存默认总是用新的信息来覆盖旧的，攻击者
只需发送包含不同链路层地址的 ＮＳ 或 ＮＡ，就能将本应发送 到被攻击主机的报文转发到其他链路层地址，从而使被攻击
隐患。所以，在此基础上设计和实现了一个基于 ＩＰｖ６下的针 对 ＮＤＰ 的攻击工具。攻击的原理是构造虚假的 ＮＡ 报文、ＲＡ 报文和重定向报文，诱骗被攻击主机进行错误的配置，从而 实现攻击意图。
整个攻击工具由如下功能模块构成：洪水式 ＤｏＳ攻击模 块、虚假地址前缀和参数攻击模块、邻居不可达检测攻击模 块、重复地址检测攻击模块、ＡＲＰ 欺骗攻击模块、恶意最后 一跳路由攻击模块和虚假重定向报文攻击模块。系统的整体 架构图如图 ２。
图 ６ 被攻击主机邻居缓存表信息更改
４ 结论
本文分析并实现了基于ＩＰｖ６下ＮＤＰ的攻击工具，由此引入
图 ３ ＳＹＮ泛洪 ＤｏＳ 攻击效果
的问题是如何避免基于 ＮＤ 安全缺陷的攻击，比较有效的办法
是对 ＮＤ 报文进行认证，甄别合法报文，保证其可信性和完整
性，但利用ＩＰＳｅｃ时仍然受到密钥管理的困扰，即一个节点需要
包捕获开发包 ＷｉｎＰｃａｐ，利用此开发包来实现攻击数据包的 构成与发送。
（２） 虚假参数攻击模块 被攻击主机原来没有全球地址，只有临时链路本地地址
３．２ 系统实现
（ｆｅ８０：：２１１：２５ｆｆ：ｆｅ６ｆ：ｆ３ｅ），使用ＮＤＰ配置一个全球地址，但是
２００８．１０ 网络安全技术与应用 31
应 用 安 全 由于地址前缀 １９８５：５：１４：０／６４是一个虚假地址前缀，配置 上的全球地址也不能工作。图 ４ 和图 ５ 为效果显示情况。
２．１ 洪水式拒绝服务攻击（ＤｏＳ）
（１）ＳＹＮ 泛洪攻击 一种利用 ＴＣＰ 协议缺陷，发送大量伪造源地址的 ＳＹＮ连
接请求，使被攻击方资源耗尽，ＣＰＵ 满负荷或内存不足，从
而无法正常工作的攻击方式。 （２）Ｌａｎｄ 洪水攻击 利用一个特别打造的 ＳＹＮ包，它的源地址和目标地址都
被设置成某一个服务器地址，导致接受服务器向它自己的地 址发送 ＳＹＮ－ＡＣＫ 消息，结果这个地址又发回 ＡＣＫ 消息并创 建一个空连接，被攻击的服务器每接收一个这样的连接都将 保留，直到超时。
２ ＩＰｖ６ 下的基于 ＮＤＰ 协议的攻击
基于 ＮＤＰ 协议的攻击是 ＩＰｖ６ 的一个十分重要的安全威 胁。ＩＰｖ６ 节点通过 ＮＤＰ 来确定链路上邻居的链路层地址，寻 找进行包转发的邻居路由器。另外，节点使用邻居发现机制 可以确定邻居的可达性，并检测改变的链路层地址。ＮＤＰ 是在 基于完全可信网络的前提下提出的，其安全威胁主要分为三种。
０ 引言
为了更好地了解 ＮＤＰ的安全性，模拟真实ＩＰｖ６网络下的 攻击形式，本文针对此协议开发了一个攻击工具，通过这个 攻击工具来全面了解 Ｎ Ｄ Ｐ 的缺陷所在，为将来开发安全的 ＮＤＰ奠定基础，同时还可以用来作为测试 ＩＰｖ６防火墙性能的 测试工具。
１ ＮＤＰ 安全威胁分析
ＮＤＰ 在设计时对其安全性进行了一定考虑，为确保收到 的邻节点发现报文来自本地链路上的节点，发送方将其发出 的所有ＮＤ报文中的ｈｏｐ ｌｉｍｉｔ字段的初始值均置为２５５，每经 过一个路由器值减 １，当接收方收到一个 ＮＤ 报文时，它会首 先检查ＩＰｖ６报头中的ｈｏｐ ｌｉｍｉｔ，如果此字段的值等于２５５，则 说明该报文来自本链路的合法节点，接受该报文，否则就说 明该报文来自本链路外，丢弃该报文。验证 ＮＤ 报文中的 ｈｏｐ ｌｉｍｉｔ的值是否等于２５５这一方法，只防止了由链路外的节点 发起的基于邻节点发现的网络攻击，并不能解决链路内恶意 节点的攻击问题。因此，链路内节点之间的安全性无法得到 有效保证。
图６为被攻击服务器Ａ上的邻居缓存表更改情况，其中，３ｆｆａ： ｂ００：ｆｆｆｆ：：２（客户端Ｂ）对应的ＭＡＣ地址００－１３－ｄ４－ｄ９－ｂｃ－ｂｄ是攻 击主机 Ｃ 上的 ＭＡＣ 地址，那么 Ａ 发送给 Ｂ 的信息都会被 Ｃ 窃 取；同理，攻击者 Ｃ 也可以窃取 Ｂ 发送给 Ａ 的信息，这样就 形成了中间人攻击。
３．１．２ 软件环境
（１） ＳＹＮ泛洪ＤｏＳ攻击模块 ＳＹＮ 泛洪攻击会导致 ＣＰＵ 使用率升高，内存严重不足，
鼠标跳跃，机器反应慢，导致机器无法正常工作，无法和别
攻Fra Baidu bibliotek工具主要在 Ｗｉｎｄｏｗｓ 平台下开发，开发工具使用 的机器进行正常通信。图 ３ 为效果显示的情况，ＣＰＵ 使用率
Ｖｉｓｕａｌ Ｓｔｕｄｉｏ ２００５，开发语言使用Ｃ语言，以及专业网络数据 为 １００％，内存占用 ４６０ＭＢ（本身 ５１２ＭＢ）。
30 网络安全技术与应用 ２００８．１０
应 用 安 全
续发送虚假 ＮＡ 来响应 ＮＵＤ 的 ＮＳ ，进而造成拒绝服务。
２．３ 重定向攻击
３．２．１ ＩＰｖ６攻击工具设计
从 ＮＤＰ的安全威胁分析可以看出，该协议存在一些安全
（１）恶意的最后一跳路由器 攻击者周期性地发送ＲＡ，假冒真的最后一跳路由器声明
３．２．２ ＩＰｖ６攻击过程
（１） 通过ＷｉｎＰｃａｐ库函数ｐｃａｐ＿ｆｉｎｄａｌｌｄｅｖｓ（）获取攻击主 机的网卡列表；
（２） 递归网卡列表，选择要发送数据包的网卡； （３）通过 ｐｃａｐ＿ｏｐｅｎ＿ｌｉｖｅ（）打开所选择的网卡适配器 ａｄａｐｔｅｒ，并且将网卡设定为混杂模式； （４） 攻击函数Ａｔｔａｃｋ（）由包填充函数Ｆｉｌｌ＿Ｐａｃｋｅｔ（）和数 据报发送函数ｐｃａｐ＿ｓｅｎｄｐａｃｋｅｔ（）构成； （５）填充函数 Ｆｉｌｌ＿Ｐａｃｋｅｔ（）主要填充数据链路层 Ｅｔｈｅｒｎｅｔ、网络层 ＩＰｖ６、以及上层协议，如 ＩＣＭＰｖ６协议、
应 用 安 全
基于ＩＰｖ６邻居发现协议的
攻击工具的设计与实现
吴京京 赖英旭 马乾 北京工业大学计算机学院 北京 １０００２２ 摘要：本文深入分析了 ＩＰｖ６ 中邻居发现协议（ＮＤＰ）的安全威胁，然后具体分析了针对邻居发现协议的主要攻击形式，并 在此基础上开发了攻击工具。这为将来开发安全的 ＮＤＰ奠定了一定基础，同时还为测试 ＩＰｖ６防火墙性能提供了测试工具。 关键词：ＩＰｖ６；邻居发现；攻击
主机的邻居缓存表产生错误，严重影响被攻击主机正常的网
络通信。但攻击时间受限，攻击者必须一直对虚假的链路层
地址做出响应以使攻击继续。
（３）虚假的重定向报文
利用重定向报文将发送到固定目的节点的报文转发到链
路上的另一个地址。攻击者使用最后一跳路由器作源地址发
送重定向报文给合法主机，主机检查报文源地址是自己的默
（３）邻居不可达检测（ＮＵＤ）失败 节点通常依赖上层信息来确定其他节点是否可达，但如
果上层通信的延迟足够长，节点就会激活 ＮＵＤ，发送 ＮＳ 到 目的节点，如果可达，目的节点会回应 ＮＡ。否则经过几次重 试失败后，该节点就会删除对应的邻居缓存记录。攻击者持
作者简介：吴京京（１９８３－），女，硕士，研究方向：ＩＰｖ６ 网络、信息安全。马乾（１９８５－），男， 硕士，研究方向：信息安全。
ＴＣＰ 协议。在计算 ＩＰｖ６ 上层校验和时，由于 ＩＰｖ６的伪头结 构与ＩＰｖ４的伪头结构不同，因此必须使用ＩＰｖ６新的伪头结构 来计算。
（６） 在对网络数据包填充完毕后，通过ｐｃａｐ＿ｓｅｎｄｐａｃｋｅｔ
（）函数将数据包发送出去。
３．２．３ 部分ＩＰｖ６攻击实现与效果
图 １ 链路内攻击网络拓扑结构