一种基于IPv6邻居发现协议的中间人攻击方法

一种基于IPv6邻居发现的中间人攻击方法 一种基于IPv6邻居发现协议的中间人攻击 方法 第18卷第5期 2010年1O月 电脑与信息技术 ComputerandInformationTechnology Vo1.18No.5 Oct.2010 文章编号:1005—1228(2010)05-0017—05 一 种基于IPv6邻居发现协议的中间人攻击方法 凌鹏程,张晓凌 (北京工业大学计算机学院,北京100124) 摘要:通过分析邻居发现协议的工作原理指出邻居发现协议的安全漏洞是地址自动配置无安全认证机制,针对此漏洞 提出攻击方法并实现了一种NDP—MITM工具. 关键词:IPv6;邻居发现:中间人攻击 中图分类号:TP393.08文献标识码:A AMan-in-the-MiddleAttackMethodBasedonIPv6NeighborDiscoveryProtocol LINGPeng—cheng,ZHANGXiao—ling (CollegeofComputerScience,BeijingUniversityofTechnology.Beijing100124,China) Abstract:ByanMyzmgtheworkingprincipleofNeighborDiscoveryProtocol,pointoutthat NeighborDiscovery protocolistoaddresssecurityvulnerabilitiesautomaticallyconfiguredwithoutsecurityauth enticationmechanismproposed forthisvulnerabilityattackmethodsandimplementsanNDP—MITMtoo1. Keywords:IPv6;NDP;MITMAttack. 目前全球因特网所采用的协议族是TCP仃P协议 族.IP(互联网协议)是TCP/IP协议族的核心协议.作 为互联网技术的基石的协议,IPv4(互联网协议第四 版)已经有30年的历史.尽管在互联网的发展历程中, IPv4做出了不可磨灭的贡献,取得过辉煌的业绩,但随 着互联网规模的膨胀和新技术的应用,IPv4已经不能 满足网络市场对于地址空间,端到端的IP连接,服务 质量,网络安全和移动性能的要求.为解决上述问题, IPv6(互联网协议第六版)[1-2]应运而生.IPv6具有更大 的地址空间,更小的路由表,增加了增强的组播(Mul— ticast)支持以及对流的支持(FlowContro1),加入了对自 动配置(AutoConfiguration)的支持使得网络(尤其是局 域网)的管理更加方便和快捷.更重要的是,IPv6具有 更高的安全性. IPv6网络使用NDP(邻居发现协议)【3】检测和锁定 路由器及其他的IPv6节点,解决了同一链路上节点间 的交互问题.NDP取代了IPv4中的ARP,ICMPRouter Discovery和ICMPRedirect的功能,并具备获取链路 MTU,HopLimit等网络参数的机制.NDP的工作过程, 就是用一系列的报文和步骤来确定邻节点之间的关 系,进行网络配置的过程,使网络配置更加自动化,减 轻了管理员的负担.但由于链路可信是NDP正常运行 的默认前提条件,即假定所有节点都只按照协议标准 发送正常的NDP数据包,这就给邻居发现协议埋下了 安全隐患.IPv4中的ARP协议正是由于其默认子网内 节点可信而导致其易受Spoofing,DoS等攻击,而且在 IPv6中节点除需要利用NDP进行地址解析之外,还需 利用其进行网络配置,如获取地址前缀,MTU等网络 参数和进行路由器发现等,所以当IPv6被部署在一个 非可信网络中,或当可信网络中某节点被入侵而成为 恶意节点时,网络中的节点就可能遭受恶意节点利用 NDP的安全缺陷进行中间人攻击. 1中间人攻击(MITMAttack) 中间人攻击(Man—in—the—MiddleAttack,简称 "MITM攻击")是一种"间接"的人侵攻击,这种攻击模 式是通过各种技术手段将受入侵者控制的一台计算机 虚拟放置在网络连接中的两台通信计算机之间,这台 ".然后入侵者把这台计算机模 计算机就称为"中间人 拟一台或两台原始计算机,使"中问人"能够与原始计 算机建立活动连接并允许其读取或篡改传递的信息, 然而两个原始计算机用户却认为他们是在互相通信, 收稿日期:2010-04-06 作者简介:凌鹏程(1982一),男,山东人,硕士研究生,主要研究方向:IPv6网络安全; 张晓凌(1955一),女,山东人,硕士生导师.副教授,主要研究方向: 智能信息系统. 电脑与信息技术2010年1O月 因而这种攻击方式并不很容易被发现.所以中间人攻 击很早就成为了黑客常用的一种古老的攻击手段,并 且一直到今天还具有极大的扩展空间. 如图1所示,当主机A,和机B通信时,都由主机 c来为其"转发",而A,B之间并没有真正意义上的直 接通信,他们之间的信息传递由c作为中介来完成, 但是A,B却不会意识到,而以为它们之间是在直接通 信.通过这种方式,C不仅可以截获A,B之间通信的 全部内容,而且还可以篡改信息,甚至将恶意信息传递 给A,B以达到自己的目的. 主机c 图1中间人攻击示意图 在IPv4网络中实施中间人攻击通常采用ARP欺 骗或DNS欺骗方式.而在IPv6网络中,可以利用NDP 的安全缺陷实现中间人攻击. 2邻居发现协议(NDP) 邻居发现协议(NeighobrDiscoveryProtocols,NDP) 实现了原IPv4中的地址解析协议(ARP),控制报文协 议(ICMP)中的路由发现部分,并包含重定向功能和邻 居不可达检测机制.具体来说,NDP实现了路由器和 前缀发现,地址解析,下一跳地址确定,重定向,邻居不 可达检测,重复地址检测等功能,可选实现链路层地址 变化,输入负载均衡,泛播地址和代理通告等功能. 2.1NDP的工作原理 NDP采用5种类型的IPv6控制信息报文(ICM— Pv6)来实现其功能嘲. (1)路由器请求(RouterSolicitation,以下简称RS): 当接口工作时,由该接口所在节点向路由器发送,要求 路由器返回路由器通告消息. (2)路由器通告(RouterAdvertisement,以下简称 RA):路由器周期性地向全网段发送,或者在接到路由 器请求消息后由路由器向发出该请求的节点发送,用 以通告该路由器的存在以及配置的链路和网络参数. 路由器通告消息包含连接确定,地址配置的前缀和跳 数限制值等. (3)邻居请求(Neighh0rs0licitati0n,以下简称Ns):节 点发送邻居请求消息来请求邻居的链路层地址,以验 证它先前所获得并保存在缓存中的邻居链路层地址的 可达性,或者验证它自己的地址在本地链路上是否是 惟一的. (4)邻居通告(NeighborAdvertisement,以下简称 NA):邻居请求消息的响应.节点也可以在未接到邻居 请求时发送该消息,用来指示链路层地址的变化. (5)重定向(Redirect):由路由器向节点发送.在对 特定的目的地址采用了并非最佳的路由时,用以通知 节点到达目的地的最佳下一跳. 2.2主机的数据结构 IPv6的一大特点是主机能够自动配置,为此,主机 必须存储有关目的节点的信息.这些信息存储的存储 器叫做缓存.主机需要为每一个接口维护以下信息. (1)邻居缓存(NeighborCache):一组有关单个邻 居的信息.该缓存是连接单播地址的关键,它包括的信 息有:邻居链路层地址,指示邻居是路由器还是主机的 标志,指向任何排队等待完成地址解析数据包的指针 等.除此之外,还包括供邻居不达检测算法使用的信 息,如可达状态,探测无应答的次数以及下一次邻居不 达检测发生的时间. (2)目的地缓存(DestinationCache):一组有关最 近收到数据流的目的地节点的信息.包括"在连接 On—link)"和"非连接(0link)"目的地,并提供一定程 度的间接寻址.该缓存能把目的地IPv6地址映射成下 一 跳邻居的IPv6地址,通过重定向消息进行信息更 新. (3)前缀列表(Prefixlist):一组"在连接on— link)"地址的前缀组成的列表.前缀列表表项产生于本 机接收到的路由器通告中的信息.每一个表项都有一 个相关的失效计时器值(由通告信息确定),用于在前缀 失效时废弃这些前缀.除非在后续通告中收到了一个 新的(有限)值,否则特殊的"无限"计时器值规定前缀永 久有效. (4)缺省路由器列表(DefaultRouterlist):本机发 送数据包时的目的路由器列表.该表的表项指向邻居 缓存中的相应的表项.该表只记录那些已知可达的路 由器,而不记录可达性还不确定的路由器.每一个表项 还有一个相关的失效计时器值,该数值来源于路由器 通告,它的作用是删除不再通告的表项. 3NDP的安全漏洞 IPv6采用无状态方式地址自动配置,不需要对节 点地址手工配置,极大的简化了用户的使用,并且不需 要专门的服务器,仅利用路由器即可实现地址的自动 分配. , 第18卷第5期凌鹏程等:一种基于IPv6邻居发现协议的中间人攻击方法 节点进行无状态地址自动配置的步骤如下.通过 获取网卡MAC地址并且根据EUI一64规则生成接口 ID,配合链路本地前缀FE80::/64构成链路本地地址, 并确定自动生成的链路本地地址在本地链路唯一.此 时节点通过无状态地址自动配置获得IPv6地址一共 有两种方式:路由器周期性的向组播地址FF02::1 (IPv6中取消了广播,并利用部分组播地址实现广播的 功能,此组播地址代表本地所有节点地址)发送路由通 告消息RA,IPv6节点收到后根据RA中的子网前缀自 动随机生成IPv6全局地址;IPv6节点也可以以该链路 本地地址为源地址,主动向路由器发送路由请求消息 RS,请求获得IPv6全局地址,其过程如图2所示: 国(1j终端主机发送Rs请求(路由器回复fL^数据包 路由器Ipv6节点 图2无状态方式地址自动配置过程 NDP在时对其安全性进行了一定考虑,规定 对所有收到的NDP数据包都必须验证其Hoplimit字 段是否为255,即确保节点收到的NDP报文来自本链 路内的节点,防止利用NDP从链路外发起对链路内节 点的攻击,但255的跳数限制并未解决链路内部存在 恶意节点时的安全问题. Neighbor 节点在通信过程中利用邻居缓存( Cache),目的地缓存(DestinationCache),前缀列表 (Prefixlist)和缺省路由器列表(Defaultrouterlist)上述 四种缓存存储了邻居节点的相关信息和网络的相关参 数.在与邻节点通信时,就是通过查询上述缓存来进行 具体的下一跳确定,地址解析,邻居不可达检测NUD 和地址重复检测DAD等.因此,缓存中的信息对节点 间的交互具有重要的作用,若缓存中信息的合法性,有 效性均无法得到保证,则节点间通信的安全性也就无 法得到保证. 由于缓存中信息的建立是通过一系列的NDP报 文交换来实现的,而节点却无法对来自本链路的NDP 报文进行有效性,合法性的确认,只能默认接收本报文 并据此对缓存进行更新,因此若链路中的恶意节点发 送特殊构造的NDP报文,伪造自己的身份,则能够利 用节点间的信任前提,对目标节点进行欺骗攻击,成为 "中间人",对目标节点的通信数据包进行截获和篡改. 4针对NDP漏洞的MITM攻击方法 有4种方法可以实现针对NDP的中间人攻击,分 别为: (1)伪造NS/NA报文; (2)伪造RS/RA报文; (3)伪造Redirect报文; (4)通过伪造RA报文中的前缀字段实施前缀欺骗. 本文着重讨论及实现第(2)种方法,即通过发送伪 造的RS及RA报文实现中间人攻击.文中的攻击方法 基于图3所示的交换式以太网,其中主机C为攻击 者,运行笔者编译的攻击软件,路由器A,主机B为被 攻击节点,主机B通过路由器A与外网进行IPv6通 信.实验目标为:使主机c成为路由器A与主机B的 "中间人",截获路由器A与主机B的通信内容. 厂————] 路由器A主机c(攻击者)主机B(被攻击者) 2001:1O:10::1/642001:10:10::214:1cif:fea2:7fc22o01:10:10::20d:88if:M7:4l93 图3测试环境网络拓扑 伪造RS/RA报文进行中间人攻击的方法为:首先 攻击节点对目标路由器发送伪造的RS报文,其中将 目标主机的IP地址映射为攻击节点的MAC地址,路 由器接到此伪造的RS报文后会误把攻击节点当做被 攻击节点,这样在路由器向被攻击节点发送数据时就 会发送到攻击节点处;其次,攻击节点向被攻击节点发 送RA报文,伪造目标路由器的IP和MAC地址的映 射,被攻击节点接到此RA报文后会将攻击节点当做 默认的路由器,在需要向路由器发送数据时,将会发送 到攻击节点处.由此中间人攻击完成. 在上述实验环境中,假设攻击主机c欲截取路由 器A和主机B之间的通信,则主机C需要分别向路由 ,对路由器A和 器A,主机B发送虚假的RS,RA报文 主机B中的缓存进行更新. 4.1通过发送RS报文攻击路由器 RS报文是主机发向路由器的报文,当路由器收 到一个Rs报文,若发现自己的邻居缓存(Neighbor Cache)中没有RS报文发送节点的IP地址记录或缓 存中该IP对应的MAC地址与RS报文中的SrcLink LayerAddr字段相异时,路由器将根据RS报文中的 IP和MAC地址更新缓存中的记录,并将状态设置为 statle. 因此,为截取路由器A发送到主机B的数据包, 攻击主机C可伪装为主机B,向路由器A发送虚假 RS,即以IPB为源地址,但链路层地址选项为MAC.当 ? 20?电脑与信息技术2010年10月 路由器A收到此RS包时,将更新NDP缓存中关于主 机B的记录,由于A中IPB映射到MAC,则从路由器 A发往主机B的数据将被交换机转发到攻击主机C. 4.2通过发送RA报文攻击目标主机 RA报文是路由器发向主机的报文,用于通告链路 前缀,MTU,地址配置方式和路由器生存期等信息,分 为UnsolicitedRA和SolicitedRA.由于链路内的所有 节点都将接收到UnsolicitedRA报文,因此攻击主机c 一 般可能采取向目标节点发送SolicitedRA报文的策 略. 如图4,为截取主机B发送到路由器A的数据包, 攻击主机C将冒充路由器A向主机B发送Solicited RA报文,即以IPA源地址,但链路层地址选项为 MAC,且override标志位置1.当目标主机B收到RA 时,若主机B的缓存中不存在路由器A的对应记录 时,主机B将创建一条新记录,IPA对应到MAC,状态 设为stale;若已存在路由器A的对应记录,则需通过 向主机B发送RA报文的方式删除主机B中缺省路由 器列表(DefaultRouterlist)中的对应记录,再更新主机 B中的IP—MAC映射关系. 路由器A主机c(攻击者)主机B(被攻击者) 2ool:10:10::1/642o01:10:10::214:left:fee2:7re220ol:1O:10::20d:88if:fe47:4t93 RS .-"本机IP为IPB,一 链路层地址为MAC". "本机IP为IP, —— 链路层地址为MAC— 本路由器生存时间为0" RA 一"本机为路由器,IP为IP^,—- 链路层地址为MACc," 图4RS/RA方法中间人攻击过程示意图 攻击主机C先冒充A发送一个IP,MAC地址都 正确的solicitedRA报文,但其中的RouterLifetime字 段被设置为0.这样,攻击主机C就冒充了路由器A, 向主机B通告路由器A不能再作为默认路由器,此 时主机B将从缺省路由器列表中删除路由器A的记 录.接着攻击主机c再以IPMACc向节点B发送 solicitedRA,则主机B将根据此RA在缺省路由器列 表创建A的记录,并同时更新邻居缓存(Neighbor Cache).至此,在主机B的缓存中,路由器A再次成 为默认路由器,但IPA对应到了MAC,自此在后续通 信中主机B发送到路由器A的数据包,将以MAC 为链路层的目的地址,交换机则根据MAC将其转发 到攻击主机c,这样c就截取了B发向A的通信数 据包. 由此看出,攻击主机C结合虚假RS,RA报文, 能够实现在路由器A和主机B之间的中问人攻击. 但是,这种RS/RA欺骗的效果取决于路由器A周期 性发送UnsolicitedRA的频率,若路由器A频繁地发 送UnsolicitedRA,则对节点B来说,其缓存中A的记 录将不断更新为正确的IP,MAC对应,从而导致路由 器A在被攻击主机B的缓存中常处于stale状态,使 B的通信中断.因此应在可允许的范围内尽量加大对 ,以使主机B 主机B发送上述两种RA报文的频率 在有数据欲发出时能及时把主机C当做路由器A来 发送. 5NDP—MITM工具的设计与实现 为完成上述攻击,攻击主机需发送伪造的 RS/RA报文,且该数据包可由用户根据需要自行 填充.如上文所述,根据网络环境不同,用户应可 调整发送频率.为使界面友好,笔者采用VC2005 编译环境,MFC框架.发送功能采用WinPcap 4.0.2库所提供的相应功能. 5.1NDP—MITM工具的数据结构设计 为生成完整的网络层数据包,需自定义ICMPv6 包头结构体,完整描述ICMPv6所有字段. 5.1.1RS报文数据结构 路由器请求消息(RS)结构如图5所示,其类型字 段值为133. 类型(8位)代码(8位)校验和(16位)保留(32位) 选项(变长) 图5路由器请求消息(RS)结构 依据RS报文结构,NDP—MITM工具的ICM— Pv6一RS数据结构定义如图6所示: 图6NDP—MITM工具中IPMPv6RS报文数据结构 5.1.2RA报文数据结构 第18卷第5期凌鹏程等:一种基于IPv6邻居发现协议的中间人攻击方法 路由器通告消息(RA)结构如图7所示,其类型字 段值为134.其中M为管理地址配置标志,0为其他状 态配置标志,为本地代理标志,为默认路由器优先级. 类型代码校验和当前跳 限制M0保留 (8位)(8位)(16位)(1位)(1位)(6位)( 1位) 路由器生存期可到达时间重发定时器 (16位)(32位)(32位) 选项(变长) 图7路由器通告消息(RA)结构 依据RA报文结构,NDP—MITM工具的ICM— Pv6一RA数据结构定义如图8所示: 图8NDP-MITM工具中lPMPv6RS报文数据结构 5.2NDP—MITM工具的算法设计 当用户使用NDP—MITM工具时,整个攻击实现算 法过程描述如下: (1)通过WinPeap库函数pcap_findalldevs获取本 机的适配器(adapter)~lJ表; (2)递归列出适配器列表,由用户选择要发送数据 包的适配器; (3)通过pcap_open—live0打开所选择的适配器,并且将适配器设定为混杂模式; (4)攻击函数Attack0由包填充函数Fill_Packet0 和数据报发送函数pcap_sendpacket0构成; (5)填充函数Fill—Paeket0主要填充数据链路层 Ethemet,网络层IPv6,以及上层协议,如ICMPv6协 议,TCP协议.在计算IPv6层校验和时,由于IPv6的 伪头结构与IPv4的伪头结构不同,因此必须使用IPv6 新的伪头结构来计算.在本工具软件中,Fill_Packet需 填充3种报文,分别是向目标路由器发送的RS报文, 向目标主机发送的两种RA报文. (6)在对网络数据包填充完毕后,通过pcap_send— packet0~数将数据包发送出去. NDP—MITM工具攻击部分算法流程图如图9所 不: fN户选择停止发送】 图9NDp-MITM工具主要算法流程图 5.3NDP—MITM工具的用户界面 软件的界面设计如图10所示.用户点击"获取设 备列表"后,在上方会列出当前系统中所有网络设备, 包括各类虚拟网络设备,供用户选择.用户填人RS, RA相关信息后点击"开始",即以用户设定的时间间隔 发送RS,RA数据包.攻击过程记录日志,并简单显示 在窗口右侧.(下转第24页) 电脑与信息技术2010年10月 整天线的方向角等措施. 2.3WiMAX与Wi—Fi的组网 IEEE802工作组提出的802.11和802.16分别应 用于无线局域网和无线城域网,Wi—Fi的性质与 WIMAX类似,是符合802.11系列标准产品的统称. Wi—Fi在短距离通信时传输速率较高,WiMAX和 wi—Fi混合组网方式是目前应用热点,通过WiMAX来 连接wi—Fi热点,可以提高wi—Fi的覆盖能,实现 E1/TI和IP双通道的无线传输力.根据市场需求和应 用模式来看,二者将在很长时间内互补共存. 2.4WIMAX与NGN的组网 下一代网络(NGN)是基于IP的开放式平台,可承 载话音,数据,多媒体等多种类型的业务,提供固定,宽 带,移动等多种形式的互连.IP多媒体子系统(IMS)是 移动网络向全IP发展的体现,是NGN的核心组成部 分,特点是接入网络间的独立性,支持多种计费方式 等.通过IMS功能实体来实现WiMAX网络和NGN的 互连,向用户提供丰富的多媒体宽带业务,满足QoS 所需指标. 3结束语 WiMAX技术是在通信网络宽带化,移动化,IP化 的趋势下成长发展的,从组网角度看WiMAX网络的 发展,是分阶段完成的,商业化的最初阶段WiMAX与 Wi'Fi的关系是共存并相互配合,在解决一些组网关 键技术后,WiMAX会选择与现有的宽带城域网或3G 网络混合组网,这样能充分利用现有网络的核心网, WiMAX技术的最终目标是与NGN充分融合.随着 WiMAX组网所需技术的发展和完善,WiMAX网络凭 借其技术优势,必将在未来的网络互联发挥重要作用. 参考文献: 【1]彭木根,张涛,王文博.WiMAX组网方案研究[J】.电信科学,2005 (1O):22—27. [2】郎为民,孙月光,孙少兰.WiMAX网络频谱规划研究[J】.电信快报, 2oo9(2):6-9. 【3]严学强,雷正雄.WiMAX构建端到端的网络架构的解决方案?.电 信技术,2007(11):25—27. [4】刘波,安娜,黄旭林.WiMAX技术与应用详解【MB京:人民邮电出 版社.2007. 【5】原玲_3G与WiMAX联合组网研究【JJ.计算机工程与应用,2007,43 (3):153—156. (上接第21页) 6总结 本文通过分析NDP的工作原理找出了NDP的安 全漏洞,并实现了针对此漏洞的NDP—MITM工具.该 工具功能灵活,用户可根据需要任意调整所需参数.经 过实际测试,可以达到预期目标. 但根据实施和测试结果,该工具软件仍有需要改 进的方面.如使用该软件时,需将适配器设为混杂模 式,易被侦测软件怀疑;该工具软件攻击方式需频繁发 送虚假RS/RA报文,若发送间隔设置过大则被攻击主 机有网络连接停滞现象,易被用户察觉.针对这些方面 的研究和改进还将持续进行. 参考文献: 【1]RyutovTlntegtatedAecessControlandlntrusionDetectionforWebServers【q Pro~ofthe23rdIntemationalConferenceonDistributedComputingSystems, 20H03一O5. 【2]DeeringS,HindenR.RFC2460一IntemetProtocolVemion6(IPv6) Specification[S/OL].Category:StandardsTrack,1998. [3】林磉锵,荆继武,李智.一种www服务器的安全【J】.计算机 应用.2003.23(10):100—102. [4】JoyoM,Quisquater.Ontheimportanceofsecuringyourbins:the garbagemaninthemiddleattackfA].4thACMCoffComputerComm Security.1997:135—141. 【5】李艳玲,朱爽.1Pv6地址路由机制研究综述.计算机工程与应用 fJ1'2004,40(34):136—140.