IPv6網絡入侵檢測關鍵技術研究——鄰居發(fā)現協議安全機制及分片技術.pdf

1、IPv6協議本身包含了IPSec（IP安全性），隨著IPv6網絡部署進程的加快，IPv6協議自身的安全缺陷也逐漸暴漏出來，IPv6網絡安全面臨的問題也越加凸顯，一些針對IPv6協議的網絡攻擊也逐漸成為人們關注的焦點，IPv6網絡安全問題研究越來越引起人們的重視。
　　本研究以開源Snort平臺為基礎，根據IPv6協議的特征，采用IPv6協議分析技術，針對當前開源入侵檢測系統Snort中無法檢測IPv6網絡中鄰居發(fā)現協議以及分片的攻

2、擊行為，設計了改進后能對IPv6中鄰居發(fā)現協議及分片數據包攻擊進行檢測的入侵檢測系統HDU_IPv6_IDS_v2，并給出了HDU_IPv6_IDS_v2入侵檢測系統中關鍵模塊的具體實現。
　　本論文的主要研究內容及開展的工作主要包括以下幾個方面：
　　1、著重研究了鄰居發(fā)現協議本身的安全漏洞以及由此可能引發(fā)的攻擊行為，詳細分析和討論了鄰居發(fā)現協議中的參數欺騙問題、鄰居請求和鄰居通告欺騙攻擊、路由通告和多播欺騙攻擊以及路由重

3、定向問題。針對這些類型的攻擊，提出了相應的防御措施，并基于Snort實現了相對應規(guī)則的編寫及攻擊防御措施的設計。
　　2、深入研究了IPv6數據包的分片機制，對利用IPv6分段數據包對網絡進行攻擊的行為進行了分析。針對其中IPv6過小數據包分段、重疊分段等問題提出了相應的應對措施，通過設計支持IPv6分段擴展首部的解析模塊，對利用IPv6分段數據包的攻擊行為進行及時的檢測和報警。
　　3、設計編寫了針對IPv6數據包進行檢測

4、的預處理插件。在Snort中實現了IPv6規(guī)則選項擴展字段以及鄰居發(fā)現安全問題的檢測功能，該插件能夠實現對IPv6網絡中鄰居發(fā)現協議攻擊行為進行有效的檢測。
　　4、使用QT語言設計實現針對預處理插件的服務配置管理軟件，目標是對預處理插件（包括分片預處理插件及IPv6預處理插件）的服務管理配置實現界面化的配置。通過該軟件可以將預處理插件的啟動狀況、規(guī)則文件等的配置情況直觀清晰地反映出來。
　　IPv6 IDS正處在不斷的完善

5、當中，開源軟件方面對IPv6攻擊檢測的支持非常有限。本文以開源IDS Snort為基礎，展開針對鄰居發(fā)現協議的相關攻擊的原理、利用IPv6分片數據包進行的網絡攻擊行為的分析和研究，給出解決問題的措施和方法，形成了一個功能基本完善的HDU_IPv6_IDS_v2。
　　本文的研究結果和設計實現的HDU_IPv6_IDS_v2可以有效應用于現階段的IPv4/IPv6過渡網絡環(huán)境中，也可以用于純IPv6網絡環(huán)境中，對今后IPv6網絡環(huán)境