- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-ND攻擊防禦配置
本章節下載: 10-ND攻擊防禦配置 (127.07 KB)
IPv6 ND(IPv6 Neighbor Discovery,IPv6鄰居發現)協議使用五種類型的ICMPv6消息,實現下麵五種功能:地址解析、驗證鄰居是否可達、重複地址檢測、路由器發現/前綴發現及地址自動配置和重定向。
ND協議使用的五種ICMPv6消息如下:
· 鄰居請求消息NS(Neighbor Solicitation)
· 鄰居通告消息NA(Neighbor Advertisement)
· 路由器請求消息RS(Router Solicitation)
· 路由器通告消息RA(Router Advertisement)
· 重定向消息RR(Redirect)
關於ND協議五種功能的詳細介紹,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
ND協議功能強大,但是卻沒有任何安全機製,容易被攻擊者利用。如圖1-1所示,當Device作為接入設備時,攻擊者Host B可以仿冒其他用戶、仿冒網關發送偽造的ND報文,對網絡進行攻擊:
· 如果攻擊者仿冒其他用戶的IPv6地址發送NS/NA/RS報文,將會改寫網關或者其他用戶的ND表項,導致被仿冒用戶的報文錯誤的發送到攻擊者的終端上。
· 如果攻擊者仿冒網關發送RA報文,會導致其他用戶的IPv6配置參數錯誤和ND表項被改寫。
圖1-1 ND攻擊示意圖
偽造的ND報文具有如下特點:
· 偽造的ND報文中源MAC地址和源鏈路層選項地址中的MAC地址不一致。
· 偽造的ND報文中源IPv6地址和源MAC地址的映射關係不是合法用戶真實的映射關係。
根據上述攻擊報文的特點,設備開發了多種功能對ND攻擊進行檢測,可以有效地防範ND攻擊帶來的危害。
表1-1 ND攻擊防禦配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
防止仿冒用戶、仿冒網關攻擊 |
開啟ND協議報文源MAC地址一致性檢查功能 |
可選 建議在網關設備上開啟本功能 |
|
ND協議報文源MAC地址一致性檢查功能主要應用於網關設備上,防禦ND報文中的源MAC地址和以太網數據幀首部中的源MAC地址不同的ND攻擊。
開啟本特性後,網關設備會對接收的ND協議報文進行檢查。如果ND報文中的源MAC地址和以太網數據幀首部中的源MAC地址不一致,則認為是攻擊報文,將其丟棄;否則,繼續進行ND學習。
若開啟ND日誌信息功能,當用戶ND報文中的源MAC地址和以太網數據幀首部中的源MAC地址不同時,會有相關的日誌信息輸出。設備生成的ND日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。為了防止設備輸出過多的ND日誌信息,一般情況下建議不要開啟此功能。
表1-2 開啟ND協議報文源MAC地址一致性檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟ND協議報文源MAC地址一致性檢查功能 |
ipv6 nd mac-check enable |
缺省情況下,ND協議報文源MAC地址一致性檢查功能處於關閉狀態 |
|
(可選)開啟ND日誌信息功能 |
ipv6 nd check log enable |
缺省情況下,ND日誌信息功能處於關閉狀態 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
