国家 / 地区

10-安全配置指导

25-ND攻击防御配置

本章节下载  (131.44 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Configure/Operation_Manual/H3C_SR6600_CG-R3103(V1.18)/10/201307/791217_30005_0.htm

25-ND攻击防御配置


1 ND攻击防御

1.1  ND攻击防御简介

IPv6 ND(Neighbor Discovery,邻居发现)协议使用五种类型的ICMPv6消息,实现下面五种功能:地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现及地址自动配置、重定向。

ND协议使用的五种ICMPv6消息如下:

·              邻居请求消息NS(Neighbor Solicitation)

·              邻居通告消息NA(Neighbor Advertisement)

·              路由器请求消息RS(Router Solicitation)

·              路由器通告消息RARouter Advertisement

·              重定向消息RRRedirect

说明

关于ND协议五种功能的详细介绍,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

 

ND协议功能强大,但是却没有任何安全机制,容易被攻击发起者利用。

图1-1所示,当Device作为二层接入设备时,攻击者Host B可以仿冒其他用户、仿冒网关发送伪造的ND报文,对网络进行攻击:

·              如果攻击者仿冒其他用户的IP发送NS/NA/RS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的PC上。

·              如果攻击者仿冒网关发送RA报文,会导致其它用户的IPv6配置参数错误和ND表项被改写。

图1-1 ND攻击示意图

 

伪造的ND报文具有如下特点:

·              伪造的ND报文中源MAC地址和源链路层选项地址中的MAC地址不一致。

·              伪造的ND报文中源IPv6地址和源MAC地址的映射关系不是合法用户真实的映射关系。

根据上述攻击报文的特点,设备开发了对ND攻击进行检测的功能,可以有效地防范ND攻击带来的危害。

1.2  配置ND协议报文源MAC地址一致性检查功能

ND协议报文源MAC地址一致性检查功能主要应用于网关设备上,防御ND协议报文中的源MAC地址和源链路层选项地址中的MAC地址不同的ND攻击。

配置本特性后,网关设备会对接收的ND协议报文进行检查。如果ND协议报文中的源MAC地址和源链路层选项地址中的MAC地址不同,则认为是攻击报文,将其丢弃。

表1-1 配置ND协议报文源MAC地址一致性检查功能

操作

命令

说明

进入系统视图

system-view

-

使能ND协议报文源MAC地址一致性检查功能

ipv6 nd mac-check enable

可选

缺省情况下,ND协议报文源MAC地址一致性检查功能处于关闭状态

 

注意

对于VRRP组网,目前NA回复报文的源MAC地址和源链路层选项地址中的MAC地址都是不一致的,因此对于VRRP组网不要使能ND协议报文源MAC地址一致性检查功能。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!