攻击者伪造的报文可能是数据报文也可能是控制报文,最主要的是地址分配、解析的控制报文。在IPv6网络中,与地址分配、解析相关的控制报文主要是ND(Neighbor Discovery)协议报文、DHCPv6协议。
针对ND协议的攻击主要有如下几类,图1为几种攻击的示意。
类型一:欺骗攻击。通过发送伪造NA/NS/RS报文,修改终端或网关上特定用户的MAC地址。
类型二:DoS攻击。通过发送大量伪造的NS/RS报文,攻击网关,使得网关的ND表项数量溢出。
类型三:DAD攻击。通过伪造的NA报文,阻断终端正常的DAD过程。
类型四:RA攻击。通过发送伪造的RA报文,欺骗网络中的终端,进行错误的网络参数配置。
针对DHCPv6协议的攻击主要有伪造DHCPv6服务器攻击。如果网络中存在私自架设的伪DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,无法正常通信。
在Comware平台上所设计的SAVI(Source Address Validation,源地址有效性验证)技术,通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。
