適用於IPv6無線網路芳鄰探索攻擊的防禦系統

A Defensive System Against Neighbor Discovery Attacks in IPv6 Wireless Networks

在 IPv6 網路中，相同連結上的各個節點利用芳鄰探索（neighbor discovery, ND）協定來確定相鄰節點之間的關係（如確定對方是否存在、解析對方的連結層位址等）及進行基本的網路組態配置。在沒有確保連結上的節點都是可信任的情形下，此協定容易遭受惡意偽造封包的威脅，尤其在無線的網路環境下，此威脅更加難以防範。雖然IETF 提出了SEcure Neighbor Discovery（SEND）協定來保護芳鄰探索訊息的安全，但驗證過程需要花時間及系統資源，對於一般輕型的無線網路的裝置，造成了不小的負擔。 在本文中，我們提出一個避免IPv6 無線網路下芳鄰探索機制被攻擊且適用於輕型無線裝置的防禦系統。藉由IPv6 節點取得合法IP 位址時，會先經重複位址偵測（duplicate address detection, DAD）程序來確保位址唯一的特性，本系統透過分析DAD 訊息封包及追蹤使用者連線狀態的方式，來阻檔偽造芳鄰探索封包的攻擊。我們利用HostAP 軟體作為無線基地台，並修改HostAP軟體核心，將防禦功能植入。實驗結果顯示我們所提出系統的效能，足讓一般輕型的無線裝置皆適用於本防禦系統。