賈茹 胡曦明 李鵬 馬苗

摘要：本文聚焦我國推進互聯(lián)網(wǎng)IPv6規(guī)模部署必然催生IPv4與IPv6共存互通大規(guī)模存在的發(fā)展走向，針對教育網(wǎng)基礎(chǔ)設(shè)施IPv6升級改造重點任務(wù)實施路徑，面向“新工科”實驗教學(xué)改革提出了基于“ENSP模擬器+VMware虛擬機”的ISATAP隧道安全實驗教學(xué)設(shè)計。在此基礎(chǔ)上，作者通過ISATAP隧道邊緣報文偽造攻擊實驗和ISATAP隧道穿越地址欺騙攻擊實驗的環(huán)境搭建、攻擊操作與配置以及數(shù)據(jù)測量與可視化分析，詳細闡述了IPv6網(wǎng)絡(luò)ISATAP隧道安全實驗教學(xué)方法與具體過程，為“新工科”建設(shè)對接IPv6產(chǎn)業(yè)發(fā)展促進產(chǎn)教融合提供了切實可行的實踐途徑。

關(guān)鍵詞：新工科;IPv6;ISATAP;網(wǎng)絡(luò)安全;實驗教學(xué)

中圖分類號：G434? 文獻標識碼：A? 論文編號： 1674-2117（2020）22-0000-07

● 引言

隨著我國創(chuàng)新驅(qū)動經(jīng)濟社會高質(zhì)量發(fā)展戰(zhàn)略的深入推進，物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的產(chǎn)業(yè)化轉(zhuǎn)化與商用進程不斷提速，由此催生的爆發(fā)式網(wǎng)絡(luò)地址需求和網(wǎng)絡(luò)安全等服務(wù)質(zhì)量保障升級對現(xiàn)有互聯(lián)網(wǎng)IPv4協(xié)議體系提出了新的挑戰(zhàn)。為了突破IPv4體系固有的地址制約和技術(shù)壁壘，搶抓全球網(wǎng)絡(luò)信息技術(shù)加速創(chuàng)新升級的歷史機遇，2017年11月，中共中央辦公廳和國務(wù)院辦公廳聯(lián)合印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，明確提出到2025年“建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)”“形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系”。[1]隨后教育部辦公廳下發(fā)關(guān)于貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》的通知[2]，鼓勵高校開設(shè)IPv6相關(guān)理論和實踐課程，積極開展“新工科”建設(shè)，對接IPv6產(chǎn)業(yè)發(fā)展及企業(yè)需求，推進產(chǎn)學(xué)合作協(xié)同育人。

按照行動計劃，我國IPv6部署遵循典型應(yīng)用先行、移動固定并舉、增量帶動存量的漸近式發(fā)展路徑，在此過程中，原有的IPv4網(wǎng)絡(luò)與新升級的IPv6網(wǎng)絡(luò)共存互通大規(guī)模存在將是今后一段時期的必然常態(tài)，由于教育系統(tǒng)的非營利性定位使得其網(wǎng)絡(luò)系統(tǒng)從IPv4向IPv6演進升級的過程將持續(xù)更長時間，這就要求課程教學(xué)改革在抓緊開設(shè)IPv6新課程的同時還需要兼顧IPv4與IPv6互聯(lián)互通專門技術(shù)領(lǐng)域[3]。按照教育部制定的教育網(wǎng)基礎(chǔ)設(shè)施IPv6升級改造重點任務(wù)實施路徑——“新建網(wǎng)絡(luò)應(yīng)支持IPv4和IPv6雙棧，有條件的高等學(xué)校實現(xiàn)IPv6訪問優(yōu)先接入”，站點內(nèi)部自動隧道ISATAP（Intra-site automatic tunnel addressing protocol）是實施這一任務(wù)的主流技術(shù)[4]，因此本文聚焦“新工科”建設(shè)[5]，針對ISATAP隧道安全性實驗教學(xué)改革開展研究，為進一步促進“新工科”緊密結(jié)合我國下一代互聯(lián)網(wǎng)發(fā)展實現(xiàn)產(chǎn)教融合提供了切實可行的實踐途徑。

● ISATAP隧道工作原理與安全性分析

作為IPv4與IPv6互通的主流技術(shù)[6]，ISATAP是一種同時采用了雙協(xié)議棧技術(shù)和隧道技術(shù)的IPv6過渡機制，用于連接IPv4網(wǎng)絡(luò)上的IPv6節(jié)點或IPv4雙棧節(jié)點。ISATAP技術(shù)實際上是把IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包內(nèi)發(fā)給隧道路由器，再由隧道路由器解封裝后發(fā)給IPv6網(wǎng)絡(luò)中的主機。ISATAP技術(shù)并不要求隧道端節(jié)點必須具有全球唯一的IPv4地址，因此有效地避免了IPv4地址不足的問題，同時還可用于內(nèi)部私有網(wǎng)中各雙棧主機之間的IPv6通信。[7]

ISATAP隧道在實現(xiàn)IPv4與IPv6互通的地址獲取階段和數(shù)據(jù)通信階段面臨多種安全威脅[8]，具體分析如圖1所示。

1.地址獲取階段面臨偽造報文安全威脅

通信前雙棧主機首先需要獲取ISATAP地址，具體交互過程如下：

①雙棧主機在通信之前，先向ISATAP隧道路由器發(fā)送路由請求RS報文;

②收到由ISATAP隧道路由器發(fā)送的帶有64位IPv6地址前綴的RA報文;

③雙棧主機將IPv6地址前綴、ISATAP固定的32位的接口標識和雙棧主機的IPv4地址一起構(gòu)造得到所需的ISATAP地址。

在獲取ISATAP地址的過程中，存在隧道邊緣偽造報文安全威脅。攻擊者偽裝成隧道路由器[9]，在雙棧主機獲取ISATAP地址時，向雙棧主機發(fā)送偽造的RA報文[10]，導(dǎo)致雙棧主機配置不正確的ISATAP地址，因此不能正常通信。

2.數(shù)據(jù)通信階段面臨地址欺騙安全威脅

雙棧主機穿越隧道路由器與IPv6主機通信的過程交互過程如下：

①雙棧主機通過ISATAP隧道向IPv6主機發(fā)出IPv6-in-IPv4報文;

②報文到達隧道路由器后，隧道路由器拆除IPv4頭部，將IPv6報文轉(zhuǎn)發(fā)給IPv6主機;

③IPv6主機向雙棧主機返回IPv6報文;

④IPv6主機返回的IPv6報文發(fā)送到IPv4網(wǎng)絡(luò)入口的隧道路由器時，隧道路由器接收IPv6報文，然后根據(jù)IPv4地址將IPv6報文封裝IPv4報文頭部生成IPv6-in-IPv4報文，發(fā)送給雙棧主機。

在報文穿越隧道的過程中，存在著地址欺騙安全威脅。IPv4網(wǎng)絡(luò)中的攻擊者可以借助隧道路由器的轉(zhuǎn)發(fā)功能發(fā)送多個源地址任意而目的地址為IPv6主機地址的報文去攻擊IPv6網(wǎng)絡(luò)中的主機，導(dǎo)致IPv6主機的CPU的使用率過高，從而影響其他正常活動的進行。同樣，IPv6網(wǎng)絡(luò)中的攻擊者也可以通過類似的方法利用隧道路由器的轉(zhuǎn)發(fā)功能去攻擊IPv4網(wǎng)絡(luò)中的主機。

● ISATAP隧道安全實驗技術(shù)與實驗教學(xué)

1.實驗教學(xué)設(shè)計

（1）環(huán)境搭建

實驗中的攻擊方和被攻擊方均為VMware中的虛擬機，通過VMware創(chuàng)建的虛擬網(wǎng)絡(luò)適配器與華為ENSP搭建的虛擬網(wǎng)絡(luò)組成IPv6網(wǎng)絡(luò)ISATAP隧道安全實驗環(huán)境[11]，拓撲如圖2所示。

實驗環(huán)境相關(guān)設(shè)備型號及網(wǎng)絡(luò)參數(shù)如表1所示。

（2）流程設(shè)計

根據(jù)實驗環(huán)境以及ISATAP面臨的安全威脅，設(shè)計模擬IPv6網(wǎng)絡(luò)ISATAP隧道安全實驗的流程如圖3所示。

根據(jù)ISATAP隧道的工作原理和安全性分析可知，在不同通信階段會面臨不同的安全威脅，隧道邊緣報文偽造攻擊實驗，利用ARP攻擊工具對被攻擊者進行ARP欺騙攻擊，同時利用報文偽造工具偽造RA消息并發(fā)出，最后根據(jù)抓包顯示以及報文分析來查看攻擊結(jié)果。

隧道穿越地址欺騙攻擊實驗，構(gòu)造并發(fā)出多個源地址未知而目的地址為被攻擊者的目的地址的數(shù)據(jù)報文，該數(shù)據(jù)報文通過隧道路由器轉(zhuǎn)發(fā)給被攻擊者，最后根據(jù)被攻擊者的CPU使用率以及抓包報文來觀察和分析其攻擊效果。

2.隧道邊緣報文偽造攻擊實驗教學(xué)

對IPv4的攻擊者與IPv4的被攻擊者的具體操作步驟（如圖4）以及關(guān)鍵配置如下。

（1）搭建ISATAP隧道（如下頁表2）

（2）攻擊的操作與配置

①攻擊者kali發(fā)起ARP欺騙攻擊（如表3）。

②攻擊者kali偽造并發(fā)送RA消息（如表4）。

（3）數(shù)據(jù)測量與可視化分析

通過Wireshark抓包，得到被攻擊者為獲取ISATAP地址發(fā)送RS消息以及攻擊者偽造的RA消息，如圖5所示。

當被攻擊者試圖與IPv6網(wǎng)絡(luò)通信時，抓包如圖6所示。

對IPv4被攻擊者進行ARP欺騙后，查看被攻擊計算機的ARP緩存表，隧道路由器網(wǎng)關(guān)的ARP緩存中IP地址為192.168.1.4的MAC地址被替換為攻擊計算機的MAC地址00-0C-29-01-58-73，由此證明ARP欺騙成功。

利用ipconfig命令查看被攻擊計算機的IP地址設(shè)置，其中IPv6地址為2002：：5efe：192.168.1.6，由此證明偽造RA消息成功。

3.隧道穿越地址欺騙攻擊實驗教學(xué)

地址欺騙攻擊主要可以分為兩種情況，第一種情況是IPv4雙棧主機攻擊IPv6主機，第二種情況是IPv6主機攻擊IPv4主機。由于這兩種情況均是穿越隧道攻擊，類型一致，所以本文只進行IPv4雙棧主機攻擊IPv6主機的實驗。

對IPv4的攻擊者與IPv6的被攻擊者的具體操作步驟以及關(guān)鍵配置如下。

（1）IPv6被攻擊者主機配置（如表5）

（2）IPv4攻擊者攻擊IPv6主機

①攻擊者配置地址（如表6）。

②Python網(wǎng)絡(luò)編程編寫攻擊程序并發(fā)起攻擊（如表7）。

（3）數(shù)據(jù)測量與分析

通過Wireshark抓包，可以抓到攻擊者發(fā)出的IPv6-in-IPv4攻擊報文，如下頁圖8所示。

在被攻擊者的任務(wù)管理器中可以得到CPU的使用率，可觀察到被攻擊后，被攻擊者的CPU使用率都大幅度提升，如下頁圖9所示。

攻擊者發(fā)給被攻擊者構(gòu)造的IPv6-in-IPv4攻擊報文[src_v4=forged address，dst_v4=192.168.1.4，src_v6= forged address，dst_v6=3001：：2]，目的IPv4地址為隧道路由器的IP地址，此攻擊報文先發(fā)往隧道路由器，攻擊者利用隧道路由器的轉(zhuǎn)發(fā)功能，再將報文發(fā)往目的IPv6地址。

由于被攻擊者開啟了Apache服務(wù)器，所以在收到端口為80的連接請求時，它將分配內(nèi)存和少量地調(diào)配CPU資源來為這些連接提供服務(wù)，當負荷過重的時候，CPU使用率會過高。攻擊者利用這一特性，發(fā)送大量的SYN連接報文，使得被攻擊者的CPU的使用率過高，而影響其他活動。被攻擊者的CPU的使用率出現(xiàn)大幅度提升，由此證明地址欺騙攻擊成功。

4.攻擊防御

針對報文偽造和地址欺騙這兩種不同攻擊，它們對應(yīng)的防御方法，如下頁圖10所示。

（1）ARP防御

ARP防御技術(shù)可以有效地減少針對獲取ISATAP地址通信階段處的攻擊。ARP防御技術(shù)主要有動態(tài)ARP檢測、靜態(tài)IP-MAC綁定、安裝ARP防火墻以及查找ARP攻擊機等。[12] [13]

（2）雙向驗證

雙向驗證技術(shù)可以有效地阻止雙棧主機獲取來自攻擊者的不正確的IPv6前綴，從而減少了不能正常通信的情況。主要的方法可以是對雙棧主機與隧道路由器之間的通信過程進行IPsec認證[14]，并且這個認證需要是雙向進行的，也就是說雙棧主機與隧道路由器需要同時對雙方發(fā)送來的通信報文進行驗證，驗證錯誤則丟棄。

（3）IP地址有效性檢測

在隧道路由器處，對通過隧道路由器的數(shù)據(jù)報文進行安全性檢測，即通過隧道路由器的源IPv4地址和源IPv6地址都需要是全球唯一的本地鏈路地址，或者對IP地址進行有效性檢測，由此來減少跨隧道路由器的地址欺騙攻擊。

● 總結(jié)

IPv6的規(guī)模化部署在拓展“互聯(lián)網(wǎng)+教育”創(chuàng)新發(fā)展空間的同時，也對高校IPv6課程教學(xué)改革提出了新的要求。本文針對在IPv6部署過程中IPv4與IPv6共存互通大規(guī)模存在的發(fā)展走向，提出了基于“ENSP模擬器+VMware虛擬機”的ISATAP隧道安全實驗教學(xué)設(shè)計，并給出了ISATAP隧道邊緣報文偽造攻擊與隧道穿越地址欺騙攻擊實驗教學(xué)案例。經(jīng)多班級教學(xué)實踐表示，該方案能夠快速、高效地將IPv6安全性實驗引入高校專業(yè)課教學(xué)體系，為貫徹落實教育部《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》要求，以“新工科”建設(shè)對接IPv6產(chǎn)業(yè)發(fā)展主動布局未來互聯(lián)網(wǎng)空間安全人才培養(yǎng)需求，提供了切實可行的實踐途徑。

參考文獻：

[1]中共中央辦公廳 國務(wù)院辦公廳印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》[z].

[2]教育部辦公廳關(guān)于貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》的通知[EB/OL].http：//www.gov.cn/xinwen/2018-09/03/content_5318951.htm，2018-09-03.

[3]周振東.IPv6在教育信息化中的應(yīng)用[J].中國信息技術(shù)教育，2011（09）：77-79.

[4]F. Templin，T. Gleeson and D.Thaler.RFC 5214： Intra-site Automatic Tunnel Addressing Protocol（ISATAP）.IETF，March，2008.

[5]楊愛民，吳俊萍.新工科背景下的高校實踐教學(xué)體系改革思路探討[J].中國信息技術(shù)教育，2019（10）：110-112.

[6]Komal，Performance Evaluation of Tunneling Mechanisms in IPv6 Transition： A Detailed Review[C].2015 Second International Conference on Advances in Computing and Communication Engineering，Dehradun，2015，pp.144-149，doi： 10.1109/ICACCE.2015.95.

[7]RFC 5214.Intra-site automatic tunnel addressing protocol（ISATAP）[EB/OL].（2008-05-06）[2020-03-18].https：//tools. ietf.org/html/rfc5214.

[8]艾書明.IPv6環(huán)境下6to4與ISATAP隧道安全性增強技術(shù)研究[D].哈爾濱：哈爾濱哈爾濱工業(yè)大學(xué)，2013.

[9]陳英，馬洪濤.局域網(wǎng)內(nèi)ARP協(xié)議攻擊及解決辦法[J].中國安全科學(xué)學(xué)報，2007，07（7）：126-131.

[10]李樹軍.Scapy在網(wǎng)絡(luò)協(xié)議分析實驗教學(xué)中的應(yīng)用[J].實驗科學(xué)與技術(shù)，2014，06（12）：110-113.

[11]唐志剛.基于ENSP與VMware組建虛擬網(wǎng)絡(luò)[J].信息系統(tǒng)工程，2014.

[12]王曉妮，段群.局域網(wǎng)中ARP攻擊的防御措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.

[13]張柯，楊玚.校園網(wǎng)ARP病毒的分析及防護[J].中國信息技術(shù)教育，2010（11）：73-76.

[14]杜學(xué)凱，吳承榮，嚴明.IPv6環(huán)境下的IPSEC通信安全審計技術(shù)研究[J].計算機應(yīng)用與軟件，2017，01（34）： 298-305.

作者簡介：賈茹（1999.9—），第一作者，女，陜西漢中人，陜西師范大學(xué)計算機科學(xué)學(xué)院創(chuàng)新實驗班本科生;胡曦明（1978.9—），通訊作者，男，四川南充人，博士，講師，教育碩士導(dǎo)師，主要研究領(lǐng)域為智慧教育、計算機教育;李鵬（1981.11—），男，陜西扶風(fēng)人，博士，副教授，碩導(dǎo)，主要研究領(lǐng)域為移動計算、教育信息化;馬苗（1977.4—）女，漢族，山東聊城人，博士，教授，博導(dǎo)，現(xiàn)任陜西師范大學(xué)計算機科學(xué)學(xué)院科研副院長，主要研究領(lǐng)域為人工智能、智能系統(tǒng)等。

基金項目： 陜西省教育科學(xué)“十三五”規(guī)劃課題（SGH16H024）;中央高校基本科研業(yè)務(wù)費專項資金資助項目（GK201503065）;陜西師范大學(xué)教師教學(xué)模式創(chuàng)新與實踐研究基金項目（JSJX2020Z28，JSJX2019Z47）;教育部陜西師范大學(xué)基礎(chǔ)教育課程研究中心項目（2019-JCJY009）;2020年度陜西師范大學(xué)一流本科課程建設(shè)項目“計算機網(wǎng)絡(luò)”（線上線下混合式課程）。