陳守明,梁運德,錢 揚(yáng),李雪武,盧妍倩

(廣東電力信息科技有限公司,廣東 廣州 510080)

0 引 言

IPv6是“Internet Protocol Version 6”的縮寫，它是IETF(Internet Engineering Task Force, Internet工程任務(wù)組)設(shè)計的用于替代現(xiàn)行版本IP協(xié)議(IPv4)的下一代IP協(xié)議[1-2]。其主要采用128位的IP地址，提升原有IPv4的地址資源承載能力。IPv6網(wǎng)絡(luò)廣泛應(yīng)用于日常的生產(chǎn)與生活之中。

網(wǎng)絡(luò)信息安全一直是互聯(lián)網(wǎng)應(yīng)用中的重要問題，但由于原有的IP協(xié)議設(shè)計過程中，沒有完全考慮到網(wǎng)絡(luò)信息的安全性，在網(wǎng)絡(luò)使用中，常會出現(xiàn)受到攻擊、數(shù)據(jù)泄露等問題。為提升網(wǎng)絡(luò)使用的安全性，自1995年起，便在IP協(xié)議中增加相應(yīng)的安全性協(xié)議，并設(shè)定2種安全機(jī)制：認(rèn)知與加密[3]。在此安全性協(xié)議與機(jī)制使用的20多年中，網(wǎng)絡(luò)安全問題依舊層出不窮。而目前，IPv6網(wǎng)絡(luò)技術(shù)自身還不成熟，在實際的網(wǎng)絡(luò)部署與應(yīng)用中還存在相應(yīng)的問題，對網(wǎng)絡(luò)安全性還需展開一系列改造。目前，對于IPv6網(wǎng)絡(luò)安全威脅最為嚴(yán)重的是灰洞攻擊，這是一種具有選擇性的借由丟棄封包的阻斷服務(wù)攻擊[4]。這種攻擊模式對于IPv6網(wǎng)絡(luò)具有極大的危害性。因而，本文設(shè)計抗灰洞攻擊的IPv6網(wǎng)絡(luò)部署改造方法，以此提升IPv6網(wǎng)絡(luò)的抗攻擊能力。為保證IPv6網(wǎng)絡(luò)部署改造的可行性，在設(shè)計完成后，對原有的網(wǎng)絡(luò)部署改造方法與本文設(shè)計的方法進(jìn)行測試，對比兩者之間的使用區(qū)別。本文設(shè)計的方法利用IPv6具有相應(yīng)的分級結(jié)構(gòu)地址的特點，此種結(jié)構(gòu)被稱為可聚合全局單點廣播地址，可有效提升網(wǎng)絡(luò)信息的傳輸能力。

1 抗灰洞攻擊的IPv6網(wǎng)絡(luò)部署改造設(shè)計

1.1 網(wǎng)絡(luò)構(gòu)架改造

考慮到網(wǎng)絡(luò)構(gòu)架管理的難易程度，在網(wǎng)絡(luò)構(gòu)架改造的過程中，采用層次化的設(shè)計理念，將網(wǎng)絡(luò)構(gòu)架從邏輯角度分為核心層、匯聚層、接入層以及廣域網(wǎng)與服務(wù)器的接入部分[5-6]。具體設(shè)計結(jié)果如圖1所示。

圖1 網(wǎng)絡(luò)構(gòu)架改造結(jié)果

本文主要對網(wǎng)絡(luò)的接入層、匯聚層和核心層進(jìn)行設(shè)計。網(wǎng)絡(luò)的接入層是用戶與網(wǎng)絡(luò)連接的關(guān)鍵點，匯聚層是網(wǎng)絡(luò)信息的匯聚,核心層是網(wǎng)絡(luò)信息過濾的實現(xiàn)平臺。本文對這3個部分進(jìn)行重點設(shè)計，以提升網(wǎng)絡(luò)內(nèi)部的抗灰洞攻擊能力。在各層級與網(wǎng)絡(luò)之間設(shè)定相應(yīng)的訪問限制，并設(shè)定相應(yīng)網(wǎng)絡(luò)交通規(guī)則。通過控制子網(wǎng)絡(luò)與核心層交換過程，保證網(wǎng)絡(luò)信息在獲取過程中的安全性。

除上述的內(nèi)部抗攻擊設(shè)定外，在網(wǎng)絡(luò)構(gòu)架的外部設(shè)定了禁止外部網(wǎng)絡(luò)非法入侵的防火墻系統(tǒng)，對網(wǎng)絡(luò)的出入與連接進(jìn)行實時的檢查與控制[7]。在撥號訪問中，采用集中身份認(rèn)證方式與回?fù)芄δ鼙ＷC此部分的安全性。

網(wǎng)絡(luò)構(gòu)架為寬帶網(wǎng)，為保證IPv6網(wǎng)絡(luò)使用的穩(wěn)定性，對網(wǎng)絡(luò)架構(gòu)改造后的設(shè)備型號進(jìn)行設(shè)定。具體內(nèi)容如表1所示。

根據(jù)表1的選擇結(jié)果，完成了網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計過程。其中設(shè)備1和設(shè)備2屬于接入層，設(shè)備3屬于匯聚層，設(shè)備4和設(shè)備5屬于核心層。在接入層中設(shè)置32個千兆光口、10個千兆電口和24個百兆電口。匯聚層可以優(yōu)化網(wǎng)絡(luò)中使用的服務(wù)器群以及網(wǎng)絡(luò)間接方式，在一定程度上有利于網(wǎng)絡(luò)信息的匯聚。

表1 網(wǎng)絡(luò)架構(gòu)改造設(shè)備選型結(jié)果

1.2 服務(wù)器群設(shè)計

以上述設(shè)計的網(wǎng)絡(luò)構(gòu)架為基礎(chǔ)，對網(wǎng)絡(luò)中使用的服務(wù)器群以及網(wǎng)絡(luò)間接方式進(jìn)行優(yōu)化設(shè)計。采用綜合接入的方式實現(xiàn)網(wǎng)絡(luò)之間的連接性，具體示意圖如圖2所示。

圖2 綜合接入方式邏輯圖

根據(jù)上述接入方式設(shè)定結(jié)果，對網(wǎng)絡(luò)結(jié)構(gòu)中的內(nèi)部路由進(jìn)行設(shè)計。常見的路由分為靜態(tài)路由和動態(tài)路由。在IPv6網(wǎng)絡(luò)中，選取動態(tài)路由作為主要服務(wù)器[8-9]。靜態(tài)路由的設(shè)備性能要求低，但管理較為困難，不適用于IPv6網(wǎng)絡(luò)。

IPv6網(wǎng)絡(luò)的主干網(wǎng)絡(luò)選用OSPFv3路由協(xié)議，將網(wǎng)絡(luò)劃分為多個域，當(dāng)其他網(wǎng)絡(luò)與設(shè)計接入時，增加相應(yīng)的域[10-11]，并在核心層中增加相應(yīng)的接入節(jié)點。至此，內(nèi)部服務(wù)器設(shè)定完成。

至于外部路由協(xié)議，根據(jù)網(wǎng)絡(luò)構(gòu)架，采用BGP4+的路由協(xié)議對服務(wù)器進(jìn)行控制。為增強(qiáng)網(wǎng)絡(luò)的抗灰洞攻擊能力，采用雙棧技術(shù)，同時打開本文設(shè)計的網(wǎng)絡(luò)協(xié)議與原有的網(wǎng)絡(luò)協(xié)議，并在網(wǎng)絡(luò)中設(shè)定相應(yīng)的路由器隧道。在此設(shè)計中使用的路由器隧道如下：IPv6手工配置隧道、IPv6 over IPv4 GRE隧道以及6PE隧道[12-13]。

對此部分設(shè)計結(jié)果進(jìn)行整理，并將其與網(wǎng)絡(luò)構(gòu)架設(shè)計結(jié)果相結(jié)合，完成了網(wǎng)絡(luò)部署中的設(shè)備與相關(guān)協(xié)議的基礎(chǔ)設(shè)計。

1.3 IPv6網(wǎng)絡(luò)攻擊檢測

除上述基礎(chǔ)設(shè)計外，對IPv6網(wǎng)絡(luò)的抗灰洞攻擊檢測部分進(jìn)行設(shè)計。在檢測算法設(shè)計中，首先對網(wǎng)絡(luò)檢測匹配規(guī)則進(jìn)行設(shè)定，具體內(nèi)容如表2所示。

表2 網(wǎng)絡(luò)檢測匹配規(guī)則

通過表2設(shè)定的檢測規(guī)則，結(jié)合多模式網(wǎng)絡(luò)攻擊檢測算法，實現(xiàn)對灰洞攻擊的檢測過程。通過對灰洞攻擊的研究結(jié)果可知，攻擊的目的節(jié)點通常只有一個，因而，其攻擊數(shù)據(jù)包的目的地熵值較低[15-16]。正常的數(shù)據(jù)包熵值較高，通過此特征對網(wǎng)絡(luò)中的熵值進(jìn)行計算，具體公式如下：

(1)

其中，Y為熵值，n為網(wǎng)絡(luò)中數(shù)據(jù)包的數(shù)量，ti為數(shù)據(jù)包的目標(biāo)IP地址i出現(xiàn)的概率。通過公式(1)對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行控制，以此確定數(shù)據(jù)包是否為攻擊信息[17-18]。采用SVM算法對獲取到的數(shù)據(jù)包進(jìn)行分類，設(shè)定灰洞攻擊特征為p，則攻擊分類器可表示為：

p(a)=sign((b,a)+c)

(2)

其中，a為待測數(shù)據(jù)包特征，b為攻擊數(shù)據(jù)特征，c為數(shù)據(jù)包參數(shù)[19-20]。為提升攻擊檢測的精準(zhǔn)度，對上述攻擊分類器進(jìn)行約束，具體約束條件如公式(3)：

sign((b,a)+c)≥1

(3)

將上述公式引用至網(wǎng)絡(luò)架構(gòu)的核心層中[6,21]，通過核心處理器中的運算服務(wù)器對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測，以此提升網(wǎng)絡(luò)的抗灰洞攻擊能力[9]。

將上述的網(wǎng)絡(luò)基礎(chǔ)設(shè)計與網(wǎng)絡(luò)攻擊檢測部分相結(jié)合，至此，抗灰洞攻擊的IPv6網(wǎng)絡(luò)部署改造方法設(shè)計完成。

2 實驗及結(jié)果分析

2.1 抗灰洞攻擊測試網(wǎng)絡(luò)體系搭建

為了對本文方法與原有方法[21]進(jìn)行抗網(wǎng)絡(luò)攻擊對比，構(gòu)建網(wǎng)絡(luò)測試環(huán)境為IPv6網(wǎng)絡(luò)的研發(fā)實驗室，其采用的IPv6網(wǎng)絡(luò)構(gòu)架如圖3所示。

圖3 IPv6網(wǎng)絡(luò)構(gòu)架

在測試實驗室中，網(wǎng)絡(luò)的交互主要采用以太網(wǎng)技術(shù)，使用雙絞線組搭建測試網(wǎng)絡(luò)。在此測試網(wǎng)絡(luò)構(gòu)架中，設(shè)定2個虛擬子網(wǎng)，分別為A1、A2，通過此網(wǎng)絡(luò)控制實驗室中的計算機(jī)，在各主機(jī)中設(shè)定相應(yīng)的IPv6網(wǎng)絡(luò)接口地址。

在構(gòu)建了抗灰洞攻擊測試網(wǎng)絡(luò)體系后，為保證測試結(jié)果的有效性，測試中使用了3種計算機(jī)操作系統(tǒng)，具體操作系統(tǒng)種類以及IPv6協(xié)議如表3所示。

表3 主機(jī)操作系統(tǒng)及IPv6協(xié)議內(nèi)容

以上是抗灰洞攻擊測試網(wǎng)絡(luò)體系的搭建過程，本文將其作為測試的硬件平臺。

2.2 網(wǎng)絡(luò)攻擊測試設(shè)定

為保證網(wǎng)絡(luò)攻擊的真實性，對網(wǎng)絡(luò)攻擊過程進(jìn)行設(shè)計，具體內(nèi)容如下：

針對IPv6網(wǎng)絡(luò)的分布式構(gòu)架，在網(wǎng)絡(luò)中設(shè)計多個攻擊節(jié)點，攻擊節(jié)點受到控制結(jié)構(gòu)點的管理，并接受統(tǒng)一的攻擊指令，而后向目標(biāo)節(jié)點發(fā)起攻擊，具體攻擊過程如圖4所示。

圖4 攻擊過程

設(shè)定攻擊武器庫如下：在攻擊節(jié)點計算機(jī)中添加攻擊插件，通過更新攻擊控制端的SQL工具庫數(shù)據(jù)表，更新攻擊實施端的武器庫數(shù)據(jù)表，并重新分配攻擊插件，對目標(biāo)節(jié)點發(fā)起攻擊。攻擊過程的部分關(guān)鍵代碼如圖5所示。

圖5 攻擊代碼

上面實現(xiàn)了攻擊測試過程，下面設(shè)定相應(yīng)的測試指標(biāo)。

2.3 測試指標(biāo)

將本文方法與原有方法[21]進(jìn)行對比，獲取本文方法的使用效果。

實驗設(shè)計了2個測試指標(biāo)：網(wǎng)絡(luò)攻擊下預(yù)警有效性以及攻擊下的CPU占用率。

1)網(wǎng)絡(luò)攻擊下預(yù)警有效性。通過網(wǎng)絡(luò)攻擊下預(yù)警體現(xiàn)改造方法對網(wǎng)絡(luò)攻擊的敏感度，以間接方式接入網(wǎng)絡(luò)路由器，配合多模式網(wǎng)絡(luò)攻擊，建立預(yù)警機(jī)制及設(shè)置預(yù)警策略，確保網(wǎng)絡(luò)部署的科學(xué)性。

2)攻擊下的CPU占用率。通過計算網(wǎng)絡(luò)攻擊下的CPU占用率體現(xiàn)在攻擊下的網(wǎng)絡(luò)是否正常運行。

2.4 網(wǎng)絡(luò)攻擊有效預(yù)警測試結(jié)果

網(wǎng)絡(luò)攻擊有效預(yù)警測試結(jié)果如圖6所示。

(a) Windows Vista系統(tǒng)測試結(jié)果

由圖6可以看出，在不同的計算機(jī)操作系統(tǒng)中，網(wǎng)絡(luò)攻擊有效預(yù)警的測試結(jié)果具有一定的差異。但通常本文方法的預(yù)警能力優(yōu)于原有方法。通過上述測試結(jié)果還可以看出，在Ubuntu Linux系統(tǒng)中，本文方法與原有方法的預(yù)警能力都較低，在日后的研究中，將對此操作系統(tǒng)進(jìn)行優(yōu)化，以保證網(wǎng)絡(luò)免受不良信息攻擊。綜上可知，就網(wǎng)絡(luò)攻擊有效預(yù)警能力而言，本文方法優(yōu)于原有方法。

2.5 攻擊下CPU占用率測試結(jié)果

網(wǎng)絡(luò)攻擊下CPU占用率測試結(jié)果如表4所示。

表4 攻擊下CPU占用率測試結(jié)果

通過表4可知，3種操作系統(tǒng)的測試結(jié)果數(shù)據(jù)差異較小，本文方法比原有方法在使用的系統(tǒng)中兼容性較高。通過數(shù)據(jù)對比可知，本文方法在3種系統(tǒng)中，第5次測試時，在Windows Vista系統(tǒng)中，原有方法被攻擊下CPU占用率和本文方法被攻擊下CPU占用率分別為41.0%和30.1%；Windows 10系統(tǒng)中2種方法占用率分別是44.5%和31.7%；Ubuntu Linux系統(tǒng)中2種方法占用率分別是48.3%和30.8%。本文方法使用后CPU占用率較低，且CPU占用率區(qū)間較為穩(wěn)定。因而，采用本文方法后，即便受到攻擊，網(wǎng)絡(luò)承載力依舊可以得到保證。

將網(wǎng)絡(luò)攻擊有效預(yù)警測試結(jié)果與攻擊下CPU占用率測試結(jié)果相結(jié)合可知，本文方法的抗攻擊能力較強(qiáng)，可有效提升網(wǎng)絡(luò)安全。

3 結(jié)束語

目前IPv6網(wǎng)絡(luò)的使用范圍逐步增大，但時常受到網(wǎng)絡(luò)攻擊。針對此現(xiàn)象，本文提出了一種抗灰洞攻擊的IPv6網(wǎng)絡(luò)部署改造方法。通過對本文方法測試可知，此方法在使用后，對網(wǎng)絡(luò)攻擊的抵御能力明顯提升。因此，在IPv6網(wǎng)絡(luò)增加相應(yīng)的網(wǎng)絡(luò)攻擊檢測算法，有助于提升網(wǎng)絡(luò)的安全性。由于測試環(huán)境有限，本文研究仍存在以下不足：本文使用的攻擊算法較為簡單，對于復(fù)合型的網(wǎng)絡(luò)攻擊檢測能力不強(qiáng)；網(wǎng)絡(luò)構(gòu)建設(shè)備選型較為單一，應(yīng)增加多樣性。在今后的研究中，將對上述2點內(nèi)容加以優(yōu)化，保證網(wǎng)絡(luò)的抗攻擊能力。