面向“新工科”的IPv6網(wǎng)絡(luò)ISATAP隧道安全實(shí)驗(yàn)教學(xué)研究

賈茹 胡曦明 李鵬 馬苗

摘要：本文聚焦我國(guó)推進(jìn)互聯(lián)網(wǎng)IPv6規(guī)模部署必然催生IPv4與IPv6共存互通大規(guī)模存在的發(fā)展走向，針對(duì)教育網(wǎng)基礎(chǔ)設(shè)施IPv6升級(jí)改造重點(diǎn)任務(wù)實(shí)施路徑，面向“新工科”實(shí)驗(yàn)教學(xué)改革提出了基于“ENSP模擬器+VMware虛擬機(jī)”的ISATAP隧道安全實(shí)驗(yàn)教學(xué)設(shè)計(jì)。在此基礎(chǔ)上，作者通過ISATAP隧道邊緣報(bào)文偽造攻擊實(shí)驗(yàn)和ISATAP隧道穿越地址欺騙攻擊實(shí)驗(yàn)的環(huán)境搭建、攻擊操作與配置以及數(shù)據(jù)測(cè)量與可視化分析，詳細(xì)闡述了IPv6網(wǎng)絡(luò)ISATAP隧道安全實(shí)驗(yàn)教學(xué)方法與具體過程，為“新工科”建設(shè)對(duì)接IPv6產(chǎn)業(yè)發(fā)展促進(jìn)產(chǎn)教融合提供了切實(shí)可行的實(shí)踐途徑。

關(guān)鍵詞：新工科;IPv6;ISATAP;網(wǎng)絡(luò)安全;實(shí)驗(yàn)教學(xué)

中圖分類號(hào)：G434? 文獻(xiàn)標(biāo)識(shí)碼：A? 論文編號(hào)： 1674-2117（2020）22-0000-07

● 引言

隨著我國(guó)創(chuàng)新驅(qū)動(dòng)經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展戰(zhàn)略的深入推進(jìn)，物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的產(chǎn)業(yè)化轉(zhuǎn)化與商用進(jìn)程不斷提速，由此催生的爆發(fā)式網(wǎng)絡(luò)地址需求和網(wǎng)絡(luò)安全等服務(wù)質(zhì)量保障升級(jí)對(duì)現(xiàn)有互聯(lián)網(wǎng)IPv4協(xié)議體系提出了新的挑戰(zhàn)。為了突破IPv4體系固有的地址制約和技術(shù)壁壘，搶抓全球網(wǎng)絡(luò)信息技術(shù)加速創(chuàng)新升級(jí)的歷史機(jī)遇，2017年11月，中共中央辦公廳和國(guó)務(wù)院辦公廳聯(lián)合印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，明確提出到2025年“建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)”“形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系”。[1]隨后教育部辦公廳下發(fā)關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》的通知[2]，鼓勵(lì)高校開設(shè)IPv6相關(guān)理論和實(shí)踐課程，積極開展“新工科”建設(shè)，對(duì)接IPv6產(chǎn)業(yè)發(fā)展及企業(yè)需求，推進(jìn)產(chǎn)學(xué)合作協(xié)同育人。

按照行動(dòng)計(jì)劃，我國(guó)IPv6部署遵循典型應(yīng)用先行、移動(dòng)固定并舉、增量帶動(dòng)存量的漸近式發(fā)展路徑，在此過程中，原有的IPv4網(wǎng)絡(luò)與新升級(jí)的IPv6網(wǎng)絡(luò)共存互通大規(guī)模存在將是今后一段時(shí)期的必然常態(tài)，由于教育系統(tǒng)的非營(yíng)利性定位使得其網(wǎng)絡(luò)系統(tǒng)從IPv4向IPv6演進(jìn)升級(jí)的過程將持續(xù)更長(zhǎng)時(shí)間，這就要求課程教學(xué)改革在抓緊開設(shè)IPv6新課程的同時(shí)還需要兼顧IPv4與IPv6互聯(lián)互通專門技術(shù)領(lǐng)域[3]。按照教育部制定的教育網(wǎng)基礎(chǔ)設(shè)施IPv6升級(jí)改造重點(diǎn)任務(wù)實(shí)施路徑——“新建網(wǎng)絡(luò)應(yīng)支持IPv4和IPv6雙棧，有條件的高等學(xué)校實(shí)現(xiàn)IPv6訪問優(yōu)先接入”，站點(diǎn)內(nèi)部自動(dòng)隧道ISATAP（Intra-site automatic tunnel addressing protocol）是實(shí)施這一任務(wù)的主流技術(shù)[4]，因此本文聚焦“新工科”建設(shè)[5]，針對(duì)ISATAP隧道安全性實(shí)驗(yàn)教學(xué)改革開展研究，為進(jìn)一步促進(jìn)“新工科”緊密結(jié)合我國(guó)下一代互聯(lián)網(wǎng)發(fā)展實(shí)現(xiàn)產(chǎn)教融合提供了切實(shí)可行的實(shí)踐途徑。

● ISATAP隧道工作原理與安全性分析

作為IPv4與IPv6互通的主流技術(shù)[6]，ISATAP是一種同時(shí)采用了雙協(xié)議棧技術(shù)和隧道技術(shù)的IPv6過渡機(jī)制，用于連接IPv4網(wǎng)絡(luò)上的IPv6節(jié)點(diǎn)或IPv4雙棧節(jié)點(diǎn)。ISATAP技術(shù)實(shí)際上是把IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包內(nèi)發(fā)給隧道路由器，再由隧道路由器解封裝后發(fā)給IPv6網(wǎng)絡(luò)中的主機(jī)。ISATAP技術(shù)并不要求隧道端節(jié)點(diǎn)必須具有全球唯一的IPv4地址，因此有效地避免了IPv4地址不足的問題，同時(shí)還可用于內(nèi)部私有網(wǎng)中各雙棧主機(jī)之間的IPv6通信。[7]

ISATAP隧道在實(shí)現(xiàn)IPv4與IPv6互通的地址獲取階段和數(shù)據(jù)通信階段面臨多種安全威脅[8]，具體分析如圖1所示。

1.地址獲取階段面臨偽造報(bào)文安全威脅

通信前雙棧主機(jī)首先需要獲取ISATAP地址，具體交互過程如下：

①雙棧主機(jī)在通信之前，先向ISATAP隧道路由器發(fā)送路由請(qǐng)求RS報(bào)文;

②收到由ISATAP隧道路由器發(fā)送的帶有64位IPv6地址前綴的RA報(bào)文;

③雙棧主機(jī)將IPv6地址前綴、ISATAP固定的32位的接口標(biāo)識(shí)和雙棧主機(jī)的IPv4地址一起構(gòu)造得到所需的ISATAP地址。

在獲取ISATAP地址的過程中，存在隧道邊緣偽造報(bào)文安全威脅。攻擊者偽裝成隧道路由器[9]，在雙棧主機(jī)獲取ISATAP地址時(shí)，向雙棧主機(jī)發(fā)送偽造的RA報(bào)文[10]，導(dǎo)致雙棧主機(jī)配置不正確的ISATAP地址，因此不能正常通信。

2.數(shù)據(jù)通信階段面臨地址欺騙安全威脅

雙棧主機(jī)穿越隧道路由器與IPv6主機(jī)通信的過程交互過程如下：

①雙棧主機(jī)通過ISATAP隧道向IPv6主機(jī)發(fā)出IPv6-in-IPv4報(bào)文;

②報(bào)文到達(dá)隧道路由器后，隧道路由器拆除IPv4頭部，將IPv6報(bào)文轉(zhuǎn)發(fā)給IPv6主機(jī);

③IPv6主機(jī)向雙棧主機(jī)返回IPv6報(bào)文;

④IPv6主機(jī)返回的IPv6報(bào)文發(fā)送到IPv4網(wǎng)絡(luò)入口的隧道路由器時(shí)，隧道路由器接收IPv6報(bào)文，然后根據(jù)IPv4地址將IPv6報(bào)文封裝IPv4報(bào)文頭部生成IPv6-in-IPv4報(bào)文，發(fā)送給雙棧主機(jī)。

在報(bào)文穿越隧道的過程中，存在著地址欺騙安全威脅。IPv4網(wǎng)絡(luò)中的攻擊者可以借助隧道路由器的轉(zhuǎn)發(fā)功能發(fā)送多個(gè)源地址任意而目的地址為IPv6主機(jī)地址的報(bào)文去攻擊IPv6網(wǎng)絡(luò)中的主機(jī)，導(dǎo)致IPv6主機(jī)的CPU的使用率過高，從而影響其他正?；顒?dòng)的進(jìn)行。同樣，IPv6網(wǎng)絡(luò)中的攻擊者也可以通過類似的方法利用隧道路由器的轉(zhuǎn)發(fā)功能去攻擊IPv4網(wǎng)絡(luò)中的主機(jī)。

● ISATAP隧道安全實(shí)驗(yàn)技術(shù)與實(shí)驗(yàn)教學(xué)

1.實(shí)驗(yàn)教學(xué)設(shè)計(jì)

（1）環(huán)境搭建

實(shí)驗(yàn)中的攻擊方和被攻擊方均為VMware中的虛擬機(jī)，通過VMware創(chuàng)建的虛擬網(wǎng)絡(luò)適配器與華為ENSP搭建的虛擬網(wǎng)絡(luò)組成IPv6網(wǎng)絡(luò)ISATAP隧道安全實(shí)驗(yàn)環(huán)境[11]，拓?fù)淙鐖D2所示。

實(shí)驗(yàn)環(huán)境相關(guān)設(shè)備型號(hào)及網(wǎng)絡(luò)參數(shù)如表1所示。

（2）流程設(shè)計(jì)

根據(jù)實(shí)驗(yàn)環(huán)境以及ISATAP面臨的安全威脅，設(shè)計(jì)模擬IPv6網(wǎng)絡(luò)ISATAP隧道安全實(shí)驗(yàn)的流程如圖3所示。

根據(jù)ISATAP隧道的工作原理和安全性分析可知，在不同通信階段會(huì)面臨不同的安全威脅，隧道邊緣報(bào)文偽造攻擊實(shí)驗(yàn)，利用ARP攻擊工具對(duì)被攻擊者進(jìn)行ARP欺騙攻擊，同時(shí)利用報(bào)文偽造工具偽造RA消息并發(fā)出，最后根據(jù)抓包顯示以及報(bào)文分析來查看攻擊結(jié)果。

隧道穿越地址欺騙攻擊實(shí)驗(yàn)，構(gòu)造并發(fā)出多個(gè)源地址未知而目的地址為被攻擊者的目的地址的數(shù)據(jù)報(bào)文，該數(shù)據(jù)報(bào)文通過隧道路由器轉(zhuǎn)發(fā)給被攻擊者，最后根據(jù)被攻擊者的CPU使用率以及抓包報(bào)文來觀察和分析其攻擊效果。

2.隧道邊緣報(bào)文偽造攻擊實(shí)驗(yàn)教學(xué)

對(duì)IPv4的攻擊者與IPv4的被攻擊者的具體操作步驟（如圖4）以及關(guān)鍵配置如下。

（1）搭建ISATAP隧道（如下頁(yè)表2）

（2）攻擊的操作與配置

①攻擊者kali發(fā)起ARP欺騙攻擊（如表3）。

②攻擊者kali偽造并發(fā)送RA消息（如表4）。

（3）數(shù)據(jù)測(cè)量與可視化分析

通過Wireshark抓包，得到被攻擊者為獲取ISATAP地址發(fā)送RS消息以及攻擊者偽造的RA消息，如圖5所示。

當(dāng)被攻擊者試圖與IPv6網(wǎng)絡(luò)通信時(shí)，抓包如圖6所示。

對(duì)IPv4被攻擊者進(jìn)行ARP欺騙后，查看被攻擊計(jì)算機(jī)的ARP緩存表，隧道路由器網(wǎng)關(guān)的ARP緩存中IP地址為192.168.1.4的MAC地址被替換為攻擊計(jì)算機(jī)的MAC地址00-0C-29-01-58-73，由此證明ARP欺騙成功。

利用ipconfig命令查看被攻擊計(jì)算機(jī)的IP地址設(shè)置，其中IPv6地址為2002：：5efe：192.168.1.6，由此證明偽造RA消息成功。

3.隧道穿越地址欺騙攻擊實(shí)驗(yàn)教學(xué)

地址欺騙攻擊主要可以分為兩種情況，第一種情況是IPv4雙棧主機(jī)攻擊IPv6主機(jī)，第二種情況是IPv6主機(jī)攻擊IPv4主機(jī)。由于這兩種情況均是穿越隧道攻擊，類型一致，所以本文只進(jìn)行IPv4雙棧主機(jī)攻擊IPv6主機(jī)的實(shí)驗(yàn)。

對(duì)IPv4的攻擊者與IPv6的被攻擊者的具體操作步驟以及關(guān)鍵配置如下。

（1）IPv6被攻擊者主機(jī)配置（如表5）

（2）IPv4攻擊者攻擊IPv6主機(jī)

①攻擊者配置地址（如表6）。

②Python網(wǎng)絡(luò)編程編寫攻擊程序并發(fā)起攻擊（如表7）。

（3）數(shù)據(jù)測(cè)量與分析

通過Wireshark抓包，可以抓到攻擊者發(fā)出的IPv6-in-IPv4攻擊報(bào)文，如下頁(yè)圖8所示。

在被攻擊者的任務(wù)管理器中可以得到CPU的使用率，可觀察到被攻擊后，被攻擊者的CPU使用率都大幅度提升，如下頁(yè)圖9所示。

攻擊者發(fā)給被攻擊者構(gòu)造的IPv6-in-IPv4攻擊報(bào)文[src_v4=forged address，dst_v4=192.168.1.4，src_v6= forged address，dst_v6=3001：：2]，目的IPv4地址為隧道路由器的IP地址，此攻擊報(bào)文先發(fā)往隧道路由器，攻擊者利用隧道路由器的轉(zhuǎn)發(fā)功能，再將報(bào)文發(fā)往目的IPv6地址。

由于被攻擊者開啟了Apache服務(wù)器，所以在收到端口為80的連接請(qǐng)求時(shí)，它將分配內(nèi)存和少量地調(diào)配CPU資源來為這些連接提供服務(wù)，當(dāng)負(fù)荷過重的時(shí)候，CPU使用率會(huì)過高。攻擊者利用這一特性，發(fā)送大量的SYN連接報(bào)文，使得被攻擊者的CPU的使用率過高，而影響其他活動(dòng)。被攻擊者的CPU的使用率出現(xiàn)大幅度提升，由此證明地址欺騙攻擊成功。

4.攻擊防御

針對(duì)報(bào)文偽造和地址欺騙這兩種不同攻擊，它們對(duì)應(yīng)的防御方法，如下頁(yè)圖10所示。

（1）ARP防御

ARP防御技術(shù)可以有效地減少針對(duì)獲取ISATAP地址通信階段處的攻擊。ARP防御技術(shù)主要有動(dòng)態(tài)ARP檢測(cè)、靜態(tài)IP-MAC綁定、安裝ARP防火墻以及查找ARP攻擊機(jī)等。[12] [13]

（2）雙向驗(yàn)證

雙向驗(yàn)證技術(shù)可以有效地阻止雙棧主機(jī)獲取來自攻擊者的不正確的IPv6前綴，從而減少了不能正常通信的情況。主要的方法可以是對(duì)雙棧主機(jī)與隧道路由器之間的通信過程進(jìn)行IPsec認(rèn)證[14]，并且這個(gè)認(rèn)證需要是雙向進(jìn)行的，也就是說雙棧主機(jī)與隧道路由器需要同時(shí)對(duì)雙方發(fā)送來的通信報(bào)文進(jìn)行驗(yàn)證，驗(yàn)證錯(cuò)誤則丟棄。

（3）IP地址有效性檢測(cè)

在隧道路由器處，對(duì)通過隧道路由器的數(shù)據(jù)報(bào)文進(jìn)行安全性檢測(cè)，即通過隧道路由器的源IPv4地址和源IPv6地址都需要是全球唯一的本地鏈路地址，或者對(duì)IP地址進(jìn)行有效性檢測(cè)，由此來減少跨隧道路由器的地址欺騙攻擊。

● 總結(jié)

IPv6的規(guī)模化部署在拓展“互聯(lián)網(wǎng)+教育”創(chuàng)新發(fā)展空間的同時(shí)，也對(duì)高校IPv6課程教學(xué)改革提出了新的要求。本文針對(duì)在IPv6部署過程中IPv4與IPv6共存互通大規(guī)模存在的發(fā)展走向，提出了基于“ENSP模擬器+VMware虛擬機(jī)”的ISATAP隧道安全實(shí)驗(yàn)教學(xué)設(shè)計(jì)，并給出了ISATAP隧道邊緣報(bào)文偽造攻擊與隧道穿越地址欺騙攻擊實(shí)驗(yàn)教學(xué)案例。經(jīng)多班級(jí)教學(xué)實(shí)踐表示，該方案能夠快速、高效地將IPv6安全性實(shí)驗(yàn)引入高校專業(yè)課教學(xué)體系，為貫徹落實(shí)教育部《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》要求，以“新工科”建設(shè)對(duì)接IPv6產(chǎn)業(yè)發(fā)展主動(dòng)布局未來互聯(lián)網(wǎng)空間安全人才培養(yǎng)需求，提供了切實(shí)可行的實(shí)踐途徑。

參考文獻(xiàn)：

[1]中共中央辦公廳 國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》[z].

[2]教育部辦公廳關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》的通知[EB/OL].http：//www.gov.cn/xinwen/2018-09/03/content_5318951.htm，2018-09-03.

[3]周振東.IPv6在教育信息化中的應(yīng)用[J].中國(guó)信息技術(shù)教育，2011（09）：77-79.

[4]F. Templin，T. Gleeson and D.Thaler.RFC 5214： Intra-site Automatic Tunnel Addressing Protocol（ISATAP）.IETF，March，2008.

[5]楊愛民，吳俊萍.新工科背景下的高校實(shí)踐教學(xué)體系改革思路探討[J].中國(guó)信息技術(shù)教育，2019（10）：110-112.

[6]Komal，Performance Evaluation of Tunneling Mechanisms in IPv6 Transition： A Detailed Review[C].2015 Second International Conference on Advances in Computing and Communication Engineering，Dehradun，2015，pp.144-149，doi： 10.1109/ICACCE.2015.95.

[7]RFC 5214.Intra-site automatic tunnel addressing protocol（ISATAP）[EB/OL].（2008-05-06）[2020-03-18].https：//tools. ietf.org/html/rfc5214.

[8]艾書明.IPv6環(huán)境下6to4與ISATAP隧道安全性增強(qiáng)技術(shù)研究[D].哈爾濱：哈爾濱哈爾濱工業(yè)大學(xué)，2013.

[9]陳英，馬洪濤.局域網(wǎng)內(nèi)ARP協(xié)議攻擊及解決辦法[J].中國(guó)安全科學(xué)學(xué)報(bào)，2007，07（7）：126-131.

[10]李樹軍.Scapy在網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2014，06（12）：110-113.

[11]唐志剛.基于ENSP與VMware組建虛擬網(wǎng)絡(luò)[J].信息系統(tǒng)工程，2014.

[12]王曉妮，段群.局域網(wǎng)中ARP攻擊的防御措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.

[13]張柯，楊玚.校園網(wǎng)ARP病毒的分析及防護(hù)[J].中國(guó)信息技術(shù)教育，2010（11）：73-76.

[14]杜學(xué)凱，吳承榮，嚴(yán)明.IPv6環(huán)境下的IPSEC通信安全審計(jì)技術(shù)研究[J].計(jì)算機(jī)應(yīng)用與軟件，2017，01（34）： 298-305.

作者簡(jiǎn)介：賈茹（1999.9—），第一作者，女，陜西漢中人，陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院創(chuàng)新實(shí)驗(yàn)班本科生;胡曦明（1978.9—），通訊作者，男，四川南充人，博士，講師，教育碩士導(dǎo)師，主要研究領(lǐng)域?yàn)橹腔劢逃?、?jì)算機(jī)教育;李鵬（1981.11—），男，陜西扶風(fēng)人，博士，副教授，碩導(dǎo)，主要研究領(lǐng)域?yàn)橐苿?dòng)計(jì)算、教育信息化;馬苗（1977.4—）女，漢族，山東聊城人，博士，教授，博導(dǎo)，現(xiàn)任陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院科研副院長(zhǎng)，主要研究領(lǐng)域?yàn)槿斯ぶ悄?、智能系統(tǒng)等。

基金項(xiàng)目： 陜西省教育科學(xué)“十三五”規(guī)劃課題（SGH16H024）;中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金資助項(xiàng)目（GK201503065）;陜西師范大學(xué)教師教學(xué)模式創(chuàng)新與實(shí)踐研究基金項(xiàng)目（JSJX2020Z28，JSJX2019Z47）;教育部陜西師范大學(xué)基礎(chǔ)教育課程研究中心項(xiàng)目（2019-JCJY009）;2020年度陜西師范大學(xué)一流本科課程建設(shè)項(xiàng)目“計(jì)算機(jī)網(wǎng)絡(luò)”（線上線下混合式課程）。