基于多類型威脅的IPv6安全防護(hù)有效性檢測(cè)方法

摘要： 隨著全球IPv6部署與應(yīng)用的日益廣泛，IPv6網(wǎng)絡(luò)安全威脅事件逐步增多。目前的IPv6防火墻和入侵檢測(cè)系統(tǒng)存在用例少、測(cè)試準(zhǔn)確度低、測(cè)試流程復(fù)雜等問題。為此，開發(fā)了基于多類型威脅的模糊測(cè)試框架，提出了IPv6安全防護(hù)有效性檢測(cè)方法，對(duì)IPv6防火墻和入侵檢測(cè)系統(tǒng)的防護(hù)有效性進(jìn)行主動(dòng)檢測(cè)。從IPv6網(wǎng)絡(luò)隱蔽信道、IPv6鄰居發(fā)現(xiàn)協(xié)議、IPv6擴(kuò)展報(bào)頭3個(gè)方面對(duì)Windows Defender 4.12.16299.1004、Ubuntu UFW 0.36防火墻和Suricata 3.2入侵檢測(cè)系統(tǒng)進(jìn)行了防護(hù)有效性檢測(cè)。實(shí)驗(yàn)結(jié)果表明，所提檢測(cè)方法與Firewalking等方法相比，具有更高的檢測(cè)可靠性和更全面的安全威脅測(cè)試用例。

關(guān)鍵詞： IPv6； 防火墻； 入侵檢測(cè)系統(tǒng)； 模糊測(cè)試； 防護(hù)有效性檢測(cè)

中圖分類號(hào)： TP393.08

文獻(xiàn)標(biāo)志碼： A

文章編號(hào)： 1671-6841（2024）06-0062-08

DOI： 10.13705/j.issn.1671-6841.2023019

A Protection Effectiveness Detection Method for IPv6 Security Based

on Multiple Types of Threats

WANG Jichang1， ZHANG Liancheng2， YANG Jianbo3， LIN Bin1， GUO Yi2， XIA Wenhao1， YANG Chaoqiang1

（1.School of Cyber Science and Engineering， Zhengzhou University， Zhengzhou 450002， China;

2.College of Cyberspace Security， PLA Strategic Support Force Information Engineering University，

Zhengzhou 450001， China;

3.Institute of Urban Environment， Chinese Academy of Science， Xiamen 361021， China）

Abstract： As IPv6 was deployed and used widely around the world， IPv6 faced increasing network security threats. The current IPv6 firewall and intrusion detection system had some problems such as lack of test cases， low accuracy and complicated testing process. For these reasons， the active detection of IPv6 firewall and intrusion detection system were carried out， the fuzzy detection framework based on multiple types of threats was established， and the protection effectiveness detection method for IPv6 security was put forward. Windows Defender 4.12.16299.1004， Ubuntu UFW 0.36 firewalls and Suricata 3.2 intrusion detection system were tested on IPv6 network covert channel， IPv6 neighbor discovery protocol and IPv6 extension header. The test results showed that the proposed method had higher detection reliability and more comprehensive threat test cases than Firewalking and other detection techniques.

Key words： IPv6; firewall; intrusion detection system; fuzzy testing; protection effectiveness detection

0 引言

作為替代互聯(lián)網(wǎng)協(xié)議第4版（Internet protocol version 4，IPv4）的下一代互聯(lián)網(wǎng)解決方案，IPv6為工業(yè)互聯(lián)網(wǎng)、人工智能等新型網(wǎng)絡(luò)與技術(shù)的蓬勃應(yīng)用與快速發(fā)展提供了更廣泛的互聯(lián)網(wǎng)連接。隨著世界各國積極推進(jìn)IPv6的部署，IPv6網(wǎng)絡(luò)威脅數(shù)量急劇增加，影響范圍也呈現(xiàn)出向各行業(yè)領(lǐng)域擴(kuò)大趨勢(shì)。IPv6防火墻和入侵檢測(cè)系統(tǒng)（intrusion detection system，IDS）作為最基本的網(wǎng)絡(luò)安全防護(hù)設(shè)備，是抵御IPv6網(wǎng)絡(luò)惡意行為的第一道和第二道防線。

當(dāng)前大多數(shù)防火墻已開始逐步支持IPv6防護(hù)，如Windows下的Windows Defender防火墻、Linux下的ip6tables防火墻、思科公司的Firepower防火墻等。此外，Snort、Suricata等主流入侵檢測(cè)系統(tǒng)也逐步支持對(duì)IPv6部分威脅的特征檢測(cè)。這些防火墻和入侵檢測(cè)系統(tǒng)對(duì)于IPv6網(wǎng)絡(luò)安全威脅的真實(shí)防護(hù)能力亟須檢測(cè)與評(píng)估。

本文開發(fā)了基于多類型威脅的模糊測(cè)試框架，提出了IPv6安全防護(hù)有效性檢測(cè)方法，通過發(fā)現(xiàn)IPv6防護(hù)系統(tǒng)存在的漏洞，進(jìn)而可為針對(duì)性“修補(bǔ)”漏洞和指向性“加固”防護(hù)奠定基礎(chǔ)，確保IPv6防火墻和入侵檢測(cè)系統(tǒng)能全方位防御IPv6網(wǎng)絡(luò)惡意流量。

1 相關(guān)工作

目前已有研究工作致力于網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的防護(hù)有效性檢測(cè)。

基于錯(cuò)誤數(shù)據(jù)包的檢測(cè)方法通過發(fā)送錯(cuò)誤數(shù)據(jù)包讓位于防火墻背后的路由器產(chǎn)生互聯(lián)網(wǎng)控制報(bào)文協(xié)議（Internet control message protocol，ICMP）報(bào)文。如果接收到此類ICMP差錯(cuò)報(bào)文，則說明該測(cè)試數(shù)據(jù)包穿過了相應(yīng)的防火墻。

基于端口掃描的檢測(cè)方法利用發(fā)送傳輸控制協(xié)議（transmission control protocol，TCP）報(bào)文或者用戶數(shù)據(jù)包協(xié)議（user datagram protocol，UDP）報(bào)文，并借助回應(yīng)報(bào)文來判斷這些數(shù)據(jù)包能否通過相應(yīng)的防火墻，據(jù)此分析防火墻防護(hù)能力。

Firewalking檢測(cè)方法由Goldsmith等［1］提出，其利用IP報(bào)頭中的生存時(shí)間（time to live，TTL）字段，將數(shù)據(jù)包的TTL字段值設(shè)為恰好能夠到達(dá)防火墻的值。當(dāng)該數(shù)據(jù)包穿過了防火墻，處于防火墻下一跳的路由器會(huì)收到一個(gè)TTL超時(shí)數(shù)據(jù)包，之后會(huì)回復(fù)一個(gè)ICMP差錯(cuò)報(bào)文，借此判斷數(shù)據(jù)包能否穿過防火墻。

Antonios等［2-5］使用了Scapy工具［6］構(gòu)造一系列基于互聯(lián)網(wǎng)控制報(bào)文協(xié)議第6版（Internet control message protocol version 6，ICMPv6）報(bào)文的擴(kuò)展報(bào)頭測(cè)試用例，在命令行模式下對(duì)目標(biāo)系統(tǒng)Ubuntu 10.04、FreeBSD 9、Windows 7等自帶的防火墻進(jìn)行檢測(cè)，通過觀察是否收到回送應(yīng)答報(bào)文對(duì)目標(biāo)防護(hù)設(shè)備的防護(hù)性能進(jìn)行分析。

以上研究工作在防火墻防護(hù)有效性檢測(cè)方面取得了一定進(jìn)展，但都是通過目標(biāo)防護(hù)系統(tǒng)是否發(fā)出回應(yīng)來分析防火墻的防護(hù)性能。在面對(duì)需要使用ICMP報(bào)文的測(cè)試中，作為判斷依據(jù)的ICMP報(bào)文極有可能被防火墻攔截，導(dǎo)致檢測(cè)結(jié)果不可靠，并會(huì)對(duì)防護(hù)性能分析過程造成干擾。

辜苛峻等［7］提出了基于多類型數(shù)據(jù)包的IPv6防火墻防護(hù)能力評(píng)測(cè)方法，通過對(duì)思科ASA5505防火墻進(jìn)行測(cè)試證實(shí)了方法的可行性，但該方法并沒有對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行有效性分析。此外，該方法未對(duì)IPv6隱蔽信道、IPv6鄰居發(fā)現(xiàn)協(xié)議（neighbor discovery protocol，NDP）存在的安全威脅進(jìn)行防護(hù)有效性檢測(cè)。

為此，針對(duì)現(xiàn)有檢測(cè)技術(shù)測(cè)試用例少、測(cè)試準(zhǔn)確度低、測(cè)試流程復(fù)雜問題，本文對(duì)IPv6防火墻和入侵檢測(cè)系統(tǒng)防護(hù)有效性檢測(cè)方法展開研究。

2 IPv6安全威脅分析及構(gòu)造

作為下一代互聯(lián)網(wǎng)解決方案，IPv6除了繼承IPv4網(wǎng)絡(luò)的舊有安全威脅（如應(yīng)用層安全威脅等），也遭受新協(xié)議帶來的新型安全威脅（如鄰居發(fā)現(xiàn)欺騙、擴(kuò)展報(bào)頭安全威脅等），同時(shí)還面臨IPv4/IPv6過渡與共存的雙重疊加安全威脅。

通過對(duì)已發(fā)布IPv6漏洞和現(xiàn)有IPv6網(wǎng)絡(luò)威脅的分析［8］，發(fā)現(xiàn)IPv6網(wǎng)絡(luò)所面臨的主要威脅集中在IPv6隱蔽信道安全威脅［9-10］、IPv6鄰居發(fā)現(xiàn)協(xié)議安全威脅、IPv6擴(kuò)展報(bào)頭安全威脅3個(gè)方面［11-13］，如表1所示。

本節(jié)介紹上述3個(gè)方面的安全威脅并針對(duì)性構(gòu)造測(cè)試數(shù)據(jù)包，以測(cè)試IPv6防火墻和入侵檢測(cè)系統(tǒng)對(duì)各類型安全威脅的防護(hù)有效性。

2.1 IPv6隱蔽信道安全威脅

由于IPv6協(xié)議標(biāo)準(zhǔn)存在定義不嚴(yán)謹(jǐn)字段、保留字段等問題，威脅者可利用IPv6報(bào)頭構(gòu)建隱蔽信道。根據(jù)隱蔽信道構(gòu)建機(jī)制的不同，構(gòu)建了節(jié)點(diǎn)忽略模式、保留模式、定義不完整模式和誤用模式4種IPv6網(wǎng)絡(luò)隱蔽信道威脅［16］。

節(jié)點(diǎn)忽略模式分為分片標(biāo)識(shí)字段偽造、段剩余字段值調(diào)制、選項(xiàng)字段值調(diào)制和下一報(bào)頭字段值調(diào)制4種威脅。保留模式分為分片擴(kuò)展報(bào)頭保留字段嵌入和逐跳選項(xiàng)擴(kuò)展報(bào)頭保留字段嵌入2種威脅［17］。定義不完整模式分為流量類別定義不完整和流標(biāo)簽定義不完整2種威脅。誤用模式分為逐跳選項(xiàng)擴(kuò)展報(bào)頭PadN選項(xiàng)填充誤用和目的選項(xiàng)擴(kuò)展報(bào)頭PadN選項(xiàng)填充誤用2種威脅。

利用節(jié)點(diǎn)忽略模式、保留模式、定義不完整模式和誤用模式構(gòu)建IPv6隱蔽信道威脅的利用字段、構(gòu)建方式及防火墻和入侵檢測(cè)系統(tǒng)預(yù)期操作如表2所示。

2.2 IPv6鄰居發(fā)現(xiàn)協(xié)議安全威脅

IPv6鄰居發(fā)現(xiàn)協(xié)議威脅通過改變NDP協(xié)議中的參數(shù)字段來構(gòu)建安全威脅報(bào)文，通過分析將IPv6鄰居發(fā)現(xiàn)協(xié)議威脅分為路由器公告（router advertisement，RA）報(bào)文默認(rèn)路由欺騙威脅、RA報(bào)文跳數(shù)限制欺騙威脅、RA報(bào)文最大傳輸單元（maximum transmission unit，MTU）參數(shù)欺騙威脅、鄰居公告（neighbor advertisement，NA）報(bào)文欺騙威脅和鄰居請(qǐng)求（neighbor solicitation，NS）報(bào)文欺騙威脅5種，IPv6鄰居發(fā)現(xiàn)協(xié)議威脅的利用字段、構(gòu)建方式及防火墻和入侵檢測(cè)系統(tǒng)預(yù)期操作如表3所示［19］。

2.3 IPv6擴(kuò)展報(bào)頭安全威脅

IPv6擴(kuò)展報(bào)頭機(jī)制是IPv6協(xié)議的新特性之一，它使得IPv6功能的擴(kuò)展具有高度的靈活性和自主性，但也引入不少安全威脅［18］。

IPv6擴(kuò)展報(bào)頭安全威脅主要包含不符合RFC規(guī)范的IPv6報(bào)頭鏈、IPv6擴(kuò)展報(bào)頭選項(xiàng)威脅［20］。

2.3.1 不符合RFC規(guī)范的IPv6報(bào)頭鏈

IPv6協(xié)議中沒有對(duì)擴(kuò)展報(bào)頭的長度和數(shù)量進(jìn)行限制，但RFC 8200［19］對(duì)其提出了建議，故利用IPv6報(bào)頭（A）、逐跳選項(xiàng)擴(kuò)展報(bào)頭（B）、目的選項(xiàng)擴(kuò)展報(bào)頭（C）、路由擴(kuò)展報(bào)頭（D）和分片擴(kuò)展報(bào)頭（E）構(gòu)造了7種擴(kuò)展報(bào)頭組合，以檢測(cè)防火墻和入侵檢測(cè)系統(tǒng)是否按照RFC規(guī)范對(duì)IPv6報(bào)文進(jìn)行處理。IPv6報(bào)頭鏈組合類型、防火墻和入侵檢測(cè)系統(tǒng)的預(yù)期操作如表4所示。

2.3.2 IPv6擴(kuò)展報(bào)頭選項(xiàng)威脅

為指示路由類型，路由擴(kuò)展報(bào)頭中包含路由類型字段。威脅者可以利用路由擴(kuò)展報(bào)頭的類型0或其他類型路由報(bào)頭，在網(wǎng)絡(luò)中引起放大效應(yīng)，在RFC 5095［20］中，路由類型0的路由擴(kuò)展報(bào)頭被棄用。因此構(gòu)建了2種威脅數(shù)據(jù)包（如表5所示）以檢測(cè)防火墻和入侵檢

測(cè)系統(tǒng)對(duì)RFC 5095的支持程度和對(duì)路由擴(kuò)展報(bào)頭威脅的防護(hù)能力［21］。

未知擴(kuò)展報(bào)頭的傳輸可能會(huì)導(dǎo)致安全隱患，可能是格式錯(cuò)誤或威脅者精心制作的數(shù)據(jù)包的一部分，中間設(shè)備應(yīng)丟棄包含無法識(shí)別的擴(kuò)展報(bào)頭的整個(gè)數(shù)據(jù)包。故構(gòu)造了如表6所示的未知擴(kuò)展報(bào)頭報(bào)文以檢測(cè)IPv6防火墻和入侵檢測(cè)系統(tǒng)對(duì)未知擴(kuò)展報(bào)頭威脅的防護(hù)能力。

目的選項(xiàng)擴(kuò)展報(bào)頭與逐跳選項(xiàng)擴(kuò)展報(bào)頭擁有相同的選項(xiàng)結(jié)構(gòu)（type-length-value，TLV）。RFC 4942除了規(guī)范超大包（Jumbo）逐跳選項(xiàng)的使用外，還要求除Pad1與PadN選項(xiàng)類型外，其余選項(xiàng)類型只能出現(xiàn)一次。故構(gòu)造了如表7所示的選項(xiàng)組合，測(cè)試防火墻和入侵檢測(cè)系統(tǒng)對(duì)RFC4942［22］的支持程度和對(duì)選項(xiàng)類型威脅的防護(hù)能力。

3 基于多類型威脅的IPv6安全防護(hù)有效性檢測(cè)方法

由于目前的檢測(cè)技術(shù)［23］并沒有對(duì)防火墻IPv6防護(hù)能力進(jìn)行測(cè)試，且沒有對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行有效性分析，本文開發(fā)了基于多類型威脅的模糊測(cè)試框架，并提出了一種IPv6安全防護(hù)有效性檢測(cè)方法。

本節(jié)闡述所提檢測(cè)方法的總體架構(gòu)，并詳細(xì)描述模糊測(cè)試框架的測(cè)試用例構(gòu)造模塊和執(zhí)行測(cè)試模塊。

3.1 總體架構(gòu)

為了對(duì)IPv6防火墻和入侵檢測(cè)系統(tǒng)防護(hù)有效性進(jìn)行全過程分析，本文所提防護(hù)有效性檢測(cè)方法中連接通信模塊采用客戶端/服務(wù)器（C/S）模式，基于多類型威脅的模糊測(cè)試框架實(shí)現(xiàn)對(duì)IPv6防火墻和入侵檢測(cè)系統(tǒng)的有效性檢測(cè)，結(jié)果分析模塊對(duì)實(shí)驗(yàn)結(jié)果分析并回傳到客戶端，架構(gòu)總體結(jié)構(gòu)如圖1所示。

首先設(shè)計(jì)了連接通信模塊，采用客戶端/服務(wù)器的總體結(jié)構(gòu)使檢測(cè)結(jié)果準(zhǔn)確可靠，測(cè)試開始之前客戶端和服務(wù)器先建立連接，各個(gè)模塊在建立連接的基礎(chǔ)上進(jìn)行發(fā)送與接收的過程，能夠更加高效準(zhǔn)確地完成過程監(jiān)控與結(jié)果處理。

模糊測(cè)試框架作為核心模塊起著IPv6威脅發(fā)現(xiàn)和威脅測(cè)試的作用，首先對(duì)IPv6 RFC標(biāo)準(zhǔn)協(xié)議分析和對(duì)防火墻與入侵檢測(cè)系統(tǒng)進(jìn)行防護(hù)有效性分析，有針對(duì)性構(gòu)造不同威脅類型的測(cè)試用例數(shù)據(jù)包。之后將威脅數(shù)據(jù)包從客戶端發(fā)送至服務(wù)端對(duì)IPv6防火墻和入侵檢測(cè)系統(tǒng)進(jìn)行有效性測(cè)試。

結(jié)果分析模塊在模糊測(cè)試框架工作完成后向客戶端發(fā)送可視化的威脅數(shù)據(jù)包測(cè)試結(jié)果和測(cè)試報(bào)告日志，從報(bào)告日志可以分析出IPv6防火墻和入侵檢測(cè)系統(tǒng)對(duì)于IPv6安全威脅的防護(hù)能力。

3.2 模糊測(cè)試框架

模糊測(cè)試框架分為兩個(gè)組成部分，一部分為測(cè)試用例構(gòu)造模塊，另一部分為執(zhí)行測(cè)試模塊。

3.2.1 測(cè)試用例構(gòu)造模塊

測(cè)試用例構(gòu)造模塊先對(duì)IPv6歷史漏洞信息和IPv6 RFC標(biāo)準(zhǔn)進(jìn)行協(xié)議層面的分析，得到協(xié)議目前存在的缺陷和漏洞。之后對(duì)防火墻與入侵檢測(cè)系統(tǒng)進(jìn)行IPv6方面的管理配置和過濾規(guī)則防護(hù)有效性分析，找到兩種網(wǎng)絡(luò)安全設(shè)備可能存在的配置漏洞。

結(jié)合協(xié)議分析和防護(hù)有效性分析的結(jié)果，有針對(duì)性地構(gòu)造不同威脅類型的測(cè)試用例數(shù)據(jù)包，模塊結(jié)構(gòu)如圖2所示。

3.2.2 執(zhí)行測(cè)試模塊

執(zhí)行測(cè)試模塊通過客戶端發(fā)送載荷中嵌有“START”字符串的威脅數(shù)據(jù)包，服務(wù)端收到數(shù)據(jù)包后進(jìn)行分析，收到帶有“BYE”的數(shù)據(jù)包表示本次測(cè)試結(jié)束。如果服務(wù)端接收相應(yīng)的威脅數(shù)據(jù)包且入侵檢測(cè)系統(tǒng)沒有告警，說明構(gòu)造的威脅數(shù)據(jù)包成功穿透了IPv6防火墻，并且繞過了入侵檢測(cè)系統(tǒng)的審查，服務(wù)端返回本次測(cè)試的結(jié)果至客戶端。

為了保證服務(wù)端檢測(cè)分析的數(shù)據(jù)包是來自客戶端所發(fā)送的真實(shí)數(shù)據(jù)包，所有的數(shù)據(jù)包的載荷中都會(huì)包含一段“TestN”的字段（N是當(dāng)前模塊序列號(hào)）。服務(wù)端對(duì)每次收到的數(shù)據(jù)包進(jìn)行檢查，如果沒有該字段，則跳過當(dāng)前數(shù)據(jù)包去分析下一個(gè)數(shù)據(jù)包，如圖3所示。

4 測(cè)試及結(jié)果分析

本節(jié)介紹了測(cè)試方案和實(shí)際測(cè)試環(huán)境，展示了所提方法對(duì)典型IPv6防火墻和入侵檢測(cè)系統(tǒng)防護(hù)有效性的檢測(cè)效果，并對(duì)檢測(cè)結(jié)果進(jìn)行分析［24-26］。

4.1 測(cè)試方案與測(cè)試環(huán)境

本文搭建如圖4所示的IPv6網(wǎng)絡(luò)拓?fù)溥M(jìn)行測(cè)試。

客戶端主機(jī)運(yùn)行Ubuntu 18.04操作系統(tǒng)，配置為3.10 GHz英特爾酷睿i5-10500處理器、32 GB內(nèi)存。服務(wù)端主機(jī)運(yùn)行Ubuntu 18.04操作系統(tǒng)，配置為3.10 GHz英特爾酷睿i5-10500處理器、16 GB內(nèi)存。

待測(cè)試的防火墻版本分別為Windows Defender 4.12.16299.1004和Ubuntu UFW 0.36（ip6tables定制版），待測(cè)試的入侵檢測(cè)系統(tǒng)版本為Suricata 3.2。

對(duì)Windows Defender 4.12.16299.1004和Ubuntu UFW 0.36的訪問控制策略和Suricata 3.2的規(guī)則進(jìn)行配置，Windows Defender和UFW默認(rèn)允許正常的IP、ICMP、TCP、UDP數(shù)據(jù)包通過，Suricata使用默認(rèn)的威脅開放規(guī)則集。

4.2 有效性測(cè)試與結(jié)果分析

利用所提方法檢測(cè)IPv6防火墻和入侵檢測(cè)系統(tǒng)的防護(hù)有效性，在檢測(cè)過程中利用Wireshark數(shù)據(jù)包捕獲工具，實(shí)時(shí)捕獲IPv6數(shù)據(jù)包，利用捕獲的流量來分析檢測(cè)是否按照預(yù)期進(jìn)行，同時(shí)結(jié)合檢測(cè)結(jié)果說明本方法對(duì)IPv6防火墻和入侵檢測(cè)系統(tǒng)防護(hù)有效性檢測(cè)的結(jié)果是否有效。

4.2.1 IPv6隱蔽信道安全威脅測(cè)試

構(gòu)造保留模式、定義不完整模式、誤用模式和節(jié)點(diǎn)忽略模式4種模式的IPv6隱蔽信道威脅數(shù)據(jù)包，每種威脅類型數(shù)據(jù)包數(shù)量為20，對(duì)防火墻和入侵檢測(cè)系統(tǒng)進(jìn)行防護(hù)有效性檢測(cè)。

對(duì)于4種模式IPv6存儲(chǔ)型網(wǎng)絡(luò)隱蔽信道，由于利用IPv6報(bào)頭或IPv6擴(kuò)展報(bào)頭中某些字段作為嵌密載體來傳輸秘密信息，而防火墻能夠在網(wǎng)絡(luò)層進(jìn)行IPv6報(bào)文過濾，入侵檢測(cè)系統(tǒng)能配置規(guī)則對(duì)IPv6報(bào)文進(jìn)行字段級(jí)檢查，所以防火墻和入侵檢測(cè)系統(tǒng)應(yīng)該對(duì)存儲(chǔ)型隱蔽信道具備良好的檢查能力。

表8展示了Windows Defender、Ubuntu UFW防火墻攔截和Suricata入侵檢測(cè)系統(tǒng)告警的每類威脅數(shù)據(jù)包數(shù)量，可以看出IPv6隱蔽信道安全威脅都能被防火墻攔截和入侵檢測(cè)系統(tǒng)告警，測(cè)試結(jié)果符合預(yù)期結(jié)果，體現(xiàn)了網(wǎng)絡(luò)安全設(shè)備對(duì)IPv6隱蔽信道安全威脅的良好防護(hù)性能。

4.2.2 IPv6鄰居發(fā)現(xiàn)協(xié)議安全威脅測(cè)試

根據(jù)IPv6鄰居發(fā)現(xiàn)威脅實(shí)驗(yàn)結(jié)果（表8）來看，IPv6鄰居發(fā)現(xiàn)協(xié)議安全威脅無法被防火墻與入侵檢測(cè)系統(tǒng)攔截和告警。

NDP協(xié)議默認(rèn)鏈路節(jié)點(diǎn)可信，即默認(rèn)所有網(wǎng)絡(luò)節(jié)點(diǎn)均按照協(xié)議標(biāo)準(zhǔn)發(fā)送無異常的數(shù)據(jù)報(bào)文，利用該特性，惡意主機(jī)可利用NDP的漏洞發(fā)送偽造的惡意報(bào)文制造各種各樣的威脅，由于利用NDP協(xié)議構(gòu)建的威脅數(shù)據(jù)包對(duì)外表現(xiàn)均為正常數(shù)據(jù)包，防火墻和入侵檢測(cè)系統(tǒng)無法進(jìn)行攔截或告警，測(cè)試結(jié)果也符合預(yù)期，說明防火墻和入侵檢測(cè)系統(tǒng)需要加強(qiáng)對(duì)NDP協(xié)議威脅的防護(hù)。

4.2.3 IPv6擴(kuò)展報(bào)頭安全威脅測(cè)試

對(duì)不符合RFC規(guī)范的IPv6報(bào)頭鏈的檢測(cè)結(jié)果表明，兩種防火墻對(duì)擴(kuò)展報(bào)頭順序數(shù)量并沒有要求，但Suricata會(huì)對(duì)不符合RFC規(guī)范的IPv6報(bào)頭鏈數(shù)據(jù)包告警，該特性可能被用來對(duì)沒有配置入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)設(shè)備產(chǎn)生安全威脅。

對(duì)IPv6擴(kuò)展報(bào)頭選項(xiàng)威脅的測(cè)試結(jié)果表明，Suricata、Windows Defender和Ubuntu UFW檢測(cè)并攔截了未知類型擴(kuò)展報(bào)頭和路由類型為0的路由擴(kuò)展報(bào)頭的IPv6數(shù)據(jù)包。目的選項(xiàng)擴(kuò)展報(bào)頭和逐跳選項(xiàng)擴(kuò)展報(bào)頭攜帶的任意選項(xiàng)組合均能通過防火墻且躲過入侵檢測(cè)系統(tǒng)的監(jiān)控，由于中間節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)會(huì)對(duì)兩種擴(kuò)展報(bào)頭進(jìn)行處理，若不規(guī)范其報(bào)文選項(xiàng)，則威脅者可以利用這一弱點(diǎn)對(duì)傳輸路徑上的中間節(jié)點(diǎn)或目標(biāo)節(jié)點(diǎn)進(jìn)行拒絕服務(wù)。

4.3 防護(hù)能力對(duì)比

本文使用防火墻對(duì)威脅數(shù)據(jù)包的攔截率和入侵檢測(cè)系統(tǒng)的告警率，評(píng)價(jià)不同防火墻和入侵檢測(cè)系統(tǒng)對(duì)IPv6網(wǎng)絡(luò)威脅的防護(hù)能力。

表9對(duì)比了本文所提方法測(cè)得的兩種防火墻對(duì)IPv6網(wǎng)絡(luò)威脅的防護(hù)能力。實(shí)驗(yàn)結(jié)果表明，Windows Defender防火墻對(duì)IPv6網(wǎng)絡(luò)威脅的防護(hù)能力要稍弱于Ubuntu UFW，且Windows和Ubuntu系統(tǒng)在安裝Suricata入侵檢測(cè)系統(tǒng)后的防護(hù)能力都有小幅度的提高。這說明在日常網(wǎng)絡(luò)防護(hù)中需要防火墻和入侵檢測(cè)系統(tǒng)兩道防線的相互配合，才能達(dá)到有效防護(hù)IPv6網(wǎng)絡(luò)威脅的效果。

測(cè)試結(jié)果同時(shí)表明，本文所提方法可有效檢測(cè)出Windows Defender、Ubuntu UFW防火墻的IPv6網(wǎng)絡(luò)威脅防護(hù)薄弱點(diǎn)，后續(xù)可針對(duì)檢測(cè)出的薄弱點(diǎn)進(jìn)行改進(jìn)和修復(fù)。

4.4 檢測(cè)能力對(duì)比

本文使用對(duì)防火墻和入侵檢測(cè)系統(tǒng)的威脅測(cè)試類型和測(cè)試準(zhǔn)確度，評(píng)價(jià)不同檢測(cè)技術(shù)的檢測(cè)能力和防火墻對(duì)入侵檢測(cè)系統(tǒng)防護(hù)的有效性。

表10對(duì)比了本文所提方法與Firewalking等檢測(cè)方法對(duì)防火墻和入侵檢測(cè)系統(tǒng)防護(hù)能力。實(shí)驗(yàn)結(jié)果表明，本文所提方法采用C/S模式，對(duì)IPv6威脅進(jìn)行全面分析，比Firewalking、基于錯(cuò)誤數(shù)據(jù)包和基于端口掃描的檢測(cè)方法擁有更高的檢測(cè)準(zhǔn)確度，比基于多類型數(shù)據(jù)包的檢測(cè)方法擁有更加全面的威脅測(cè)試用例。測(cè)試結(jié)果同時(shí)也表明，本文所提方法還可對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行防護(hù)有效性檢測(cè)。

5 結(jié)束語

本文開發(fā)了基于多類型威脅的模糊檢測(cè)框架，提出了一種IPv6安全防護(hù)有效性檢測(cè)方法來檢測(cè)IPv6防火墻和入侵檢測(cè)系統(tǒng)在處理各種類型IPv6安全威脅數(shù)據(jù)包時(shí)所可能存在的安全問題，通過對(duì)Windows Defender 4.12.16299.1004、Ubuntu UFW 0.36防火墻和Suricata 3.2入侵檢測(cè)系統(tǒng)的檢測(cè)，證明了本方法相較于已有工作具有更高的檢測(cè)準(zhǔn)確度和更加全面的威脅測(cè)試用例，并且能夠?qū)θ肭謾z測(cè)系統(tǒng)防護(hù)有效性進(jìn)行檢測(cè)。

未來的研究工作是發(fā)現(xiàn)更多的IPv6防火墻和入侵檢測(cè)系統(tǒng)的防護(hù)薄弱點(diǎn)，構(gòu)建更加全面的IPv6威脅數(shù)據(jù)包檢測(cè)用例，對(duì)欺騙、后門、驗(yàn)證繞過和端口掃描等惡意行為的檢測(cè)也是后續(xù)的研究重點(diǎn)。

參考文獻(xiàn)：

［1］ GOLDSMITH D，SCHIFFMAN M.Firewalking ［EB/OL］.（1998-10-18） ［2022-11-20］.http∥packetfactory.openwall.net/projects/firewalk/firewalk-final.pdf.

［2］ ANTONIOS A．Fragmentation （overlapping） attacks one year later ［R］∥

IPv6 Security Summit.Heidelberg：Troopers，2013.

［3］ ANTONIOS A. Security impacts of abusing IPv6 extension headers［C］∥Proceedings of the Black Hat Security．London：Informa，2012：1-10．

［4］ ANTONIOS A．The impact of extension headers on IPv6 access control lists real-life use cases［R］∥IPv6 Security Summit.Heidelberg：Troopers，2016．

［5］ ANTONIOS A，REY E．Evasion of high-end IPS devices in the age of IPv6［C］∥Proceedings of the Black Hat Security EU．London：Informa，2014：1-20．

［6］ PHILIPPE B. Scapy ［EB/OL］. （2021-04-20）［2022-11-20］.http：∥www.secdev.org/projects/scapy/.

［7］ 辜苛峻， 張連成， 郭毅， 等. 基于多類型數(shù)據(jù)包的IPv6防火墻防護(hù)能力評(píng)測(cè)方法［J］. 計(jì)算機(jī)應(yīng)用研究， 2019， 36（7）： 2154-2158.

GU K J， ZHANG L C， GUO Y， et al. IPv6 firewall defensive capability testing method based on varied packets［J］. Application research of computers， 2019， 36（7）： 2154-2158.

［8］ 孫建平， 王振興， 張連成， 等. IPv6報(bào)頭安全威脅及檢測(cè)［J］. 計(jì)算機(jī)應(yīng)用研究， 2012， 29（4）： 1409-1412， 1416.

SUN J P， WANG Z X， ZHANG L C， et al. IPv6 packet header security threat and detection［J］. Application research of computers， 2012， 29（4）： 1409-1412， 1416.

［9］ 郭浩然， 王振興， 余沖， 等. 基于IPv6 報(bào)頭的隱蔽通道分析與防范［J］. 計(jì)算機(jī)工程， 2009， 35（14）：160-162， 165.

GUO H R， WANG Z X， YU C， et al. Analysis and preservation of covert channel based on IPv6 header［J］. Computer engineering， 2009， 35（14）：160-162， 165.

［10］楊智丹， 劉克勝， 李麗. IPv6中的網(wǎng)絡(luò)隱蔽通道技術(shù)研究［J］. 東南大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2007， 37（S1）： 141-148.

YANG Z D， LIU K S， LI L. Research on network-based covert channels in IPv6［J］. Journal of southeast university （natural science edition）， 2007， 37（S1）： 141-148.

［11］NAAGAS M A， MALICDEM A R， PALAOAG T D. DEH-DoSv6： a defendable security model against IPv6 extension headers denial of service attack［J］. Bulletin of electrical engineering and informatics， 2021， 10（1）： 274-282.

［12］JUNIPER N.IPv6 flow-based processing overview ［EB/OL］.（2022-10-18）［2022-11-20］.https：∥www.juniper.net/documentation/us/en/software/junos/flow-packet-processing/flow-packet-processing.pdf.

［13］GONT F， HILLIARD N， DRING G， et al. Operational implications of IPv6 packets with extension headers［EB/OL］.（2020-07-15）［2022-11-18］. https：∥datatracker.ietf.org/doc/draft-gont-v6ops-ipv6-ehs-packet-drops/04.

［14］WENDZEL S， ZANDER S， FECHNER B， et al. Pattern-based survey and categorization of network covert channel techniques［J］. ACM computing surveys， 2015， 47（3）： 1-26.

［15］MAVANI M， RAGHA L. Security implication and detection of threats due to manipulating IPv6 extension headers［C］∥Annual IEEE India Conference. Piscataway： IEEE Press， 2014： 1-6.

［16］HANSEN R A，GINO L，SAVIO D.Covert6：a tool to corroborate the existence of IPv6 covert channels［C］∥Annual Conference on Digital Forensics， Security and Law.Florida：ADFSL，2016：101-112.

［17］BARKER K. The security implications of IPv6［J］. Network security， 2013， 2013（6）： 5-9.

［18］CAICEDO C E， JOSHI J B D， TULADHAR S R. IPv6 security challenges［J］. Computer， 2009， 42（2）： 36-42.

［19］STEVE E D，ROBERT M H．RFC 8200，internet protocol，version 6 （IPv6） specification ［S］．Wilmington：IETF，2017．

［20］NEVILLENEIL G，SAVOLA P，ABLEY J．RFC 5095，deprecation of type 0 routing headers in IPv6 ［S］．Wilmington：IETF，2007．

［21］PARTRIDGE C， JACKSON A. RFC 2711， IPv6 router alert option［S］. Wilmington： IETF， 1999．

［22］DAVIES D．RFC4942，IPv6 transition/coexistence security considerations ［S］．Wilmington：IETF，2007.

［23］BDAIR A H，ABDULLAH R，MANICKAM S，et al．Brief of intrusion detection systems in detecting ICMPv6 attacks［C］∥Proceedings of the 6th International Conference on Computational Science and Technology．Berlin：Springer Press，2019：199-213．

［24］KITTAN K，SIEDLER S.ft6：Firewall tester for IPv6［EB/OL］.（2020-02-18） ［2022-11-20］.https∥redmine.cs.uni-potsdam.de/projects/ft6.

［25］VAIDYA A，KSHIRSAGAR D．Analysis of feature selection techniques to detect DoS attacks using rule-based classifiers ［C］∥Proceedings of International Conference on Communication Engineering and Technology．Singapore：Springer Press，2022：311-319．

［26］PRAJEESHA， SINHA K， TRIPATHI A， et al. Security detection module of IPv6 network［C］∥The 6th International Conference for Convergence in Technology. Piscataway：IEEE Press， 2021： 1-5.