（计算机软件与理论专业论文）ipv6环境下的入侵检测系统.pdf

摘要 学科专业：计算机软件与理论 论文题目：i p v 6 环境下的入侵检测系统 导师姓名：舒敏 硕士生姓名及班学号：张亚楠叭s 0 6 0 9 0 当网络安全越来越受到人们的重视之后，防火墙、入侵检测系统也得到越 来越广泛的研究与应用。而入侵检测系统可以弥补防火墙的不足，在花费不是 很大的前提下，实时地检测网络入侵行为，并且在发现入侵的初期就能够采取 相应的防护手段，是一种十分重要的网络安全技术。 下一代的网际协议1 p v 6 ，尚处于实验阶段，它不仅能够完美地解决i p 地址枯竭的问题，而且在网络的管理、控制、安全等许多性能上也比i p v 4 更为 强大、高效。因此，现在开发i p v 6 环境下的入侵检测系统是很有意义的。 本论文的主题是，i p v 6 环境下的新型的入侵检测技术，着重探讨如何检测 i p v 4 i p v 6 共存网络环境下的各种入侵。本论文主要涉及其中的四个模块：支持 i p v 4 i p v 6 双协议解析引擎模块、检测引擎预处理模块、基于i p v 6 的漏洞攻击特 征规则处理模块和检测引擎处理模块。 本论文首先在b 1 言部分介绍了项目的来源、背景以及国内外现状。 接下来，又介绍了i p v 6 协议和入侵检测系统：首先从介绍i p v 6 与i p v 4 的 主要区别入手，然后较详细地讲述了i p v 6 的寻址及安全体系结构，并讨论了i p v 4 向i p v 6 过渡的策略以及i p v 6 的发展状况和发展方向；其次，又从入侵检测系统 的概念、发展历程、体系结构及技术分类等方面，概述了入侵检测技术。 在以上技术背景的铺垫下，才展开了对上述四个模块的需求分析和详细设 计的讨论。在需求分析中，详细地分析了各个模块的功能、数据结构以及予模 块的划分情况；在详细设计中，则对各个模块中比较重要的函数一一作了详细 地介绍，并给出了函数流程图或者源程序。 其中比较有特色的是双协议解析引擎的设计和i p v 6 漏洞攻击特征规则 库的建立。i p v 4 i p v 6 双协议解析引擎可以准确方便地解析i p v 6o v e ri p v 4 和i p v 4 o v e ri p v 6 的隧道数掘包。 上面所谈的内容简要地概括了本论文的意义、目标、主要内容和特色。 关键词：i p v 6 协议、入侵检测系统、模式匹配 a b s t r a c t d i s c i p l i n es p e c i a l i t y ：c o m p u t e rs o f t w a r ea n dt h e o r y t o p i c o f t h et h e s i s ：i n t r u s i o nd e t e c t i o ns y s t e mu n d e r i p v 6e n v i r o n m e n t t e a c h e r sn a r n e ：s h u m i n m a s t e r sn a m e & c l a s s s t u d e n tn u m b e r ：z h a n g y a n a n0 1s 0 6 0 9 0 w h e nt h en e t w o r ks e c u r i t yb e c o m e sm o r ea n dm o r ei m p o r t a n tt oa l lk i n d so f p e o p l e ， t h et e c h n o l o g yo ff i r e w a l la n di d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) h a v eb e e nm o r ea n d m o r ew i d e l ys t u d i e da n da p p l i e d 1 d sc a nr e m e d yt h es h o r t c o m i n go ft h ef i r e w a l l ， t h a ti s ，i tc a nd e t e c tt h ei n t r u s i o nb e h a v i o rf r o mt h en e t w o r kw i t hl e s se x p e n s i v ec o s t a n da d o p tt h ep r o t e c t i v em e t h o da tt h eb e g i n n i n go ft h ei n t r u s i o n i naw o r d ，t h e i n t r u s i o nd e t e c t i o ni sak i n do f v e r yi m p o r t a n ts e c u r i t yt e c h n o l o g yo fn e t w o r k a st h en e x tg e n e r a t i o no fi n t e m e tp r o t o c o l ，i p v 6n o to n l yc a np e r f e c t l ys o l v et h e p r o b l e mt h a ti pa d d r e s sw i l lb ee x h a u s t e dv e r yf a s t ，b u ta l s oi ss t r o n g e ra n dm o r e e f f i c i e n tt h a ni p v 4o ns u c hal o to fp e r f o r m a n c ea st h em a n a g e m e n t ，c o n t r o l s ，n e t w o r ks e c u r i t y , e t c b u ti ti ss t i l li nt h ee x p e r i m e n t a lp h a s en o w t h e r e f o r ei ti sv e r y m e a n i n g f u lt od e v e l o p t h ei n t r u s i o nd e t e c t i o ns y s t e mu n d e ri p v 6e n v i r o n m e n tn o w t h et h e m eo ft h i st h e s i si st h en e w t y p ei n t r u s i o nd e t e c t i o nt e c h n i q u eu n d e ri p v 6 e n v i r o n m e n t i td i s c u s s e s e m p h a t i c a l l yh o wt o d e t e c tv a r i o u sk i n d so fn e t w o r k i n t r u s i o nu n d e rt h ee n v i r o n m e n tt h a ti p v 4 i p v 6c o e x i s t s t l l i st h e s i si sm a i n l yi n v o l v e di nf o u rm o d u l e sl i s t e db e l o w ： t h em o d u l e o f p r o t o c o la n a l y s i se n g i n es u p p o r t i n gb o t h 口v 4 a n di p v 6 t h em o d u l e o f p r e p r o c e s s o r o f d e t e c t i o n e n g i n e t h em o d u l eo fd i s p o s a lo fc h a r a c t e r i s t i cr u l e sb a s e do nt h ea t t a c k so fi p v 6 l o o p h o l e s t h em o d u l eo f d e t e c t i o n e n g i n e f i r s t l y , n i st h e s i si n t r o d u c e ss o u r c e b a c k g r o u n da n dd o m e s t i ca n di n t e r n a t i o n a l c u r r e n ts i t u a t i o no ft h ep r o j e c ti nt h ep a r to f t h ef o r e w o r d s e c o n d l y , t h i st h e s i si n t r o d u c e sl p v 6p r o t o c o la n di d sa l s o f r o mp r e s e n t i n gm a i n d i f f e r e n c eb e t w e e ni p v 6a n di p v 4t os t a r tw i t ha tf i r s t ，t h e ni tt e l l si p v 6a d d r e s s i n g a r c h i t e c t u r ea n ds e c u r i t ya r c h i t e c t u r ei nd e t a i l a n dt h e ni ta l s od i s c u s s e st h et a c t i c s t h a ti p v 4c a r r i e so b tt h et r a n s i t i o nt oi p v 6a sw e l la st h es t a t eo f d e v e l o p m e n t o fi p v 6 a n di t sd e v e l o p i n gd i r e c t i o n a n dt h e nt h i st h e s i ss u m m a r i z e st h et e c h n o l o g yo fi d s i i f r o mt h e r e s p e c t o ft h ec o n c e p t ，d e v e l o p m e n tc o u p e ，a r c h i t e c t u r ea n dt e c h n i c a l c l a s s i f i c a t i o no f i d s t h i r d l y , b a s e do n t h ea b o v et e c h n i c a lb a c k g r o u n d ，t h i st h e s i sl a u n c h e st h ed i s c u s s i o n a b o u tt h ed e m a n da n a l y s i sa n dt h ed e t a i l e dd e s i g no ft h ef o u rm o d u l e sm e n t i o n e d a b o v ei nt h ep a r to fd e m a n da n a l y s i s ，i ta n a l y s e st h ef u n c t i o no fe a c hm o d u l e ，t h e d a t as t r u c t u r e sa n dt h ed i v i s i o no ft h es u bm o d u l e i nt h ep a r to fd e t a i l e dd e s i g n ，i t i n t r o d u c e si nd e t a i ls o m em o r ei m p o r t a n tf u n c t i o n si ne a c hm o d u l eo n eb yo n e ，a n di t p r o v i d e s t h ef l o wc h a r to ff u n c t i o n so rt h es o u r c ep r o g r a ma l s o a m o n gt h e mt h em o r ec h a r a c t e r i s t i c o n ei st h ed e s i g no ft h e b i p r o t o c o la n a l y s i s e n g i n ea n dt h es e t t i n g u p o ft h ew a r e h o u s ew i t hc h a r a c t e r i s t i cr u l e sb a s e do nt h e a t t a c k so fi p v 6l o o p h o l e s t h eb i p r o t o c o la n a l y s i se n g i n ec a na c c u r a t e l y a n d c o n v e n i e n t l ya n a l y z e st h et u n n e ld a t a p a c k a g eo f i p v 6o v e ri p v 4a n di p v 4o v e ri p v 6 i naw o r d ，t h ec o n t e n td i s c u s s e da b o v eh a ss u m m a r i z e dt h em e a n i n g ，g o a l ，m a i n c o n t e n ta n dc h a r a c t e r i s t i co f t h i st h e s i sb r i e f l y k e y w o r d s ：i p v 6p r o t o c o l ，i n t r u s i o nd e t e c t i o ns y s t e m ，p a t t e r nm a t c h i n g 1 1 1 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：塑叠日期：扣啤年f 2 月j r 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：数缝 导师签名： 日期：j o 4 年阻月j r 日 第一章引言 1 1 课题背景 第一章引言 ( i p v 6 环境下的入侵检测系统，是电子科技大学网络安全研究所受国家计 算机网络与信息安全管理中心的委托而开发的，软件名称为：n e t n u m e n ，课题 编号为：2 0 0 4 研1 9 1 7 c 0 1 9 。 入侵检测技术是一项十分重要的网络安全技术，而i p v 6 作为下一代的网际 协议，必将经历与i p v 4 长期共存并最终完全取代i p v 4 的发展过程，而且，目前 i p v 6 正处于实验阶段，支持i p v 6 的各种软硬件产品的研制与开发方兴未艾，因 此，现在将此二者结合，开发i p v 6 环境下的入侵检测系统就具有十分重要的现 实和理论意义。 近些年来，当网络安全越来越受到人们的重视之后，防火墙( f i r e w a l l ) 、入 侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 也得到越来越广泛的研究、发展 与应用。 入侵检测系统：( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是监视计算机网络的系 统，其主要功能是寻找入侵( 未授权用户) 或误用( 越权的授权用户) 的特征。 入侵行为可以定义为，企图绕过主机或系统的安全机制，危害主机、网络或系 统的机密性、完整性、可用性的各种行为，入侵检测的实质就是监视并分 析主机或网络中入侵行为发生的处理过程。 而防火墙是指，设置在不同网络( 如可信任的内部网和不可信的公共网) 或网络安全域之间的一个或一组实施访问控制策略的系统。它可以通过监测、 限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构 和运行状况，以此来防止非法用户访问内部网络上的资源和非法向外传递内部 信息，同时也防止因这类非法和恶意的网络行为而导致内部网络运行遭到破坏， 从而实现对网络的安全保护。 相较之下，人们往往会认为防火墙的功能更为强大，可以保护处于其后的 网络不受外界的侵袭，但是，传统防火墙也因此优点而产生了其自身难以克服 的不足之处，即缺乏实时监控的能力和高昂的成本。而入侵检测系统却可以弥 补这些不足，实现在花费不是很大的前提下，实时地检测网络入侵，并且可以 在发现入侵的初期采取相应的防护手段。更重要的是，入侵检测不仅可以检测 外部入侵，而且对内部的滥用行为也有很好的检测能力。它可以识别非授权的 非法用户和授权滥用的合法用户，可以检测非授权者对系统文件、用户的文件 和信息等资源的修改和使用。 i p v 6 环境下的入侵检测系统 从入侵检测概念的出现到现在，入侵检测系统已经经历了三代：第一代入 侵检测系统，是集成在操作系统中的，它通过事后处理审计日志来发现攻击行 为；第二代入侵检测系统的思想，是1 9 8 7 年d e n n i n g 在自己的论文“a n i n t r u s i o n d e t e c t i o nm o d e l ”中提出的，它是基于主机的系统，具有灵活的实现方法，从而 大大地提高了检测的质量，其中有代表性的产品是t r i p w i r e 、s e l f - n o n s e l f 、 n i d e s 、p a t t e mm a t c h i n g 、m i d a s 和s t a t 等；第三代入侵检测系统将第二代 的基本概念扩展到网络上，形成基于多主机的入侵检测系统，其中包括d i d s 、 n a d i r 、n s t a t 、g r i d s 、e m e r a l d 等产品。经过近几年的发展，i d s 产品开 始步入一个快速的成长期，网络用户也开始认可1 d s 在网络安全防御中不可替 代的作用。目前，入侵检测系统己形成的系列产品有：s r i 的i d e s 、n i d e s ， i s s 的r e a l s e c u r e ，a b i r n e l 的s e s s i o n w a l l ，i b m 的i e r s ，c i s c o 公司的n e t r a n g e r ， n e t w o r ka s s o c i a t e s 公司的c y b e r c o p ，i n t r u s i o nd e t e c t i o n 公司的k a n es e c u r i t y m o n f f o r ，a n z e n 的n f r 等。 总的说来，虽然入侵检测技术已发展了2 0 多年，但由于其难度较大，现有 的入侵检测系统仍然不够成熟，其快速性和准确性仍然存在问题，而且没有对 i p v 6 的支持。 正如本章开始时所讲的，虽然i p v 6 的基本框架已逐步成熟，并得到了越来 越广泛的实践和研究，但是它目前仍处于实验阶段。 1 9 9 6 年，国际i p v 6 的试验网络6 b o n e 才被正式创建，现在此试验网络 已经扩展到全球5 0 多个国家和地区。在我国，c 矾e t 国家网络中心于1 9 9 8 年6 月加入6 b o n e ，同年“月成为6 b o n e 的主干成员；在2 0 0 4 中国教育信息化 论坛开幕仪式上，我国第一个i p v 6 主干网c e r n e t 2 试验网才正式开通并提供 服务。 目前，国内外各大互联网技术研究机构以及各大通信设备厂商所开发出的 支持i p v 6 的软硬件产品还属于初期产品，如日本、欧洲、美国的各大通信设备 厂商推出的支持i p v 6 的路由器系列产品和对i p v 6 全面支持的主流操作系统 w i n d o w sx p 、w i n d o w s2 0 0 3 、l i n u x 等。 综上所述，可以得到下面的结论现在开发i p v 6 环境下的入侵检测系统 是十分必要和及时的。 1 2 作者的主要工作 i p v 6 环境下的入侵检测系统主要研究的是i p v 6 环境下新型的入侵检测 技术，特别着重研究的是，如何检测i p v 4 i p v 6 共存网络环境下的各种网络入侵， 以及高速网络数据采集技术，设计和开发在发现入侵后的主动响应和入侵防御 第一章引言 功能。 其中，作者做的具体的工作是：支持i p v 4 i p v 6 双协议的解析引擎模块、检 测引擎预处理模块、基于i p v 6 的漏洞攻击特征规则处理模块和检测引擎处理模 块的需求分析、设计和实现，这些都属于支持l p v 4 i p v 6 协议的入侵检测系统框 架结构。 1 3 本文的章节安排 第一章，引言。简介课题的来源和背景，作者所做的具体工作和章节安排。 第二章，l p v 6 及入侵检测系统的技术概述。作者首先从介绍i p v 6 与i p v 4 的主要区别入手，然后较详细地讲述了i p v 6 的寻址体系结构和安全体系结构， 并讨论了i p v 4 向i p v 6 的过渡策略以及i p v 6 的发展状况和方向。 其次，又从入侵检测的概念、入侵检测的发展历程、入侵检测的体系结构， 以及入侵检测的技术分类等方面，讨论了入侵检测技术。 第三章，i p v 6 环境下的入侵检测系统需求分析。从功能需求分析、数据结 构设计和模块分析等三方面，详细地说明双协议解析引擎模块、检测引擎预处 理模块、1 p v 6 漏洞攻击特征研究及漏洞攻击特征规则处理、检测引擎处理模块 的需求分析。 第四章，i p v 6 环境下的入侵检测系统设计实现。从功能、输入项、输出项、 接口、程序流程等几仑方面来说明协议解析引擎模块、预处理模块、漏洞攻击 特征规则处理、检测模块的需求分析的详细设计方案，对几个较为重要的模块 还给出了源程序。 第五章，总结。 i p v 6 环境下的入侵检测系统 第二章i p v 6 及入侵检测系统的技术概述 2 1 新一代的网际协议i p v 6 近些年来，i n t e m e t 的用户爆炸性地增长，虽然主流的i p 协议i p v 4 的地址位有 3 2 位，可以包含4 0 亿的主机数量，但实际上可以有效分配的地址却远远小于这 一数目，其主因是i p v 4 地址以a 、b 、c 等类别的人为划分，造成了大量i p 地址的 浪费，专家预计，若以现在的这种地址消耗速度，那么，至f 1 2 0 0 5 年左右i p 地址将 全部被耗尽；虽然网络地址转换( n e t w o r k a d d r e s st r a n s l a t i o n ，n a t ) 等技术的 广泛使用，大大减缓t i p 地址枯竭的速度，但是，这种技术破坏了i p 协议端到端 ( e n d q o e n d ) 的基本原则，在很大程度上破坏了i n t e m e t 的授权和鉴定机制，同 时也无法从根本上彻底解决i p 地址枯竭的问题；此外，越来越多的商业机构和政 府部门都希望自己在网络上传送的敏感信息，不会被非授权者截获，而i p v 4 在设 计之初，是基于可信任的内部网，基本忽略了网络本身的安全性，认为应把安 全性的责任交给应用层考虑，由此导致了在低层的网络协议栈上不具备安全保 障的弊病，而i p v 6 正是为了解决这些问题应运而生的。 i p v 6 采用了1 2 8 位的地址空间，彻底地解决了i p v 4 地址不足的问题。而且， 为了加强安全性，i p v 6 中定义了a h ( a u t h e n t i c a t i o n h e a d e r ，认证报头) 和e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，封装安全有效净荷) ，在i p v 6 数据报的首部格式 中，用固定格式的扩展首部取代了i p v 4 中可变长的选项字段，使在i p v 4 中仅仅作 为选项使用的i p s e c ( i p s e c u r i t y ) 协议，成为i p v 6 的有机组成部分，成为i p v 6 协 议族的一个子集，对所有i p v 6 网络结点，i p s e c 是强制实现的。i p s e c 提供了三种 安全机制：加密、认证和完整性。加密是通过对数据进行编码来保证数据的机 密性，以防数据在传输过程中被他人截获而失密：认证使得l p 通信的数据接收方 能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动；完整性 能够可靠地确定数据在从源至0 目的地传送的过程中没有被修改。所以，一个i p v 6 端到端的传送在理论上至少是安全的，其数据加密以及身份认证的机制使得敏 感数据可以在i p v 6 网络上安全地传递，并且避免了n a t ( 网络地址转换) 的弊病。 2 1 1i p v 4 和i p v 6 的主要区别 实践表明，i p v 6 网络协议不仅完美地解决了网络i p 地址枯竭的问题，而且 在网络的管理、运行、控制、处理等许多性能上比i p v 4 更为强大、高效。l p v 4 和l p v 6 的一些比较显著的区别，可见于表2 - 1 中。 4 第二章i p v 6 及入侵检测系统的技术概述 表2 - 1i p v 4 和i p v 6 的主要差别 i p v 4 i p v 6 地址长度3 2 位地址长度1 2 8 位 i p s e c 为可选扩展协议i p s e c 成为i p v 6 的组成部分，对i p s e c 的支持是必须的 数据报头中没有支持q o s 的数据基本报头中的流标识字段提供数据流识别功能，支持不 流识别项同类型的q o s 要求 由路由器和发送主机两者来完成路由器不再做分段工作，分段仅由发送主机进行 分段 报头包括完整性检查和报头不包括完整性检查和 报头中包含可选项所有可选内容全部移至扩展报头中 a r p 协议使用广播a r p 请求帧对邻居发现报文替代了a r p 请求帧 i p v 4 地址进行解析 i g m p 协议用于管理本地子网成员由m l d 报文替代i g m p 管理本地子网 i c m p 路由器发现为可选协议，用i c m p v 6 路由器请求和路由器发布报文为必选协议 于确定最佳默认网关的i p v 4 地址 使用广播地址发送数据流至于网i p v 6 不再有广播地址，而是使用面向链路局部范围内 所有结点所有结点的组播地址 地址配置方式为手工操作或通过地址自动配置 d h c p 协议 在d n s 服务器中，l p v 4 主机名称i p v 6 主机名称与地址的映射使用新的a 6 资源记录类型 与地址的映射使用a 资源记录类来建立 型来建立 i n - a d d r a r p a 域提供i p v 4 地址i p 6 i n t 域提供1 p v 6 的地址主机名解析服务 主机名解析服务 支持5 7 6 字节数据包( 可能经过分支持1 2 8 0 字节数据包( 不分段) 段) i p v 6 在i p v 4 的基础上新增了很多功能以适应未来发展的需要。这些功能是： 2 1 1 1 地址空间的扩展 网络地址长度不同。i p v 6 采用1 2 8 位地址长度，是i p v 4 的四倍。从理论上 可以拥有2 12 8 ，直观的就是1 0 3 8 之多的地址。所以，这是一个巨大的地址空间； i p v 6 环境f 的入侵检测系统 2 1 1 2 网络整体吞吐量的提升 i p v 6 的基本报头格式比i p v 4 简单得多。i p v 4 中有1 0 个固定长度的域、2 个地址空间和若干个选项，而i p v 6 中只有6 个域和2 个地址空间。虽然i p v 6 基 本报头共占4 0 字节，而i p v 4 的报头只占2 4 字节，但因其长度固定，所以不需 要消耗过多的内存，加快了路由器处理数据包的速度，提高了转发效率；同时， 1 p v 6 在设计上改进了选路结构，从而提高了网络的整体吞吐量。 2 1 1 3 可靠的安全功能保障 i e t f 研制的用于保护i p 通信的l p 安全( i p s e c u r i t y ，i p s e c ) 协议，已经成 为i p v 6 的有机组成部分，所有的i p v 6 网络结点必须强制实现这套协议。因此， 建立起来的一个i p v 6 端到端的连接，是有安全保障的通过对通信端的验证 和对数据的加密保护，可以使数据在i p v 6 网络上安全地传输。 2 1 1 4 网络服务质量保障 在一定的网络带宽下，要提高网络服务的质量，就要对网络服务实行差别 管理，即在现有网络条件下，对不同网络服务按照服务量的类型和级别加以区 分，并能够依次对各级别进行智能化处理，这就是q o s ( q u a l i t yo f s e r v e ) 网络 技术。i p 的q o s 即是指i p 的服务质量i p 数据报文流通过网络时的性能指标。 它有一套度量指标，包括服务可用性、延迟、丢包率和吞吐量等，其目的就是 向用户提供端到端的服务质量保证。 在i p v 6 基本报头中定义了通信流类型和流标识这两个新增字段，利用这两 个字段，通过路由器的配置，就可以实现优先级控制和q o s 保障，极大地 改善了i p v 6 的服务质量。 2 1 1 5 即插即用功能的实现 在i p v 6 中，采用了许多新的技术，比如：邻居发现、结点自动配置、路由 器宣告、路由器请求、最大传输单元发现等，实现了i p v 6 网络的自动发现及其 自动配置等功能，从而简化了网络的配置、维护和管理，实现了“即插即用” 功能。 2 ，1 1 6 移动性能的改进 设备接入网络时，通过自动配置可以自动获取i p 地址和必要的参数，实现 “即插即用”，简化了网络管理，易于支持移动结点。此外，i p v 6 不仅从i p v 4 中 借鉴了许多概念和思路，而且还定义了许多移动i p v 6 所需要的新功能，可以将 其统称为邻居结点的搜索，可以直接为移动i p v 6 提供所需的功能。 第二章i p v 6 及入侵检测系统的技术概述 2 1 1 7i c m p 协议的改进 在i p v 6 中，i c m p 协议，即i n t e r n e t 控制消息协议( i n t e r n e tc o n t r o lm e s s a g e p r o t o c 0 1 i c m p ) 已经有了很大的改进和变化，它具备了i p v 4 中的i c m p 的所有 基本功能，舍弃了一些过时的消息类型，集成以下协议功能：i c m p ，i n t e m e t 控制消息协议版本4 ；i g m p ，组成员协议；a r p ，地址解析协议，形成了i c m p v 6 ， i n t e r n e t 控制消息协议版本6 。目前，i c m p v 6 实现的主要功能是：错误报告；网 络诊断：邻居发现；多播实现。 下面，主要从i p v 6 的地址特点和安全功能等方面介绍i p v 6 的新特点。 2 1 2i p v 6 的寻址体系结构 i p v 6 地址为接口和接口组指定了1 2 8 位的标识符。有三种地址类型：单播 ( u n i c a s t ) 、组播( m u l t i c a s t ) 永l 任播( a n y c a s t ) 。 下面将从以下几个方面介绍i p v 6 的寻址体系结构：地址的表达方式：地址 类型；寻址模型；地址分配：几种特殊的单播地址；广播的消失；组播，从中 可以看出，i p v 6 的整个寻址体系结构的特点和优点，不仅体现在提高地址分配 的效率上，同时也体现在提高i p 选路性能上。 2 1 ，2 1 地址表达方式 i p v 4 地址最常用的表示法是点分十进制表示法，即将3 2 位二进制i p 地址 分成4 段，段间由小数点分隔，每段8 位，用十进制表示。例如，下面是一些 合法的i p v 4 地址：2 1 0 1 1 4 2 0 2 1 6 ；1 2 6 6 9 ；2 0 2 1 1 1 2 3 2 1 0 5 。 i p v 6 地址长度是i p v 4 的4 倍，若仍用点分十进制来表示，便无法达到简洁、 有效的目的，所以，i p v 6 地址的基本表达方式是冒号十六进制：x ：x ：x ：x ：x ：x ： x ：x ，即将1 2 8 比特位的地址分成8 段，段间由冒号分隔，每段( x ) 是4 位十 六进制数，每位十六进制数包含4 比特位，所有字段中前面的0 可以不写，每 段至少有一位数字。例如，下面是一些合法的i p v 6 地址： c d c d ：9 1 0 a ：2 2 2 2 ：5 4 9 8 ：8 4 7 5 ：1 1 1 1 ：3 9 0 0 ：2 0 2 0 1 0 3 0 ：o ：0 ：o ：c 9 8 4 ：f f l 2 ：4 8 a a ：1 a 2 b lo ：o ：o ：0 ：o ：o ：o ：1 为了更简洁地表达i p v 6 的地址，可以采用压缩表示法：指定一个特殊的语 法来压缩d ：，即使用“：”符号来表示有多个0 值的1 6 位字段，该符号在一个 地址中只能出现一次，可以出现在中问，也可以出现在尾部。例如，地址 1 0 3 0 ：o ：o ：o ：c 9 8 4 ：f f l 2 ：4 8 a a ：1 a 2 b 可以压缩为1 0 3 0 ：c 9 8 4 ：f f l 2 ：4 8 a a ：1 a 2 b 。 此外，在i p v 4 和i p v 6 共存的环境中，还有第三种表示法，以便更容易地区 i p v 6 环境下的入侵检测系统 分i p v 4 和i p v 6 的地址。i p v 6 地址中的最低3 2 位用点分十进制表示，高9 6 位用 冒号十六进制表示：x ：x ：x ：x ：x ：x ：d d d d ，其中x 是表示1 6 比特位的十六 进制数，而d 是表示8 比特位的十迸制整数。例如，地址o ：o ：o ：0 ：o ：o ：1 2 6 6 9 就 是一个合法的i p v 4 地址，该地址也可以表示成：1 2 6 6 9 。 由于i p v 6 的地址被分成两个部分子网前缀和接口标识符，其中的子网 前缀代替了i p v 4 中的子网掩码的概念，并按照类似c i d r 的地址表示方式，形 成了i p v 6 地址前缀表示法：i p v 6 地址前缀长度。其中的i p v 6 地址是指一个任 何形式的i p v 6 地址，一般用十六进制值，而前缀长度则是指地址最左边的连续 位组成前缀的长度，一般用十进制值，表达的是网络。例如： 1 0 3 0 ：0 ：0 ：0 ：c 9 8 4 ：f f l 2 ：4 8 a a ：1 a 2 b 6 0 这个地址中用于选路的前缀长度为6 0 位， 是1 0 3 0 0 0 0 0 0 0 0 0 0 0 0 ( 十六进制) 。 2 1 2 2 地址类型 i p v 6 的地址可分成三类：单播、组播和任播地址。广播地址已不再有效。 1 单播地址：也称作u n i c a s t 地址。是某一单个接口的标识符，发向一个 单播地址的包将被传送到该地址所指向的网络接口上。 2 组播地址：也称作m u l t i c a s t 地址。是属于不同网络结点的组接口的标 识符，发向一个组播地址的包将被传送到该地址标识的所有接口上。 3 任播地址：也称作a n y c a s t 地址。是属于不同网络结点的一组接口的标 识符，发向一个任播地址的包将被传送到该地址标识的接口之一( 按照选路协议 中定义的距离计算方法，选择距离“最近”的一个接口) 。 2 1 2 _ 3 寻址模型 在r f e2 3 7 4 中规定，一个i p v 6 的单播地址是分配给一个网络接口的，而不 是i p v 4 中的网络结点。在i p v 6 中规定，网络接口是从属于网络结点的，一个结点 可以有多个接口，其单播地址中的任何一个都可以用作该结点的标识符。 任何一个接口都至少需要一个链路本地单播地址，并且可以为一个单接口 指定任何类型的多个1 p v 6 地址( 单播、组播、任播) 或范围。 这里有一个非常重要的声明，这个声明与点到点链路的使用有关。在i p v 4 中，所有的网络接口，其中包括连接一个结点与路由器的点到点链路，都需要 一个专用的l p 地址。随着许多机构开始使用点到点链路来连接其分支机构，每条 链路均需要其自己的子网，这样一来消耗了许多地址空间。在i p v 6 中，如果点到 点链路的任何一个端点都不需要从非邻居结点接受和发送数据的话，它们就可 以不需要特殊的地址。 在i p v 4 的时代，一个提供通用服务的服务器在高需求量的情况下可能会崩 第二章i p v 6 及入侵检测系统的技术概述 溃，因为i p v 4 无法满足为每个网络接口分配一个全球唯一的单播地址的要求， 从而使得i p v 6 替代i p v 4 成为必然。因此，i p v 6 地址模型中又提出了一个重要的 例外：如果硬件有能力在多个网络接口上正确地共享其网络负载的话，那么多 个网络接口可以共享一个i p v 6 地址。这使得从服务器扩展至负载分担的服务器 群成为可能，而不再需要在服务器的需求量上升时必须进行硬件升级。 2 1 24 地址分配 i p v 6 的1 2 8 位的地址形成了一个巨大的地址空间，由于指定和路由的需要， 此地址空间呈现出层次状的结构，从而降低了利用地址空间的有效性。目前， 在实际的最初分配中，只分配了1 5 的地址空间，另外8 5 则留做将来使用。 在r f c 2 3 7 3 中，就描绘了一个i p v 6 地址空间“图”，即目前的一个总体上 的地址分配方案，包括：已分配的地址类型及其相应的前缀和占用空间的百分 率。 在i p v 6 地址分配中需要注意几点。首先，在r f c l 8 8 4 中，地址空间的四分 之一被用于两类不同地址：八分之一是基于供应商的单播地址，而另八分之一 是基于地理位置的单播地址。s t e v ed e a r i n g 提议把基于地理位置的地址分配方法 作为s i p 中的一种办法。这些地址与基于供应商的地址不同，以一种非常类似 i p v 4 的方法分配地址。这些地址与地理位置有关，且供应商将不得不保留额外 的路由器来支持i p v 6 地址空间中可集聚部分外的这些网络。尽管i p v 6 对于自动 配置功能有着更好的支持，但并没有将地理位置的分配方法最终融合进去。 2 1 2 5 几种特殊的单播地址 1 来指定地址 ( 1 ) 表现形式：0 ：0 ：0 ：0 ：0 ：0 ：0 ：0 ，或：。 ( 2 ) 主要作用：在初使化主机时，也即主机尚未取得自己的地址之前，可 将所有待发送的i p v 6 包的源地址表示为：。 ( 3 ) 备注：未指定地址不能用作目的地址，也不能用在i p v 6 的路由报头中。 2 返回地址 ( 1 ) 表现形式：0 ：0 ：0 ：0 ：0 ：0 ：0 ：l ，或：1 。 ( 2 ) 主要作用：类似于i p v 4 的1 2 7 0 o 1 ，用来向自身发送i p v 6 包。 ( 3 ) 备注：返回地址不能被分配给任何物理接口，并且目标地址标识为返 回地址的报文不能发送到单结点之外，i p v 6 路由器也不能转发这样的包。 3 嵌有i p v 4 地址的i p v 6 地址 ( 1 ) 表现形式：可以分成两大类。 第一种地址类型i p v 4 兼容的i p v 6 地址，具体格式如下图： 9 i p v 6 环境下的入侵检测系统 i 8 0 位 i | 1 6 位1 13 2 位l h 一一一一一一 + 一+ + 一一+ 1 0 0 0 0 0 0 0 0 l1 0 0 0 0 ili p v 4 地址i 图2 - 1i p v 4 兼容的i p v 6 地址 第二种地址类型i p v 4 映射的i p v 6 地址，具体格式如下图； i8 0 位1 6 位l 3 2 位l + 一一一+ + 一一十+ 一- + 1 0 0 0 0 0 0 0 0 1i f f f f ill p v 4 地址i 图2 - 2l p v 4 映射的i p v 6 地址 这种地址表示只支持i p v 4 ，而不支持i p v 6 结点的i p v 6 地址。 ( 2 ) 主要作用：主要用于i p v 4 与i p v 6 大量共存的阶段，也是i p v 6 过渡机 制中的一种技术；此外，它还可以使主机和路由器在i p v 4 路由基础设备上动态 地以隧道方法传送i p v 6 包。 4 链路本地( 1 i n k l o c a l ) 地址 ( 1 ) 表示形式：如下图所示：