Tại sao ARP được thay thế bằng NDP trong IPv6?


49

ARP đã được thay thế bằng NDP (Neighbor Discovery Protocol). Nhưng tôi không biết lý do chính xác cho việc này.

  • Có bất kỳ vấn đề bảo mật trong ARP?
  • Tại sao ARP được thay thế bởi NDP?
  • Những lợi thế của ARP là gì?

Bất cứ ai có thể giải thích điều này bằng các thuật ngữ đơn giản?

Câu trả lời:


67

Có bất kỳ vấn đề bảo mật trong ARP?

Đúng. Đây là một số:

  • ARP giả mạo.

    Tin nhắn ARP sai được gửi qua mạng LAN, dẫn đến việc liên kết địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy tính hoặc máy chủ hợp pháp trên mạng.

    Xem bên dưới để biết thêm thông tin về ARP Spaggering / Poisoning.

  • Lũ lụt MAC.

    Bảng dịch theo dõi địa chỉ MAC nào trên các cổng vật lý có số lượng bộ nhớ hạn chế. Điều này cho phép một công tắc được khai thác bằng cách làm ngập bảng dịch. Các thiết bị chuyển mạch nguyên thủy, không biết cách xử lý dữ liệu dư thừa, sẽ 'không mở được' và phát tất cả các khung mạng tới tất cả các cổng.

  • Sao chép MAC.

    Trong một cuộc tấn công sao chép MAC, một công tắc bị nhầm lẫn khi nghĩ rằng hai cổng có cùng địa chỉ MAC. Vì dữ liệu sẽ được chuyển tiếp đến cả hai cổng, nên không cần chuyển tiếp IP.

Bảo mật nguồn của giao thức phân giải địa chỉ TCP / IP (ARP)


Tại sao ARP được thay thế bởi NDP?

Nó cung cấp các cải tiến và các tính năng bổ sung cho IPv6.

Xem bên dưới để so sánh NDP và các giao thức Giao thức phân giải địa chỉ [ARP], Khám phá bộ định tuyến ICMP [RDISC] và Chuyển hướng ICMP [ICMPv4].


NDP bảo vệ chống giả mạo / Ngộ độc ARP như thế nào?

Nó sử dụng Giao thức Khám phá Hàng xóm Bảo mật (SEND). Các địa chỉ được tạo bằng mật mã đảm bảo rằng nguồn được yêu cầu của một thông báo NDP là chủ sở hữu của địa chỉ được yêu cầu.

Một trong những chức năng của Giao thức Khám phá Hàng xóm IPv6 (NDP) là phân giải địa chỉ lớp mạng (IP) thành địa chỉ lớp liên kết (ví dụ: Ethernet), một chức năng được thực hiện trong IPv4 bằng Giao thức phân giải địa chỉ (ARP). Giao thức Khám phá Hàng xóm Bảo mật (SEND) ngăn kẻ tấn công có quyền truy cập vào phân đoạn phát sóng lạm dụng NDP hoặc ARP để lừa máy chủ gửi lưu lượng kẻ tấn công dành cho người khác, một kỹ thuật được gọi là ngộ độc ARP.

Để bảo vệ chống nhiễm độc ARP và các cuộc tấn công khác chống lại các chức năng NDP, SEND nên được triển khai ở nơi không thể truy cập vào phân đoạn phát sóng.

SEND sử dụng các cặp khóa RSA để tạo địa chỉ được tạo bằng mật mã, như được định nghĩa trong RFC 3972, Địa chỉ được tạo bằng mật mã (CGA). Điều này đảm bảo rằng nguồn được yêu cầu của một thông báo NDP là chủ sở hữu của địa chỉ được yêu cầu.

Nguồn cấu hình bảo mật hàng xóm IPv6 Discovery


Làm thế nào để giả mạo ARP hoạt động?

ARP Spaggering cũng được gọi là ARP Poison Routing (APR) hoặc ARP Cache Poisoning.

Giả mạo ARP là một kiểu tấn công trong đó một tác nhân độc hại gửi tin nhắn ARP (Giao thức phân giải địa chỉ) giả mạo qua mạng cục bộ. Điều này dẫn đến việc liên kết địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy tính hoặc máy chủ hợp pháp trên mạng.

Khi địa chỉ MAC của kẻ tấn công được kết nối với một địa chỉ IP xác thực, kẻ tấn công sẽ bắt đầu nhận bất kỳ dữ liệu nào dành cho địa chỉ IP đó.

Việc giả mạo ARP có thể cho phép các bên độc hại chặn, sửa đổi hoặc thậm chí dừng dữ liệu quá cảnh. Các cuộc tấn công giả mạo ARP chỉ có thể xảy ra trên các mạng cục bộ sử dụng Giao thức phân giải địa chỉ.

Nguồn giả mạo ARP mã nguồn


Làm thế nào để một cuộc tấn công giả mạo ARP hoạt động?

Các bước để tấn công giả mạo ARP thường bao gồm:

  1. Kẻ tấn công mở một công cụ giả mạo ARP và đặt địa chỉ IP của công cụ khớp với mạng con IP của mục tiêu. Ví dụ về phần mềm giả mạo ARP phổ biến bao gồm Arpspoof, Cain & Abel, Arpoison và Ettercap.

  2. Kẻ tấn công sử dụng công cụ giả mạo ARP để quét địa chỉ IP và MAC của máy chủ trong mạng con của mục tiêu.

  3. Kẻ tấn công chọn mục tiêu của nó và bắt đầu gửi các gói ARP qua mạng LAN có chứa địa chỉ MAC của kẻ tấn công và địa chỉ IP của mục tiêu.

  4. Khi các máy chủ khác trong bộ đệm LAN lưu trữ các gói ARP giả mạo, dữ liệu mà các máy chủ đó gửi cho nạn nhân sẽ chuyển đến kẻ tấn công thay thế. Từ đây, kẻ tấn công có thể đánh cắp dữ liệu hoặc khởi động một cuộc tấn công tiếp theo tinh vi hơn.

Nguồn giả mạo ARP mã nguồn

Kẻ tấn công có thể chọn kiểm tra các gói (gián điệp), trong khi chuyển tiếp lưu lượng đến cổng mặc định thực tế để tránh bị phát hiện, sửa đổi dữ liệu trước khi chuyển tiếp (tấn công trung gian) hoặc khởi chạy dịch vụ từ chối tấn công bằng cách làm cho một số hoặc tất cả các gói trên mạng bị hủy.

Nguồn giả mạo Wikipedia ARP


So sánh [của NDP] với IPv4

Giao thức IPv6 Neighbor Discovery tương ứng với sự kết hợp của các giao thức IPv4 Giao thức phân giải địa chỉ [ARP], ICMP Router Discovery [RDISC] và ICMP Redirect [ICMPv4].

Trong IPv4, không có giao thức hoặc cơ chế nào được thống nhất chung cho Phát hiện không thể truy cập hàng xóm, mặc dù tài liệu Yêu cầu máy chủ [HR-CL] chỉ định một số thuật toán có thể có cho Phát hiện cổng chết (một tập hợp con của các vấn đề Phát hiện không thể truy cập hàng xóm).

Giao thức Neighbor Discovery cung cấp vô số cải tiến so với bộ giao thức IPv4:

  • Router Discovery là một phần của bộ giao thức cơ sở; không cần cho máy chủ "rình mò" các giao thức định tuyến.

  • Quảng cáo Bộ định tuyến mang địa chỉ lớp liên kết; không cần trao đổi gói bổ sung để giải quyết địa chỉ lớp liên kết của bộ định tuyến.

  • Quảng cáo Bộ định tuyến mang tiền tố cho một liên kết; không cần phải có một cơ chế riêng để cấu hình "netmask".

  • Quảng cáo bộ định tuyến cho phép tự động cấu hình địa chỉ.

  • Bộ định tuyến có thể quảng cáo một MTU cho các máy chủ sử dụng trên liên kết, đảm bảo rằng tất cả các nút sử dụng cùng một giá trị MTU trên các liên kết thiếu MTU được xác định rõ.

  • Đa hướng độ phân giải địa chỉ được "trải rộng" hơn 16 triệu (2 ^ 24) địa chỉ phát đa hướng, giảm đáng kể các ngắt liên quan đến độ phân giải địa chỉ trên các nút khác ngoài mục tiêu. Hơn nữa, các máy không IPv6 không nên bị gián đoạn.

  • Chuyển hướng chứa địa chỉ lớp liên kết của bước nhảy đầu tiên mới; giải quyết địa chỉ riêng biệt là không cần thiết khi nhận được một chuyển hướng.

  • Nhiều tiền tố có thể được liên kết với cùng một liên kết. Theo mặc định, máy chủ tìm hiểu tất cả các tiền tố liên kết từ Quảng cáo Bộ định tuyến. Tuy nhiên, bộ định tuyến có thể được định cấu hình để bỏ qua một số hoặc tất cả các tiền tố từ Quảng cáo Bộ định tuyến. Trong các trường hợp như vậy, các máy chủ giả định rằng các đích là không liên kết và gửi lưu lượng đến các bộ định tuyến. Một bộ định tuyến sau đó có thể phát hành chuyển hướng khi thích hợp.

  • Không giống như IPv4, người nhận chuyển hướng IPv6 giả định rằng next-hop mới là liên kết. Trong IPv4, một máy chủ bỏ qua các chuyển hướng chỉ định một bước nhảy tiếp theo không liên kết theo mặt nạ mạng của liên kết. Cơ chế chuyển hướng IPv6 tương tự như cơ sở XRedirect được chỉ định trong [SH-MEDIA]. Nó được dự kiến ​​sẽ hữu ích trên các liên kết phương tiện không được phát sóng và chia sẻ, trong đó các nút không mong muốn hoặc không thể biết tất cả các tiền tố cho các đích trên liên kết.

  • Phát hiện không thể truy cập lân cận là một phần của cơ sở, giúp cải thiện đáng kể tính mạnh mẽ của việc phân phối gói khi có các bộ định tuyến bị lỗi, liên kết bị hỏng một phần hoặc phân vùng hoặc các nút thay đổi địa chỉ lớp liên kết của chúng. Chẳng hạn, các nút di động có thể di chuyển khỏi liên kết mà không mất bất kỳ kết nối nào do bộ đệm ARP cũ.

  • Không giống như ARP, Neighbor Discovery phát hiện các lỗi nửa liên kết (sử dụng Phát hiện không thể truy cập hàng xóm) và tránh gửi lưu lượng đến các hàng xóm mà không có kết nối hai chiều.

  • Không giống như trong Khám phá Bộ định tuyến IPv4, các thông báo Quảng cáo Bộ định tuyến không chứa trường tùy chọn. Trường ưu tiên là không cần thiết để xử lý các bộ định tuyến có "độ ổn định" khác nhau; Phát hiện hàng xóm không thể truy cập sẽ phát hiện các bộ định tuyến đã chết và chuyển sang một bộ định tuyến đang hoạt động.

  • Việc sử dụng các địa chỉ liên kết cục bộ để xác định duy nhất các bộ định tuyến (đối với tin nhắn Quảng cáo và Chuyển hướng bộ định tuyến) giúp các máy chủ có thể duy trì các liên kết bộ định tuyến trong trường hợp đánh số lại trang web để sử dụng tiền tố toàn cầu mới.

  • Bằng cách đặt Giới hạn Hop thành 255, Neighbor Discovery miễn nhiễm với những người gửi ngoài liên kết vô tình hoặc cố ý gửi tin nhắn ND. Trong IPv4, người gửi không liên kết có thể gửi cả tin nhắn ICMP Redirects và Router Advertising.

  • Đặt độ phân giải địa chỉ ở lớp ICMP làm cho giao thức độc lập với phương tiện truyền thông hơn ARP và cho phép sử dụng các cơ chế bảo mật và xác thực lớp IP chung khi thích hợp.

Nguồn RFC 4861 Khám phá hàng xóm trong IPv6


đọc thêm


NDP bảo vệ ngộ độc agaist như thế nào?
grawity

@grawity Câu hỏi hay! Nó sử dụng Giao thức Khám phá Hàng xóm Bảo mật (SEND). Trả lời cập nhật.
DavidPostill

2
Hmm, có bao nhiêu hệ điều hành thực sự sử dụng GỬI
grawity

2
@DavidPostill Không, IPsec hoạt động trên một lớp khác với ARP / NDP. Nó cần một kênh truyền thông làm việc để thiết lập các tính năng bảo mật của nó.
scai

4
@DavidPostill Bài đăng tuyệt vời. Tuy nhiên, bài đăng của bạn sai lệch ở chỗ nó cho thấy SeND là (a) một phần không thể thiếu của NDP và (b) là một giải pháp chung. Đây không phải là trường hợp - SeND là một tiện ích bổ sung và không có triển khai SeND ngoài các thử nghiệm. Hơn nữa, SeND có những thiếu sót riêng và mở ra khả năng từ chối các cuộc tấn công dịch vụ. Cuối cùng, thật hợp lý khi cho rằng SeND sẽ không bao giờ bỏ cuộc (ít nhất là không ở dạng hiện tại) và do đó không nên đề xuất quá lớn.
phản biện

9

NDP có nhiều tính năng hơn ARP , bao gồm:

  • Thông qua NDP, các thiết bị trên mạng có thể xác định địa chỉ lớp MAC / liên kết (cùng chức năng với ARP).

  • Sử dụng NDP, các thiết bị trên mạng có thể định vị đường dẫn đến thiết bị khác trong mạng bên ngoài, định vị bộ định tuyến tốt nhất đến thiết bị đích.

  • NDP cho phép tự động cấu hình các địa chỉ IPv6.

So sánh nó với ARP, cơ chế là khác nhau:

ARP sử dụng tin nhắn quảng bá, trong khi NDP sử dụng tin nhắn ICMPv6 phát đa hướng.

Thiết bị sẽ gửi một tin nhắn phát đa hướng có tên là "Tin nhắn ICMP hàng xóm" hoặc NS . Thiết bị đích phản hồi với "Tin nhắn ICMP quảng cáo hàng xóm" hoặc NA .

Thông báo NS sử dụng một địa chỉ đích phát đa hướng đặc biệt được gọi là địa chỉ phát đa hướng nút được đại diện cho tất cả các máy chủ có cùng 24 bit địa chỉ IPv6 cuối cùng của chúng. Việc sử dụng phát đa hướng thay vì phát sóng làm giảm lưu lượng lưu lượng không cần thiết trên mạng.


5

Sự ra đời của NDP thay cho ARP chủ yếu là do mong muốn hợp nhất các giao thức kiểm soát xung quanh IP. IPv4 thích một số giao thức điều khiển như ICMP, IGMP và ARP / RARP. Với IPv6 NDP (kế thừa của ARP) cũng như MLD (kế thừa của IGMP) được thiết kế dưới dạng các giao thức con của ICMPv6 để chỉ có một giao thức điều khiển. Không có lý do bảo mật cho việc này, ND dễ bị giả mạo như ARP và ND không được thiết kế để bảo mật.

Trong những ngày đầu của sự phát triển IPv6 IPsec được xem là cácbiện pháp bảo mật chung và do đó là bắt buộc. Tuy nhiên, yêu cầu này đã bị hạ cấp xuống một khuyến nghị (RFC 6434, tôi tin rằng phần lớn là do các thiết bị nhúng và IoT, đơn giản là không có khả năng thực hiện các tính toán khóa công khai, cộng với việc họ gặp phải các vấn đề PKI thuộc mọi loại , dù sao đi nữa) và không hoạt động tốt (nói một cách lịch sự) để bảo vệ ND. SeND được giới thiệu để giải quyết vấn đề bảo mật cho ND, nhưng đối với hầu như tất cả các nỗ lực trước đây trong thiết kế phần mềm bảo mật hồi tố, kết quả là, ít hơn tối ưu. Vì vẫn chưa có triển khai SeND lưu một số thử nghiệm, cho tất cả các mục đích thực tế, SeND là không tồn tại. Hơn nữa, có lý do để tin rằng SeND - ít nhất là ở dạng hiện tại - sẽ không bao giờ bỏ cuộc.

Ngược lại, SAVI có vẻ hứa hẹn hơn nhưng đòi hỏi phải thay đổi cơ sở hạ tầng chuyển mạch và thiết bị có khả năng SAVI không có giá thấp, do đó nó cũng sẽ không sinh sôi nảy nở nhanh chóng. SAVI hoạt động trên cơ sở rằng trong một trang web phải "biết" ánh xạ giữa các địa chỉ CTNH (tức là địa chỉ MAC) và địa chỉ IP là hợp pháp và do đó có thể xác định và xóa tin nhắn NDP giả.

Các công thức nấu ăn tốt nhất là những công thức đơn giản nhất nhưng thường bị bỏ qua: Chia mạng LAN lớn thành các mạng nhỏ hơn, chỉ dành cho công việc giả mạo ARP và ND cho các mục tiêu trong cùng mạng LAN. Do đó, chỉ cần đặt các thiết bị không đáng tin cậy vào (các) phân đoạn LAN của riêng họ (không có quy tắc tường lửa / lọc cần thiết) sẽ làm giảm đáng kể bề mặt tấn công.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.