SEUI-64：缓解IPv6网络侦察攻击的有效策略研究

工程科学与技术，国际期刊22（2019）667完整文章SEUI-64是一种IPv6寻址策略，可减轻侦察攻击舒拜尔湾阿卜杜拉阿曼马斯喀特苏丹卡布斯大学阿提奇莱因福奥文章历史记录：2018年7月16日收到2018年9月13日修订2018年11月23日接受在线提供2018年保留字：IPv6IPv4-IPv6过渡IPv6地址策略安全侦察攻击A B S T R A C T研究界普遍认为IPv6网络中的网络侦察攻击是不可行的，因为它们需要花费巨大的努力来执行IPv6子网中的264个主机的地址扫描。然而，最近的研究已经揭示了这些攻击的可行性，通过攻击一些本地IPv6网络。研究得出结论，智能攻击者可以通过在执行扫描时预测网络主机寻址方案来轻松减少目标搜索空间。这确实增加了安全问题，并降低了部署IPv6的机会。本文概述了目前使用的IPv6寻址策略，并提出了一种新的策略，以减轻侦察攻击。新的策略进行了评估，对一些侦察攻击的方法，并与最近的一些IPv6寻址策略。实验结果证实了寻址策略在缓解侦察攻击方面的有效性和有效性。©2018 Karabuk University. Elsevier B.V.的出版服务。这是CCBY-NC-ND许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍为了解决IPv4的地址耗尽问题，1998年推出了互联网协议第6版（IPv6）[1]。大地址空间是IPv6的主要发展之一，因为它极大地将地址空间从32位提高到128位。IPv6地址使用32个十六进制数字写入这些数字分为8个2字节的块，每个块由冒号“：“分隔为了简化地址的书写形式，采用了一些缩写技术。所使用的技术是省略重复的0，即省略一串零和前导零。此外，如果有4个零的十六进制数，它将被转换为单个零。缩短技术在图中解释。1.一、IPv6地址分为两部分。由N比特组成的左部分指定网络，而由128-N比特组成的右部分指定网络特定节点。子网中的所有地址都有相同的前N位，这N位称为前缀表示为例如：在地址2041：0：140F：：5 B：131 B/64中，前64位IPv6地址有四种主要类型：单播、全局单播、唯一本地和链路本地。IPv6全局单播地址为电子邮件地址：shubair@squ.edu.om。由Karabuk大学负责进行同行审查可全局路由，类似于IPv4公共地址。唯一本地地址的工作方式类似于IPv4私有地址。尽管互联网已经接近IPv4部署阶段，但IPv6的部署率仍远未达到预期，2018年2月才勉强达到22.20%[2]。这些漏洞IPv6的安全问题仍然是人们关注的焦点，随着IPv6的部署，安全问题也随之出现[3，4]。IPv6全球单播地址的网络侦察是一项地址扫描任务，试图发现网络系统中可用服务的漏洞。攻击者通常执行地址扫描作为更严重的网络攻击（即DoS）的初始阶段，或者作为勒索软件攻击的先决条件，如WannaCry勒索软件[5]。传统的扫描方式是通过探测目标子网的整个地址范围来执行的。由于典型的IPv6子网是/64，因此扫描整个地址范围（等于264）将花费巨大的努力。因此，网络侦察攻击在IPv6中是不可行的。然而，最近的研究通过分析一些IPv6网络中目前采用的寻址方法揭示了这些攻击的可行性[4]。一些IPv6寻址策略产生可预测的IPv6地址，因此攻击者可以通过减少目标搜索空间来轻松执行地址扫描。因此，需要创建高度结构化和不可预测的IPv6地址的寻址方案[6]。本文提出了一种新的IPv6寻址策略SEUI-64 bits，旨在减轻侦察攻击。SEUI-64位策略生成不可预测和任意https://doi.org/10.1016/j.jestch.2018.11.0122215-0986/©2018 Karabuk University.出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表工程科学与技术国际期刊杂志主页：www.elsevier.com/locate/jestch668S.A. 阿卜杜拉/工程 科学 和 技术， 一个 国际 杂志 22 （2019年）667Fig. 1. IPv6地址缩短技术基于所述MAC地址分配给网络节点的地址。本文的其余部分组织如下。第二节回顾了相关的研究成果，第三节介绍了研究方法。第4节给出了实验结果。结果讨论见第5节。最后，论文在第6中结束。2. 文献综述在IPv6网络中，每个接口都必须分配一个全局路由IPv6地址，该地址在Internet中是全局唯一的，通常标记为/64。IPv6地址分为两部分：前缀和接口ID。前缀部分从ISP或区域互联网注册机构（RIR）获得，通常分为两个小部分：全局前缀（48位）和子网ID（16位）。对于攻击者来说，很容易获得IPv6地址的前缀部分。例如，他们可以在Windows操作系统命令提示符下运行以下命令，以获取网站服务器www.server.com的IPv6地址：C：\>nslookup-query=AAAAwww.server.com第二部分，接口ID部分唯一地标识特定节点的接口。图2示出了全局单播IPv6地址的示例。无论分配方法如何，IPv6地址都是通过学习前缀部分并为其附加本地生成的接口ID来为网络接口配置的。网络上的IPv6地址有几种分配方式，手动分配（静态IPv6），DHCPv6（无状态和有状态模式）和无状态地址自动配置（SLAAC）[7]。通常，服务器和路由器是手动配置的，而SLAAC和DHCPv6分配用于为工作站配置IPv6地址。在所有情况下，网络管理员必须小心，不要生成易受侦察攻击的可预测地址正如F. Gont和T. Chown[8]，尽管在手动分配中可以完全自由地选择接口ID，但当前使用的模式（例如使用IPv4地址和服务端口）导致生成可预测的地址。他们还指出，使用DHCPv6可能会导致可预测的IPv6地址，因为DHCPv6服务器通过从特定的预定义范围中顺序生成接口ID来分配地址。使用SLAAC是生成不可预测的IPv6地址的最佳选择。SLAAC的基本思想是每个加入网络的主机将从路由器通告消息中学习前缀部分，而接口ID则使用邻居发现协议生成。中使用的生成接口ID的方法图二. 全局单播IPv6地址。SLAAC被称为EUI-64位，是扩展唯一标识符的缩写。EUI-64基于接口的MAC地址[9]，这可能被视为易受攻击。给定在一个子网中检测到的MAC地址，在同一网络中可能会看到连续或附近的MAC地址[8]。此外，节点在加入新网络时生成相同的接口ID部分，使其易受隐私相关攻击的影响，并且容易被攻击者攻击[10，11]。在IPv4-IPv6过渡过程中使用的IPv6寻址策略并未受到研究团体的显著调查[12]。然而，IPv6地址分配策略已广泛应用于无线传感器网络（WSN）、物联网和移动IPv6中。特别讨论了采用EUI-64位寻址方案所引起的隐私泄露问题。Narten等人在他们的RFC[13]中指出，不变的接口IPv6地址可能允许攻击者将不相关的信息与特定节点相关联。Haddad[14]指出，使用SLAAC可以向攻击者透露移动节点的位置。Koodli的研究得出结论，一个节点可能会暴露给攻击者[15]。总之，所使用的IPv6寻址机制不提供高度不可预测且对侦察攻击免疫的可部署IPv6地址，尽管诸如SLAAC的一些方法是可扩展的且可靠的。主要问题是生成接口ID（IPv6地址的第二部分（64位））的方法。因此，需要一种可以集成在SLAAC过程中的有效寻址方案，以便将侦察攻击以及隐私泄露攻击的概率降低到尽可能低的水平。3. 方法本文介绍了SEUI-64位寻址策略，作为EUI-64位寻址策略的替代方案。其主要目标是自动为与服务器或工作站相关的网络接口生成不可预测的IPv6地址。IPv6地址的不可预测性通过最大化搜索空间来提供对侦察攻击的免疫力，以及对其他恶意攻击（如隐私泄露）的免疫力。此外，由SEUI-64位生成的IPv6地址定义了节点连接的网关，该网关提供了有关物理位置的信息。3.1. 自动配置协议概述本节概述接口使用IPv6地址自动配置自身时发生的SLAAC的典型步骤SLAAC由邻居发现协议（NDP）启用，并在节点连接到网络后立即启动它包括两个阶段：链路本地IPv6地址配置和全局单播IPv6地址配置。第一阶段生成链路本地IPv6地址，以向节点提供与同一链路上的所有其他节点的连接。它包括三个步骤：1) 本地链路IPv6地址生成：将使用EUI-64生成的接口ID添加到本地链路前缀（FE 80：：/10）。2) 重复地址检测：通过发送邻居请求消息来验证地址的唯一性3) 链路本地IPv6地址分配：如果地址是唯一的，则将其分配给接口。第二阶段生成全局单播IPv6地址，以提供完整的IPv6全局连接。它包括四个步骤：S.A. 阿卜杜拉/工程科学与技术，国际期刊22（2019）667-6726691) 路由器通告：节点发送路由器请求消息以提示链路上的路由器发送包含前缀的路由器2) 全局单播IPv6地址生成：将使用EUI-64生成的接口ID转换为从路由器接收的3) 重复地址检测：通过发送邻居请求消息来验证地址的唯一性4) 全局单播IPv6地址分配：如果地址是唯一的，则将其分配给接口。建议的SEUI-64位是EUI-64位的替代品。它由节点触发以创建将使用的接口ID生成链路本地和全局单播IPv6地址。在SLAAC过程开始时触发SEUI-64一次，确保了链路本地和全局单播IPv6地址的高执行速度和不可预测性。3.2. 接口ID生成的接口ID是接口的链路相关标识符。它是从网段接口的链路层地址（MAC地址）导出的64位字符串。为了增加接口ID的不可预测性 ， SEUI-64 位 算 法 选 择 网 段 接 口 MAC 地 址 的 组 织 唯 一 标 识 符（OUI）部分表1解释了所有这些部分。组织唯一标识符（OUI）是网络接口MAC地址的前三个字节。它唯一地引用接口设备的特定供应商或制造商。为了确保唯一性，IEEE将OUI全局分配给供应商。例如，“00：00：0A”归Omron所有，“CC：46：D6”归Cisco Systems Inc.所有。一个唯一的接口标识符，它是3字节长，被附加到OUI字节，以形成一个6字节的MAC地址。图3示出了与由Cisco制造的设备相关联的接口MAC地址的示例。SEUI-64位算法从网关接口的MAC地址中获取OUI字节它只执行一次，为连接到网关的所有接口创建IPv6地址。OUI三个字节是在没有任何处理的情况下获取的，并被设置为第一个连接的节点的接口ID的前三个字节。对于连接到网关的其他节点，在将OUI三个字节设置为接口ID的前三个字节之前，将基于位级别的密钥对OUI三个字节进行混洗。SEUI-64算法SEUI-64位算法使用Fisher-Yates混洗，这是一种用于生成有限位序列的可逆随机置换的算法[16]。前三个字节的形成的优点是它们可以被认为是对节点的物理位置的引用。对于第一个节点，直接恢复物理位置，而通过在前三个字节上重新应用Fisher-Yates shuffle算法来恢复。第二部分是STag，它是子网的两个字节长度的标记号。此部分的值是根据网络管理员的需要选择的，即每个路由器接口的标签号。首先连接的节点表1接口ID部件。零件名称长度来源1OUI 3字节组织唯一标识符部分网段接口2STag 2 bytes Segment Tag：根据网络管理员3ABytes 3 bytes任意图三. 接口MAC地址。两个字节的STag没有任何处理，而对于其余节点，将从0范围内随机选择两个字节的STagSTag值。例如，如果段标记被设置为00：AA，则首先连接的节点的接口ID的STag值最后一部分称为ABytes，是任意字节的缩写。ABytes是在每次生成新接口ID时随机选择的24位（3字节）的字符串。图4示出了使用SEUI-64位生成的IPv6地址的三个示例。4. 实验结果SEUI-64位接口ID生成策略旨在减轻IPv6网络中的侦察攻击。由于它不依赖于对攻击行为的观察和分析，因此它为入侵检测系统提供了检测零日地址扫描攻击的机会。通过使攻击者关于节点地址的假设无效本节研究SEUI-64位对抗顺序扫描攻击的有效性，因为它们似乎比其他类型的扫描更适用于IPv6网络[17]。特别是，本节试图提高暴力远程地址扫描攻击的可检测性与SEUI-64位策略产生的IPv6地址的存在。为了量化的有效性，失败的扫描和成功的扫描的百分比已经计算了各种IPv6环境与不同数量的节点。失败的扫描意味着探测不存在的IPv6地址，成功的扫描意味着探测存在的IPv6地址。假设S表示生成的扫描次数SFA表示扫描失败的次数，SSU表示扫描成功的次数。成功扫描的百分比定义为SSU/S，失败扫描的百分比定义为SFA/S。由于扫描失败或连接的数量通过将前缀部分固定为2041：0：140 F：0/64，开发了一个模拟程序，通过创建从2041：0：140 F：：/64到2041：0：140 F：：1：2C/64的顺序IPv6地址搜索空间，来充当地址扫描器，而SEUI-64采用bits算法对节点进行寻址。为了避免任何偏见在可能通过创建大量地址而出现的结果中，地址扫描模拟器在所有实验期间仅执行2-3秒。模拟器生成的IPv6地址数量在307到315个地址之间。IPv6网络环境数量为19个，节点数量从10到64个不等。图图5和图6分别示出了扫描成功率和可检测率在各种IPv6环境中。另一个实验已经进行了考虑本地偏好顺序扫描，利用在同一网段中的节点的IP地址的顺序性质。本地偏好意味着当攻击者选择IPv6地址搜索空间的起点时，他选择了一个靠近670S.A. 阿卜杜拉/工程 科学 和 技术， 一个 国际 杂志 22 （2019年）667见图4。 SEUI-64位IPv6路由器的示例。图五.在各种IPv6环境中的成功扫描率（正常顺序扫描）。见图7。在各种IPv6环境中的成功扫描率（本地优先顺序扫描）。见图6。各种IPv6环境中的可检测率（正常顺序扫描）。见图8。在各种IPv6环境中的可检测率（本地优先顺序扫描）。最初获得的IPv6地址，以增加网段中扫描节点的潜在数量。与第一个实验相比，除了搜索空间的起始点之外，没有进行任何改变。图图7和图8示出了扫描成功率和可检测率。对SEUI-64位寻址策略和目前最先进的IPv6寻址策略进行了比较。选择[18]中提出的方法文氏图是用来彻底显示所有可能的相似之处和两种策略之间的差异，如图。9.第九条。S.A. 阿卜杜拉/工程科学与技术，国际期刊22（2019）667-672671图9.第九条。SEUI-64策略与RFC 7943策略的比较重叠区域包含两种策略之间的相似之处。结果表明，这两种方法都具有快速、自动触发生成IPv6地址、易于在IPv6网络上部署、生成链路本地和全局单播IPv6地址的接口ID等优点，能够有效地抵御侦察攻击。差异显示在维恩图中的非重叠区域中。在环境方面，SEUI-64位集成在路由器的例程中，而RFC 7943策略是DHCPv 6服务器在向DHCPv 6客户端租赁非临时IPv6地址时使用的算法。用于生成接口ID的混洗算法的类型是 另一个主要区 别。最重要的 区别是，RFC 7943 容易受 到DHCPv6攻击，例如未经身份验证的协议有效查询。5. 讨论本文提出的SEUI-64位策略有效地抑制了IPv6网络中的地址扫描攻击，并有助于检测地址扫描攻击。实验结果表明，避免使用可预测地址是IPv6地址扫描攻击的关键。如图所示。6和8，在正常和局部偏好顺序扫描攻击的情况下，不可预测率，即扫描失败的百分比，在92.97%和98.71%之间。显然，IPv6地址的不可预测性迫使攻击者创建这些高失败率的扫描，这将有助于监控系统产生可疑警报。为了证明IPv6地址的高不可预测性水平特征，Eq. （1）用于计算OUI部分可能值的总数，SEUI-64位策略创建的接口ID的前三个字节：OUI部分的值，这反映了非常高的不可预测性。在接口ID的第二和第三部分（STag和ABytes）STag的利率可能会达到216，如果最大值（FF：FF和FF：FF：FF）为最初选择这些部分。对于本地地址扫描攻击，攻击者可以利用各种即使使用不可预测的地址，它们仍然可以因此，在边界处采用入侵预防系统以及不可预测的地址将增强缓解过程。6. 结论IPv6全球单播地址的网络侦察是发现可用服务和识别网络系统的脆弱性的尝试。攻击者通常执行地址扫描攻击作为更严重的网络攻击（即拒绝服务）的初始阶段。此外，这些攻击已成为许多勒索软件攻击的先决条件。尽管/64主机子网的目标搜索空间很大，但当前采用的一些做法（例如使用基于MAC标识符的IPv6地址（SLAAC）和使用DHCPv 6时的顺序地址）允许攻击者在执行地址扫描攻击时减少目标空间的大尺寸。本文介绍了一种新的IPv6地址分配策略SEUI-64 bits（SegmentExtended Unique Identifier）。SEUI-64位策略旨在替代SLAAC过程中当前使用的EUI- 64位机制它通过组合以下三个部分来生成接口ID：（1）OUI：从OUIsfactnfactd0：factd1ð1Þ网关，（2）STag：由网络管理员选择来标记段的两个字节，以及（3）ABytes：三个任意字节。这些零件在附加到一个其中OUIs是从OUI三个字节得到的目标搜索空间的大小，n是OUI部分中的位数，其为24位，d0和d1分别表示OUI部分值中的0和1的数目例如，如果使用Cisco供应商标识符CC：46：D6，则对其等效二进制数110，011，000，100，011，011，010，110进行混洗将产生2，704，156个可能的/64全局前缀，以便生成IPV6地址。对生成的IPv6地址进行了针对一些侦察攻击方法的评估，结果证实了SEUI-64位策略在生成高度不可预测的IPv6地址方面的有效性和有效性，这可能会减轻侦察攻击。¼672S.A. 阿卜杜拉/工程 科学 和 技术， 一个 国际 杂志 22 （2019年）667引用[1] S. E. Deering，[2] (13/2/2018）。IPv6采用-GoogleInternetStatistics.网址：www.google.com/intl/en/ipv6/statistics.html。[3] A.Shubair，SurveyofsecurityissuesinIPv4toIPv6tunneltransitionmechanisms，Int. J. Secur.网络12（2）（2017）83-102。[4] J.H. Jafarian，E. Al-Shaer，Q. Duan，一种有效的地址变异方法用于破坏侦察攻击，IEEE Trans.Inf.Forensics Secur。10（12）（2015）2562-2577。[5] J.M.网络安全和健康信息技术：行动的时机，J。 Med. 系统 41（7）（2017）104.[6] F. Gont，[7] S. Hagen，IPv6 Essentials，第三版。，O'Reilly Media Inc，California，USA，2014.[8] F. Gont和T. Chown，IPv6网络中的网络侦察RFC No 7707，2016。[9] R. Asati，H.辛格，W。比比角Pignataro，E. Dart和W.乔治，增强的重复地址检测RFC No 7527，2015。[10] H. Rafiee和C. Meinel，第275-282章：你是谁？[11] S.格罗特湾邓洛普河Marchany，J. Tront，“无状态IPv6 寻址的隐私影响”，在：网络安全和信息智能研究第六届年度研讨会论文集，ACM ，2010 年，第 101页。 52.[12] T. Savolainen， J. Soininen ， B. Silverajan， Ipv6 addressing strategies for iot ，IEEESensors J. 13（10）（2013）3511-3519.[13] T.纳滕河德拉夫斯Krishnan[14] W. Haddad，E. Nordmark，F.杜邦，M.巴纽洛湾Patil，移动和多宿主节点的隐私：MoMiPriv问题陈述，互联网草案（2005）。[15] R. Koodli[16] A.O. Ade-Ibijola，一种模拟增强的Fisher-Yates算法在虚拟纸牌游戏中使用特定领域的数据结构洗牌，国际期刊。Comput. Appl. 54（11）（2012）。[17] C.C. Zou，中国粘蝇D.Towsley，W. 关于网络蠕虫扫描策略的性能，执行。Eval.63（7）（2006）700-723。[18] F. Gont ， W. Liu ， A Method for Generating Semantically Opaque InterfaceIdentifiers （ IID ） with the Dynamic Host Configuration Protocol for IPv6（DHCPv6）RFC No 7943，2016Shubair Abdulla于1994年获得巴士拉大学计算机科学学士学位。他分别于2007年和2014年获得马来西亚Sains大学（USM）计算机科学硕士和博士学位。目前，他在阿曼马斯喀特的苏丹卡布斯大学工作他的研究兴趣包括IPv6协议，网络安全和模糊推理系统。