全球专业中文经管百科,由121,994位网友共同编写而成,共计436,015个条目

鄰居發現協議

用手机看条目

出自 MBA智库百科(https://wiki.mbalib.com/)

鄰居發現協議(Neighbor Discovery Protocol,NDP)

目錄

什麼是鄰居發現協議

  鄰居發現協議IPv6的一個關鍵協議,它組合了IPv4中的ARPICMP路由器發現和ICMP重定向等協議,並對它們作了改進。作為IPv6的基礎性協議,NDP還提供了首碼發現、鄰居不可達檢測、重覆地址監測、地址自動配置等功能。鄰居發現協議主要包括兩種格式的ICMP6報文:鄰居請求NS(NeighborSolicitation)和鄰居宣告NA(NeighborAdvertisement)。

鄰居發現協議的工作原理

  當區域網中的兩台主機A與B之問通信前,A必須首先獲取B的MAC地址,主要步驟如下:

  (1)A以廣播的方式向FE02::1發送一個ICMPv6NS消息,詢問B的MAC地址。f21區域網中每個節點都能接收到該Ns請求,當一個節點接收到該Ns請求後,將目標MAC地址與自身MAC地址進行比較,如果不一致,則不應答;反之,如果所請求的MAC地址與自身MAC地址相等,則回應一個鄰居宣告消息NA,表明自己就是所要請求的節點。本例中,在正常情況下,只有B回應NS請求,應答包中包含B的MAC地址。

  2.鄰居宣告報文的選項

  需要特別註意的是NA有3個特殊的標誌位,R表示是否是路由,s表示是否是target本機做出的宣告,O表示是否覆蓋原有的緩仔。設旨這幾個標誌位的主要目的原本是為了提高提高區域網節點1二作的效率。

鄰居發現協議安全隱患分析

  通過以上的分析我們吖以看出,IPv6下的鄰居發現協議與IPv4下的ARP協議相比,在安全方面,並沒有改進。主要體現在以下幾個方面:

  第一,對於NS的ICMP6報文,區域網中的任意節點,只要在區域網中監聽到,就能回覆,缺乏認證過程。所以IPv4下的ARP欺騙,在IPv6下可以利用NA欺騙代替,其原理是一樣的,此處不再重覆。

  第二,相對於IPv4下的ARP應答包,NA作為IPv6下的應答包多了上述所說的3個標誌位,不可否認,在所有區域網內節點部正常工作的情況下,這3個標誌位無疑可以提高區域網節點工作的效率,但是一旦存在某個惡意節點,這3個標誌位,無疑將成為惡意節點的有力丁具首先通過R標誌位,惡意節點可以偽裝成路由,通過s標誌位,惡意節點可以偽裝成本機,對惡意攻擊最有利的要數O標誌位,惡意節點可以向被攻擊者路由表中植入虛假路由信息。因為在IPv4下,鄰居緩存表足每隔一定的時間刷新一次,惡意節點要覆蓋正確地緩存可能要發送大量的虛假應答,容易被檢測出,而在IPv6下利用0標誌覆蓋正確的緩存則只需要發送少量的虛假NA包,非常難檢測。

本條目對我有幫助12
MBA智库APP

扫一扫,下载MBA智库APP

分享到:
  如果您認為本條目還有待完善,需要補充新內容或修改錯誤內容,請編輯條目投訴舉報

本条目由以下用户参与贡献

Mis铭,苏青荇.

評論(共0條)

提示:評論內容為網友針對條目"鄰居發現協議"展開的討論,與本站觀點立場無關。

發表評論請文明上網,理性發言並遵守有關規定。

打开APP

以上内容根据网友推荐自动排序生成

下载APP

闽公网安备 35020302032707号