臺灣博碩士論文加值系統

網路發展至今資訊安全逐漸受到重視，網路攻防每天持續的上演，如何確保資訊的機密性、完整性與可用性，是當前資訊人員面臨重大難題。目前IPv6發展階段朝向雙堆疊(Dual-stack)的模式部署，鄰居發現協議(Neighbor Discovery Protocol, NDP)也如同IPv4的位址解析協定(Address Resolution Protocol, ARP)一樣有設計上的缺失，導致許多攻擊發生，例如阻斷式攻擊、中間人攻擊和洪水攻擊等。
本研究從文獻中蒐集已知的實體位址欺騙攻擊(MAC Address Spoofing Attack)，站在攻擊者的立場以目的與手段分析，並針對過去研究以資料蒐集方法、攻擊判斷方式與抵禦方法這三方面解析攻擊防禦機制。本研究設計以網路管理者的角度，在雙堆疊的環境之中，以定期輪詢的方式，蒐集核心交換器、交換器和自行維護的重要節點清單，在攻擊偵測主機內進行監測，透過準則正規化利於使用者自行新增與修改，並在偵測出攻擊後復原受害主機快取。在不修改實體位址解析過程的前提下，本研究分別對IPv4與IPv6提出準則設計，使所提方法能易於實作於現有機制上。經由實際測試，本研究所提機制確實能有效偵測實體位址欺騙攻擊。

As the rapid development of the Internet, network security has become more and more important. A large number of attacks and defenses are spreading in the network every day. How to protect confidentiality, integrity and availability of information has become the most important issue for network managers. The deployment of IPv6 is developed to use dual-stack model. The Neighbor Discovery Protocol (NDP) of IPv6 suffers from many attacks, which is similar to Address Resolution Protocol of IPv4 (ARP). These attacks include Denial of Service (DoS), Man-in-the-Middle (MITM) Attack and Flood Attack, etc.
In this study, we collect known MAC address spoofing attacks from literature review, analyze the goals and approaches of these attacks from the attackers’ point of view, and analyze the attack prevention mechanisms discussed in past studies from three dimensions: data collection method, detection method and prevention method. In this study, we also design a detection and recovery system for MAC address spoofing attacks in dual-stack environment from the perspective of network managers. The proposed system collects address configuration data by polling core switches and layer 2 switches, maintains the list of important nodes, detects address spoofing attacks via user configurable normalized rules, and recovers the victim host’s cache after detection. We design the detection rules for IPv4 and IPv6 respectively, and the proposed system can be easily implemented in existing mechanisms by not modifying the MAC address resolution process. Experiments show that MAC address spoofing attacks can be detected more effectively by the proposed mechanism.

目錄
指導教授推薦書
論文口試委員審定書
誌謝 iii
摘要 iv
ABSTRACT v
目錄 vi
圖目錄 ix
表目錄 x
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機 2
1.3 研究目的 3
第二章 文獻探討 4
2.1 ARP協定 4
2.1.1 ARP Request與ARP Reply 4
2.1.2 ARP快取(ARP Cache) 5
2.2 ARP安全性分析 6
2.3 區域網路的ARP實體位址欺騙攻擊類型 7
2.3.1 以ARP攻擊目的分類 7
2.3.2 以ARP攻擊手段分類 7
2.4 現今實體位址欺騙攻擊防禦 10
2.4.1 資料蒐集方法 10
2.4.2 攻擊判斷方式 10
2.4.3 抵禦方法 11
2.4.4 相關研究彙整 12
2.5 實體位址欺騙攻擊防禦之技術選擇 15
2.6 IPv6 16
2.7 鄰居發現協議 16
2.8 NDP 主要功能 17
2.8.1 無狀態自動配置 17
2.8.2 位址解析 18
2.8.3 鄰居不可達檢測 21
2.8.4 重新導向 21
2.9 NDP攻擊類型 22
2.10 IPv4到IPv6的過渡時期 23
第三章 研究方法 26
3.1 問題與需求描述 26
3.2 攻擊偵測方式 26
3.3 網路設備資料關係 27
3.4 網管表格 28
3.5 攻擊偵測流程 29
3.6 準則設計 32
3.6.1 ARP判斷準則 32
3.6.2 NDP判斷準則 35
3.6.3 復原機制說明 38
第四章 系統分析與比較 39
4.1 位址欺騙攻擊偵測方法比較 39
4.2 蒐集網路設備資訊方法 40
第五章 系統實作 44
5.1 系統建置 44
5.2 攻擊實測 45
5.2.1 複製型攻擊偵測 45
5.2.2 洪水型攻擊偵測 47
5.2.3 錯誤導向型攻擊偵測 48
第六章 結論與未來方向 49
6.1 結論 49
6.2 未來方向 50
參考文獻 52
 
圖目錄
圖2.1 無狀態自動配置過程 18
圖2.2 鏈結層位址解析NS訊息 19
圖2.3 鏈結層位址解析NA訊息 19
圖2.4 重複位址偵測NS訊息 20
圖2.5 重複位址偵測NA訊息 21
圖2.6 穿隧架構示意圖 24
圖2.7 雙堆疊架構示意圖 25
圖3.1 伺服器運作關係圖 27
圖3.2 網管表格示意圖 29
圖3.3 位址欺騙攻擊偵測流程圖 31
圖5.1 Telnet連線擷取資料 45
圖5.2 偵測系統主要架構 46
圖5.3 複製型攻擊輪詢結果 47
圖5.4 重複MAC位址判斷顯示 47
圖5.5 洪水型攻擊前一次輪詢arp_table筆數 48
圖5.6 洪水型攻擊輪詢arp_table筆數 48
圖5.7 洪水型攻擊偵測 48
圖5.8 重要節點清單 49
圖5.9 MAC Address Table位址異常 49
圖5.10 錯誤導向型偵測 49
 
表目錄
表2.1 ARP欺騙攻擊分類 9
表2.2 相關研究比較表 14
表3.1 ARP判斷表示符號 32
表3.2 NDP判斷表示符號 36
表4.1 實體位址欺騙攻擊防禦資料蒐集方法比較 39
表4.2 蒐集網路設備資訊方法比較 40

[1] C.L. Abad &; R.I. Bonilla, “An Analysis on the Schemes for Detecting and Preventing ARP Cache Poisoning Attacks,” International Conference on Distributed Computing Systems, pp. 60-67, 2007.
[2] F.A. Barbhuiya, S. Biswas &; S. Nandi, “Detection of Neighbor Solicitation and Advertisement Spoofing in IPv6 Neighbor Discovery Protocol,” Proceedings of the 4th International Conference on Security of Information and Networks, pp. 111-118, 2011.
[3] F.A. Barbhuiya, S. Roopa, R. Ratti, N. Hubballi, S. Biswas, A. Sur, S. Nandi &; V. Ramachandran, “An Active Host-Based Detection Mechanism for ARP-Related Attacks, ” Communications in Computer and Information Science, Volume 132, Issue 2, pp. 432-443, 2011.
[4] D. Bruschi, A. Ornaghi, &; E. Rosti, “S-ARP: A Secure Address Resolution Protocol,” Proceedings of the 19th Annual Computer Security Applications Conference, pp. 66-74, 2003.
[5] M. Carnut &; J. Gondim, “ARP Spoofing Detection on Switched Ethernet Networks: A Feasibility Study,” Proceedings of the 5th Symposium on Security in Informatics. pp. 1-10, 2003.
[6] Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2013-2018,”
http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/white_paper_c11-520862.html , 2014.
[7] J. Davies, “Understanding IPv6,” 3rd Edition, Microsoft Press, 2012.
[8] V. Goyal &; A. Abraham, “An Efficient Solution to the ARP Cache Poisoning Problem,” Proceedings of the 10th Australasian Conference on Information Security and Privacy (ACISP ’05), pp. 40-51, 2005.
[9] S. Kumar &; S. Tapaswi, “A Centralized Detection and Prevention Technique Against ARP Poisoning,” International Conference on Cyber Security, Cyber Warfare and Digital Forensic (CyberSec2012), pp. 259-264, 2012.
[10] V. Ramachandran &; S. Nandi, “Detecting ARP Spoofing: an Active Technique,” Proceedings of the First International Conference on Information Systems Security, pp. 239-250, 2005.
[11] Z. Trabelsi &; W. El-Hajj, “On Investigating ARP Spoofing Security Solutions,” International Journal of Internet Protocol Technology, Volume 5, Issue 1-2, pp. 92-100, 2010.
[12] S. Whalen, “An Introduction to ARP Spoofing,” http://www.rootsecure.net/content/downloads/pdf/arp_spoofing_intro.pdf , 2001.
[13] 中華電信，「芳鄰找尋與配發機制介紹」，http://www.tcrc.edu.tw/data2/seminar99/ipv612.pdf，2010。
[14] 王建盛，「ARP Spoofing 防護機制研究」，大同大學資訊工程研究所碩士論文，2010。
[15] 吳紹威，「IPv6 安全性研究與實現：利用鄰居發現協議進行攻擊的偵測方法」，澳門科技大學理學碩士論文，2009。
[16] 林光興，「以SNMP與資料探勘技術建構入侵偵測系統」，世新大學資訊管理學系研究所碩士論文，2005。
[17] 刘扬，「ARP欺骗攻击的检测及防御技术研究」，东北农业大学学报，第43卷，第8期，第74-77頁，2012。
[18] 李仲正，「以SNMP為基礎之區域網路ARP攻擊偵測與隔離系統」，長庚大學管理學院碩士學位學程在職專班資訊管理組碩士論文，2012。
[19] 陈来传，「细数局域网中的ARP攻击类型」，赤峰学院学报(自然科学版)，第27卷，第3期，第33-34頁，2011。
[20] 陳向明，「全球IPv6網路佈署發展現況」，http://www.myhome.net.tw/2013_07/p02.htm，2013。
[21] 陳思翰，「IPv6來了」，http://www.ithome.com.tw/node/66363，2011。
[22] 張思揚，「以網路流量偵測ARP欺騙攻擊之研究」，國立高雄大學資訊管理學系碩士論文，2009。
[23] 郭蕭禎、謝進利、許忠強，「以SNMP偵測阻斷區域網路ARP欺騙行為」，TANET 2008 台灣網際網路研討會論文集(一)，第272-277頁， 2008。
[24] 楊文龍，「基於SNMP之ARP攻擊偵測研究」，國立暨南國際大學資訊管理學系碩士論文，2008。