1:IPv6 RA***:RA报文能够携带很多网络配置信息,包括默认路由器、网络前缀列表以及是否使用DHCPv6服务器进行有状态地址分配等网络配置的关键信息。如图1所示,***者通过发送伪造的RA报文,修改用户主机的网络配置,使合法用户无法进行正常通信。常见的RA报文***包括:
1)伪造不存在的前缀,修改合法用户主机的路由表。
2)伪造网关MAC地址,造成合法用户主机记录错误的网关地址映射关系;或者伪造RA报文中的Router Lifetime字段,造成合法用户主机的默认网关变为其他网关设备。
3)伪造DHCPv6服务器,同时伪造RA报文中的M标识位,造成合法用户主机使用DHCPv6服务器分配到的虚假地址。
Router Lifetime表示发送该RA报文的路由器使用该字段的值作为缺省路由器的生命周期。如果该字段为0,表示该路由器不能作为缺省路由器,但RA报文的其他信息仍然有效。
M表示管理地址配置标识(Managed address configuration),取值包括0和1。0表示无状态地址分配,客户端通过无状态协议(如ND)获得IPv6地址;1表示有状态地址分配,客户端通过有状态协议(如DHCPv6)获得IPv6地址。
2:IPv6 RA保护特性使得管理员可以拥塞或者拒绝到达的网络设备平台的不期望的或者恶意的路由器通告保护报文(The IPv6 RA Guard feature provides support for allowing the network administrator to block or reject unwanted or rogue RA guard messages that arrive at the network device platform.),RA报文由路由器提供用于在链路上通告自身给终端设备提供前缀信息。RA保护特性分析这些RA报文,过滤那些未被授权设备发送的RA报文。该特性支持主机模式和路由器模式,在主机模式下,RA报文和路由器重定向报文不被允许出现在端口上。RA保护特定对比在二层设备上收到的RA帧中的配置信息,一旦2层设备验证了RA帧和路由器重定向报文中的内容和配置符合,它转发RA到单播或者组播目的地。如果RA帧的内容不吻合,RA报文被丢弃。