面向移动智能终端IPv6协议及其应用的安全测试系统的制作方法
【专利摘要】本发明提供一种面向移动智能终端IPv6协议及其应用的安全测试系统,包括攻击端和移动终端模拟设备,攻击端和移动终端模拟设备通过基于IPv6协议的移动互联网异构网络连接;攻击端用于:扫描所述移动终端模拟设备的端口;读取移动终端模拟设备的IPv6地址,接收移动终端模拟设备发送的NS报文,对移动终端模拟设备进行中间人攻击测试;伪造服务器回应终端请求包,分配伪装IP,对移动终端模拟设备进行DHCPv6攻击测试;伪造网络数据包,采用多播地址放大流量,对移动终端模拟设备进行DoS攻击测试;根据中间人攻击测试、DHCPv6攻击测试和DoS攻击测试,输出安全测试结果。本发明能在基于IPv6协议的移动互联网混合异构网络环境下对移动智能终端IPv6协议及其应用进行安全测试。
【专利说明】面向移动智能终端IPv6协议及其应用的安全测试系统
【技术领域】
[0001]本发明涉及移动终端安全测试领域,特别是涉及一种面向移动智能终端IPv6协议及其应用的安全测试系统。
【背景技术】
[0002]随着移动智能终端软硬件技术的成熟和应用的普及,移动智能终端用户数量获得了巨大的增长,在移动智能终端上的部署和应用IPv6协议栈已成为发展趋势,包括Android和苹果iOS在内的主流移动智能操作系统目前已内嵌IPv4及IPv6协议栈,移动智能终端的硬件也基本支持IPv6。而移动互联网混合异构的网络环境也使得IPv4和IPv6两种通信协议处于共存的状态,并势必在移动智能终端上引发一系列新的安全问题,这些安全问题一部分来源于IPv4/IPv6协议栈本身的安全漏洞及实现和部署产生的安全缺陷,另一部分则来源于IPv4/IPv6转换机制。同时由于移动智能终端便捷等特性,手机银行、移动证券、移动电子商务等移动终端应用逐步普及,其在IPv6网络环境下又可能面临许多新的安全威胁。
[0003]在移动智能终端的网络通信方面,IPv6因强制使用IPSec协议而比IPv4更安全。但在移动智能终端上实际移植或部署IPv6协议栈时,由于技术能力不够或者因终端硬件资源有限,移动智能终端IPv6协议栈在具体实现的过程中进行大量裁剪,使得终端操作系统中IPv6协议栈实现不完整而产生安全漏洞,造成支持IPv6协议的网络通信应用存在安
全隐患。
[0004]越来越多的用户通过移动智能终端进行股票交易、银行业务、网上购物及在线办公等操作。这类具有高安全性需求的交互应用不仅对应用软件本身安全性要求较高,对网络通信过程中的数据安全性的要求则更高。随着移动终端软硬件技术的发展及WiFi/3G/LTE技术的推广,移动智能终端已成为推动我国移动互联网业务快速发展的关键因素,但随之而来的针对移动智能终端的安全问题也日益凸显,对我国经济、社会发展构成了潜在威胁,国家信息安全漏洞共享平台今年公布了 iOS上一项名为Apple TV IPv6网络实现无状态地址自动配置功能用户追踪的漏洞,允许远程攻击者利用漏洞提交特殊请求消耗系统大量CPU资源,造成拒绝服务攻击。目前,尚缺乏权威的安全评测标准来指导移动智能终端IPv6协议栈及其应用的安全评测,也没有专业、有效的自动化安全评测工具来测试移动智能终端IPv6协议栈及其应用的安全问题。
[0005]现有技术方案一提出了 IPv6网络漏洞测试系统,该系统包括网络渗透测试平台和IPv6数据包分析系统,在IPv6网络实验环境下,针对IPv6网络存在的各种安全漏洞进行实质性攻击的软件体系。恶意攻击者分析IPv6存在的安全漏洞,构造各种原始数据包并发送数据包至被攻击主机,从而使得被攻击主机造成信息泄露,丢失数据包或甚至导致攻击主机系统崩溃。IPv6数据包分析系统是网络用户使用数据包分析工具截获IPv6数据包并进行分析。IPv6网络的漏洞测试系统中构造、发送、截获和分析数据包,实现对网络漏洞的有效检测[3]。网络攻击是检测网络漏洞最有效的手段之一,漏洞检测通过模拟通常使用的网络攻击手段对自身的网络系统进行网络攻击测试,从而发现IPv6网络自身存在的网络漏洞和不足,进而弥补网络漏洞,提高IPv6网络系统的安全性。
[0006]如图1,示出了传统技术中的一种测试方案:
[0007]图1中,测试系统包括网络渗透测试平台和IPv6数据包分析系统。IPv6网络渗透测试平台是指在IPv6网络实验环境下,针对IPv6存在的各种安全漏洞进行实质性攻击的软件体系;IPv6网络攻击程序则是恶意攻击者分析IPv6存在的安全漏洞,构造各种数据包并且发送这些数据包到被攻击主机,从而使得被攻击主机造成信息泄露、丢失甚至系统崩溃。
[0008]该方案通过三个子网构造测试环境,主要针对PC主机,在有线网络环境下发送恶意攻击数据包手动实现IPv6协议安全测试。每个子网都有PC主机作为被攻击对象,其中子网I设有攻击主机,作为网络渗透测试攻击发起者,子网2中的测试主机作为网络协议安全性测试者,通过网络交换机和数据间的交互,达到网络协议测试的效果。
[0009]该方案存在如下缺点:
[0010]该测试方案仅局限于传统的PC机模式,攻击手段和测试设备相对落后,未能应用于移动智能终端设备。
[0011]该测试方案是基于单一的有线网络环境,未综合考虑移动互联网异构网络架构模式下实现安全协议评测。
[0012]该测试方案为手动测试,不能完成自动化测试,测试执行效率较低,人为因素影响较大,不能满足大量用户、大批量数据的安全性测试。
[0013]如图2,示出了传统技术中的另一种测试方案:
[0014]图2中,提出了基于IPv6邻居发现协议(NDP)的攻击工具。通过分析NDP协议存在的安全漏洞,模拟针对NDP协议的主要攻击场景,在此基础上开发了攻击工具,通过该攻击工具检测NDP协议的漏洞缺陷。该攻击工具在本地局域网环境下采用传统的服务器/客户端架构,测试人员手动构造虚假的NA报文、RA报文和重定向报文,诱骗被攻击主机进行错误的配置,从而实现攻击意图。
[0015]整个攻击工具由如下功能模块组成:DoS攻击模块、虚假地址前缀和参数攻击模块、邻居不可达检测攻击模块、重复地址检测攻击模块、ARP欺骗攻击模块、恶意最后一跳路由攻击模块和虚假重定向报文攻击模块。
[0016]具体攻击过程如下:
[0017]利用网络数据包捕获开发包WinPcap实现数据包的构成和发送,通过WinPcap获取主机的网卡列表;递归网卡列表并选择要发送数据包的网卡;打开网卡适配器并将网卡设为混杂模式;利用包填充函数和数据报发送函数构造攻击函数,其中,包填充函数主要填充数据链路层Ethernet、网络层IPv6及上层协议,如ICMP协议、TCP协议等;构造虚假的NA报文、RA报文和重定向报文并发送数据包至受害主机,实现网络攻击。
[0018]该方案存在如下缺点:
[0019]该测试方案仅针对IPv6邻居发现协议实现网络攻击,测试的范围较小,检测的安全漏洞威胁种类单一。
[0020]该测试方案是基于本地局域网,模拟单一的服务器端和客户端,未考虑多用户多服务器构建的复杂网络,不能够实现移动互联网混合异构网络模式下的安全性测试。[0021]该测试方案为手动测试,不能完成自动化测试,测试执行效率较低,人为因素影响较大,不能满足大量用户、大批量数据的安全性测试。
【发明内容】
[0022]基于此,本发明提供一种面向移动智能终端IPv6协议及其应用的安全测试系统,能在基于IPv6的移动互联网混合异构网络环境下对移动智能终端进行安全测试。
[0023]一种面向移动智能终端IPv6协议及其应用的安全测试系统,包括:攻击端和移动终端模拟设备,所述攻击端和所述移动终端模拟设备通过基于IPv6协议的移动互联网异构网络连接;
[0024]所述攻击端用于:
[0025]通过端口扫描工具扫描所述移动终端模拟设备的端口 ;
[0026]根据扫描到的所述移动终端模拟设备的端口,读取所述移动终端模拟设备的IPv6地址,接收所述移动终端模拟设备发送的NS报文,对所述移动终端模拟设备进行中间人攻击测试;
[0027]伪造服务器回应终端请求包,分配伪装IP,对所述移动终端模拟设备进行DHCPv6攻击测试;
[0028]伪造网络数据包,采用多播地址放大流量,对所述移动终端模拟设备进行DoS攻击测试;
[0029]根据所述中间人攻击测试、DHCPv6攻击测试和DoS攻击测试,输出安全测试结果。
[0030]上述面向移动智能终端中IPv6协议及其应用的安全测试系统,通过搭建于IPv6协议的移动互联网异构网络,移动智能终端采用模拟设备模拟,攻击端能全面的检测出基于移动智能终端IPv6协议栈及其应用中出现的典型安全缺陷,攻击移动智能终端IPv6协议及应用中出现的漏洞,实现移动智能终端IPv6协议及其应用的自动化测试。
【专利附图】
【附图说明】
[0031]图1为传统技术中一种安全测试系统的结构示意图。
[0032]图2为传统技术中另一种安全测试系统的结构示意图。
[0033]图3为本发明面向移动智能终端IPv6协议及其应用的安全测试系统在一实施例中的结构示意图。
[0034]图4为本发明面向移动智能终端IPv6协议及其应用的安全测试系统在一实施例中的网络架构图。
[0035]图5为图3中攻击端的测试示意图。
【具体实施方式】
[0036]下面结合实施例及附图对本发明作进一步详细说明,但本发明的实施方式不限于此。
[0037]如图3所示,是本发明面向移动智能终端IPv6协议及其应用的安全测试系统在一实施例中的结构不意图,包括:攻击端31和移动终端|吴拟设备32,所述攻击端31和所述移动终端模拟设备32通过基于IPv6协议的移动互联网异构网络连接;[0038]在一较佳实施例中,如图4所示,是本实施例的面向移动智能终端IPv6协议及其应用的安全测试系统的网络架构图,其中,所述攻击端和移动终端模拟设备可通过交换机和无线AP设备连接,通过所述交换机和无线AP设备搭建所述移动互联网异构网络;交换机和无线AP设备的成本低,可便捷快速地搭建基于IPv6协议的移动互联网异构网络。
[0039]在一较佳实施例中,所述移动终端模拟设备包括相互连接的无线网卡和计算机,所述计算机搭建有移动智能终端操作系统和IPv6协议栈;由于移动智能终端设备的硬件资源有限,而计算机在系统承载性能方面更为稳定,也便于IPv6协议栈的部署和实现。
[0040]如图5所示,所述攻击端用于:
[0041]S51、通过端口扫描工具扫描所述移动终端模拟设备的端口 ;
[0042]开启无线AP设备,移动终端模拟设备通过无线AP设备接入Internet方式搭建无线局域网络,在攻击端处打开端口扫描工具,扫描移动智能终端端口,确定可进行攻击评测的移动智能终端对象,为下一步攻击评测做好准备。
[0043]S52、根据扫描到的所述移动终端模拟设备的端口,读取所述移动终端模拟设备的IPv6地址,接收所述移动终端模拟设备发送的NS报文,对所述移动终端模拟设备进行中间人攻击测试;
[0044]进一步地,所述攻击端还用于:
[0045]读取所述移动终端模拟设备的IPv6地址,截获所述移动终端模拟设备的通信数据,同时接入所述移动终端模拟设备与所述无线AP设备构建的无线局域网中;
[0046]在连接成功后,通过所述无线局域网络接收来自所述移动终端模拟设备的NS报文;
[0047]若成功接收NS报文,则对所述移动终端模拟设备进行中间人攻击测试;
[0048]在本实施例中,所述中间人攻击测试包括:中间人与所述移动终端模拟设备IP连接测试、ARP毒化及重定向测试、会话劫持测试、DNS欺骗测试。
[0049]开始中间人攻击测试时,攻击端分别读取移动终端模拟设备IPv6地址,截获移动终端模拟设备的通信数据,并接入移动终端模拟设备与AP接入点所在的无线局域网中,连接成功后,通过网络接收来自移动终端模拟设备的NS报文,以判断主机间是否进行网络通信,若成功接收NS报文,则启动中间人攻击,并通过中间人攻击测试模块进行中间人与主机IP连接测试、数据抓包分析,实现ARP毒化及重定向测试、会话劫持测试、DNS欺骗测试等中间人攻击测试。
[0050]S53、伪造服务器回应终端请求包,分配伪装IP,对所述移动终端模拟设备进行DHCPv6攻击测试;
[0051]进一步地,所述攻击端还用于:
[0052]当检测到所述移动终端模拟设备以广播方式向DHCPv6服务器发送请求包时,伪造所述DHCPv6服务器;
[0053]若伪造成功,则代替DHCPv6服务器向所述移动终端模拟设备分配伪装IP,对所述移动终端模拟设备进行DHCPv6攻击测试。
[0054]所述DHCPv6攻击测试包括伪造服务器测试、数据抓包分析测试,虚假地址信息分配测试、虚假网络信息测试。
[0055]开始DHCPv6攻击测试时,当移动智能终端以广播方式向DHCPv6服务器发送请求包时,攻击端因与移动终端模拟设备处于同一局域网,而能早于DHCPv6服务器回应移动终端模拟设备的请求,伪造服务器,若伪造成功,则代替DHCPv6服务器向移动智能终端分配伪装IP,启动DHCPv6攻击,并进行伪造服务器测试、数据抓包分析,实现虚假地址信息分配测试、虚假网络信息等DHCPv6攻击测试。
[0056]S54、伪造网络数据包,采用多播地址放大流量,对所述移动终端模拟设备进行DoS攻击测试;
[0057]进一步地,所述攻击端还用于:
[0058]读取所述移动终端模拟设备的IP地址,通过IP数据包发送ICMP回声请求数据;
[0059]若所述移动终端模拟设备产生回声响应,则对所述移动终端模拟设备进行DoS攻击测试。
[0060]所述DoS攻击测试包括:伪造网络数据包、通过多播地址放大流量进行崩溃测试、网络阻塞测试。
[0061]开始DoS攻击测试时,攻击端首先读取受害者主机IP地址,通过IP数据包发送ICMP回声请求数据,若受害者产生回声响应,则启动DoS攻击,攻击测试模块伪造大量网络数据包,通过多播地址放大流量,实现移动终端模拟设备崩溃测试、网络阻塞测试等DoS攻击测试。
[0062]S55、根据所述中间人攻击测试、DHCPv6攻击测试和DoS攻击测试,输出安全测试结果。
[0063]由于终端厂商为了降低软件研发成本或者因终端硬件资源有限,对移动智能终端IPv6的具体实现进行大量裁剪,使得终端操作系统中IPv6协议栈实现不完整而产生安全漏洞,造成支持IPv6协议的网络通信应用存在安全隐患,本发明能比较全面的检测出基于移动智能终端IPv6协议栈及其应用中出现的典型安全缺陷,测试种类包括移动智能终端端口扫描、中间人攻击、DHCPv6攻击和拒绝服务攻击。
[0064]由于移动智能终端设备在混合异构网络模式下的IPv6协议实现会引发一系列新的安全问题,这些安全问题一部分直接来源于转换机制本身,而另一部分则间接来源于与外界网络环境的交互,本发明构造的测试环境为移动智能终端设备基于IPv6协议的移动互联网异构网络环境,拟针对上述安全问题进行漏洞检测。该模式既支持传统的PC机模式搭建的测试环境,同时支持由移动智能终端设备搭建的混合异构网络。
[0065]目前可用的评估IPv6实施和部署安全性的IPv6测试工具很少,基于移动智能终端设备在移动互联网异构网络环境下的IPv6协议安全的自动化测试工具尚未出现。已有的测试技术均是通过测试人员手工作业的方式,不能适应软件自动化测试需求,本发明设计高速有效的移动智能终端IPv6协议及其应用的安全性测试工具框架结构,研制自动化的安全测试平台,实现对移动智能终端设备在移动互联网异构网络环境模式下IPv6协议及其应用的安全性进行评估。
[0066]本发明采取模拟替代的方式,以安装有移动智能终端操作系统及IPv6协议栈的PC和无线网卡来模拟移动智能终端,作为IPv6协议及其应用的测试对象,比较全面的检测出基于移动智能终端在移动互联网混合异构网络环境下的IPv6协议栈及其应用中出现的典型安全缺陷。
[0067]本发明通过将适用于移动智能终端平台的IPv6协议裁剪移植到PC机,使用交换机、无线AP及无线网卡构建基于移动智能终端的移动互联网混合异构网络,进行IPv6协议及其应用的安全性测试;
[0068]本发明提出移动智能终端IPv6协议及其应用的自动化测试框架结构,运行更多可重复性及手工无法执行的测试,减少人为因素干扰,快速完成大量数据的测试,高速有效的实现对移动智能终端设备在移动互联网混合异构网络环境下IPv6协议及其应用的安全性进行评估。
[0069]当前越来越多的用户通过移动智能终端进行股票交易、银行业务、网上购物及在线办公等操作。这类具有高安全性需求的交互应用不仅对应用软件本身安全性要求较高,对网络通信过程中的数据安全性的要求则更高,本发明有助于建立权威的安全评测标准以指导移动智能终端IPv6协议栈及其应用的安全评测,同时基于本发明亦有助于开发专业、有效的自动化安全评测工具来测试移动智能终端IPv6协议栈及其应用的安全问题。
[0070]通过搭建基于安全协议漏洞攻击测试的移动智能终端IPv6协议及其应用的评测系统,部署安全协议测试软件工具,研究安全评测方法,实现移动智能终端IPv6安全协议的自动、快速测试,为提高移动智能终端网络通信安全提供咨询建议,有利于建立移动智能终端IPv6安全协议评测标准,为移动智能终端及IPv6应用程序厂商提供安全测试技术支撑。此方法在国内外移动智能终端IPv6安全协议安全评测工作中,将具有广阔的应用前
旦
-5^ O
[0071]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发 明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,包括--攻击端和移动终端模拟设备,所述攻击端和所述移动终端模拟设备通过基于IPv6协议的移动互联网异构网络连接; 所述攻击端用于: 通过端口扫描工具扫描所述移动终端模拟设备的端口; 根据扫描到的所述移动终端模拟设备的端口,读取所述移动终端模拟设备的IPv6地址,接收所述移动终端模拟设备发送的NS报文,对所述移动终端模拟设备进行中间人攻击测试; 伪造服务器回应终端请求包,分配伪装IP,对所述移动终端模拟设备进行DHCPV6攻击测试; 伪造网络数据包,采用多播地址放大流量,对所述移动终端模拟设备进行DoS攻击测试; 根据所述中间人攻击测试、DHCPv6攻击测试和DoS攻击测试,输出安全测试结果。
2.根据权利要求1所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述攻击端和移动终端模拟设备通过交换机和无线AP设备连接,通过所述交换机和无线AP设备搭建所述移动互联网异构网络。
3.根据权利要求1所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述移动终端模拟设备包括相互连接的无线网卡和计算机,所述计算机搭建有移动智能终端操作系统和IPv6协议栈。
4.根据权利要求2和3所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述攻击端还用于: 读取所述移动终端模拟设备的IPv6地址,截获所述移动终端模拟设备的通信数据,同时接入所述移动终端模拟设备与所述无线AP设备构成的无线局域网中; 在连接成功后,通过所述无线局域网络接收来自所述移动终端模拟设备的NS报文; 若成功接收NS报文,则对所述移动终端模拟设备进行中间人攻击测试。
5.根据权利要求2和3所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述攻击端还用于: 当检测到所述移动终端模拟设备以广播方式向DHCPv6服务器发送请求包时,伪造所述DHCPv6服务器; 若伪造成功,则代替DHCPv6服务器向所述移动终端模拟设备分配伪装IP,对所述移动终端模拟设备进行DHCPv6攻击测试。
6.根据权利要求2和3所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述攻击端还用于: 读取所述移动终端模拟设备的IP地址,通过IP数据包发送ICMP回声请求数据; 若所述移动终端模拟设备产生回声响应,则对所述移动终端模拟设备进行DoS攻击测试。
7.根据权利要求4所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述中间人攻击测试包括:中间人与所述移动终端模拟设备IP连接测试、ARP毒化及重定向测试、会话劫持测试、DNS欺骗测试。
8.根据权利要求5所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述DHCPv6攻击测试包括伪造服务器测试、数据抓包分析测试,虚假地址信息分配测试、虚假网络信息测试。
9.根据权利要求6所述的面向移动智能终端IPv6协议及其应用的安全测试系统,其特征在于,所述DoS攻击测试包括:伪造网络数据包、通过多播地址放大流量进行崩溃测试、网络阻塞 测试。
【文档编号】H04L29/06GK103701825SQ201310754158
【公开日】2014年4月2日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】林军, 贾世准, 冯晓荣, 杨春晖 申请人:工业和信息化部电子第五研究所