NDPMon - NDPMon

The Monitor sousedního zjišťovacího protokolu (NDPMon) je diagnostická softwarová aplikace používaná správci sítě k monitorování ICMPv6 balíčky v Internetový protokol verze 6 (IPv6) sítě.[1][2] NDPMon sleduje v místní síti anomálie ve funkci uzlů pomocí Neighbor Discovery Protocol (NDP) zprávy, zejména během automatické konfigurace bezstavové adresy.[3] Pokud je zpráva NDP označena, upozorní administrátora zápisem do syslog nebo zasláním e-mailové zprávy. Může také spustit skript definovaný uživatelem. Pro IPv6 je NDPMon ekvivalentem Hodinky pro IPv4, a má podobné základní funkce s přidanou detekcí útoků.[4]

NDPMon běží dál Linux distribuce, Mac OS X, FreeBSD, NetBSD a OpenBSD. Používá konfigurační soubor obsahující očekávané a platné chování pro uzly a směrovače na odkazu. To zahrnuje adresy routeru (MAC a IP) a oznámené předpony, příznaky a parametry.

NDPMon také udržuje seznam sousedů na odkazu a sleduje všechny reklamy a změny v síti. Umožňuje sledování použití kryptograficky generovaných identifikátorů rozhraní nebo dočasných globálních adres, když Rozšíření o ochranu osobních údajů jsou povoleny.

NDPMon je svobodný software zveřejněno pod GNU Lesser General Public License verze 2.1.

Výstrahy a zprávy

NDPMon generuje různé zprávy a výstrahy, včetně:

  • špatný pár MAC / IP: MAC adresa je platná, stejně tak IP adresa, ale ne oba společně
  • špatný MAC router: neplatná MAC adresa
  • špatná IP adresa routeru, neplatná IP adresa
  • chybná předpona: neplatná předpona IPv6
  • špatné příznaky RA: neplatné příznaky v RA
  • špatné parametry RA: nesprávný parametr v RA (doby života, časovače ...)
  • špatné přesměrování routeru: router, který přesměrování vyslal, není platný
  • příznak routeru v Neighbor Neighbor: uzel nedeklarovaný jako router se ohlásil jako jeden
  • Detekce duplicitních adres DOS: odmítnutí služby detekce duplicitních adres
  • změněná ethernetová adresa: globální adresa IPv6 má novou MAC adresu
  • flip flop: uzel používá dvě MAC adresy jednu po druhé
  • znovu použitá stará ethernetová adresa: opětovné použití staré MAC adresy
  • Neznámý výrobce MAC: Dodavatel MAC neznámý, může to být padělaný
  • nová stanice: nový uzel na odkazu
  • new IPv6 Global Address: new IPv6 Global address for a node
  • new IPv6 Link Local Address: new IPv6 Link Local address for a node
  • nesprávný pár MAC / LLA: nesprávný pár zdrojových ethernetových a zdrojových LLA adres, tj. ethernetové a linkové místní adresy se nacházejí, ale u různých sousedů
  • Neshoda Ethernetu: ethernetová adresa linkové vrstvy a adresa ve volbě ICMPv6 se neshodují
  • Multicast IP
  • Ethernetové vysílání

Dostupné pluginy

Pro NDPMon je k dispozici sada pluginů:

  • Rozlišení dodavatele MAC: porovnává část MAC adresy dodavatele se známou základnou
  • Webové rozhraní: mezipaměti a upozornění se převádějí na soubory HTML pomocí XSLT pro zobrazení v reálném čase na webovém serveru
  • Protiopatření: pakety jsou zfalšovány a odeslány zastaralým darebáckým RA nebo NA
  • Filtrování syslogů: logrotate a přesměrování protokolů na /var/log/ndpmon.log
  • Vzdálené sondy (experimentální): distribuované monitorování a protokolování do centrální instance pomocí protokolu SOAP / TLS
  • Vlastní pravidla (experimentální): umožňuje uživatelům definovat svá vlastní pravidla pro zvyšování výstrah

Viz také

Reference

  1. ^ RFC 4861, Neighbor Discovery pro IP verze 6 (IPv6), T. Narten a kol. (Září 2007)
  2. ^ Monitorování protokolu Neighbor Discovery Protocol F. Beck, T. Cholez, I. Chrisment a O. Festor - Druhý mezinárodní workshop o IPv6 dnes - technologie a nasazení - IPv6TD 2007 (2007)
  3. ^ RFC 4862 Automatická konfigurace bezstavové adresy IPv6, S. Thomson, T. Narten, T. Jinmei (září 2007)
  4. ^ RFC 3756 IPv6 Neighbor Discovery (ND) Trust Modely a hrozby P. Nikander, Ed., J. Kempf, E. Nordmark (květen 2004)

externí odkazy