IPv6分片重组在入侵检测系统中的实现

　　Web技术推动因特网以惊人的速度发展。10年前，关注未来因特网扩展性能的人们就开始担心IPv4网络本身的局限性将难以支撑因特网的持续发展。为此IETF推出了新一代因特网协议——IPv6。与IPv4相比，IPv6提供了许多全新的特性，如地址空间扩展、安全性设置以及自动配置等。

　　IPv6的发展得到众多设备制造商的支持，甚至提高到国家层面来开展基于IPv6的研究和部署。美国国防部的IPv6部署进度表显示：2005-2007年，IPv6和IPv4协议共同运行；2008年实现美国本土全面的IPv6计划。欧洲和日、韩在IPv6相关领域也展开了大量研究，各种实验网和试验性商用IPv6网纷纷开通。200陴年3月，我国第一个下一代因特网主干网——CERNET2正式开通并提供服务，成为目前世界上规模最大的IPv6国家主干网。

　　随着IPv6的逐渐普及，针对下一代因特网的安全防范问题也被提到议事日程上来。本项目正是基于这一考虑而开展的。受国家计算机网络与信息安全中心委托，本项目主要进行基于IPv6骨干网的入侵检测技术研究，为IPv6时代的国家计算机网络信息安全研究做技术储备。

　　本文将就IP分片攻击在IPv6中的表现形式、IPv6的分片重组机制以及如何防范IPv6的分片攻击展开详细的讨论。

　　一、IP分片攻击在IPv6中的表现形式

　　总的来说，在IPv4下的所有分片攻击都能在IPv6中重现，只是在实现的具体机制上有所不同。

　　当需要传输的IP数据包超过链路所能支持的最大传输单元（MTU）时，一个原始IP数据包将被拆分成多个分片包；当属于同一个原始IP数据包的分片包到达目的节点之后，由目的节点完成分片包的重组。与IPv4不同的是IPv6的分片操作只能在源节点进行，而前者在沿途的中间节点（如中间路由器）上也可以进行。IP分片包可以独立地通过不同的路径转发，到达目的节点的顺序也不一定能保持从源节点出发时的顺序。由于目标系统能够完成IP分片数据包的重组，因此网络入侵检测系统也必须具备对IP分片数据包重组的能力，否则将不能正确检测通过IP分片方式进入受保护网络的攻击数据。