The Research of Power System IPv6 Network Sniffer
　　ZHU Xiao-chuan
　　(Guangdong Institute of Science And Technology, Guangzhou 510640, China)
　　Abstract: The forthcoming next net is bound to on the base of IPv6 Protocol which will be safer and more efficient ,and then there will be a large change in the transfers mechanism ,safe mechanism and data-packet masthead configuration of IPv6 net. Moreover the net monitor plays a very important role here, hence the research of snatch at the IP data-packet in the IPv6 net becomes more important and more impending .In this article , the function and principle of data-packet monitor will be introduced at first ,and then the variety of mechanism and data-packet configuration between IPv6 and IPv4 will be talked about .A technique scheme of data-packet monitor in the IPv6 net is also be attempted to be designed in the end.
　　Key words: power system; network sniffer; IPv6; WinPcap
　　在电力系统网络环境中进行数据包监听，然后过滤分析、上传至后台程序进行必要处理，在网络安全领域上是一个比较敏感的话题，捕捉数据包，进行监听分析，在协助网络管理员监控网络中传输的数据，排除网络故障等方面具有不可替代的作用，但同时，由于数据包内信息量的丰富，在网络入侵者手中，就是前期刺探网络信息，进行分析和下一步攻击网络的法宝，同时也是截获用户重要信息，如银行帐号、电子信箱密码等隐私的利器，其重要性决定了数据包监听技术是研究网络技术，分析网络故障应该认真面对的重要课题，尤其是在电力系统网络IPv6进行了IP数据包头结构变化的情况下，研究数据包监听尤其有意义。
　　1）网络安全角度下的数据包监听
　　嗅探器是网络监听的软件工具，它本身对网络不会造成任何损害，但黑客利用嗅探器收集到的信息对网络进行攻击就会严重影响网络安全，它不仅可以截获用户各种帐号和口令，还可以截获敏感的隐私信息(如银行卡号和密码、电子邮件)和其他感兴趣的信息。
　　而且嗅探器程序的原理决定了它是处于被动接收状态，很少向外发送数据，所以很难被发觉。因此数据包嗅探器对网络安全带来严重的威胁。而在交换网络中，虽然避免了利用网卡混杂模式进行的数据嗅探。但交换机并不能解决所有的问题，在一个由交换机连接的网络内，同样可以进行数据嗅探，主要有以下几种方法：MAC洪水、MAC欺骗、ARP重定向和ICMP重定向。
　　2）数据包嗅探器的工作原理
　　传统以太网数据是以广播方式发送的，所以局域网内的每台主机都可以监听到网内传输的所有数据。在正常情况下，网卡都默认以“非混杂模式”的方式工作，在这种工作方式下，网卡仅可以接收两类数据：一类是广播数据，另一类是数据帧中的MAC地址与自己的MAC地址相同的数据，这就是传统以太网的“对网络过滤”规则。但是，如果把网卡设置为“混杂模式”(Promiscuous Mode)，那么它就可以接收网内的所有数据帧。嗅探器就是依据这个原理来监听网络中流动的数据。
　　1 电力系统网络IPv6
　　目前，互联网是运行在IPv4协议的基础上的。IPV6是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，拟通过IPV6重新定义地址空间。IPV4采用32位地址长度，只有大约43亿个地址，估计在2005－2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。按保守方法估算，整个地球上IPv6实际可分配的地址为1000/㎡以上。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在IPV4中解决不好的其他问题，诸如端到端IP连接、服务质量（QoS）、安全性、多播、移动性、即插即用等问题。
　　1.1 IPv6下网络监听相对于IPv4的不同
　　我们知道了网络监听的基本原理，那么在IPv6下进行网络监听的一个明显问题，就是由于IP数据包头的结构改变带来的一系列问题，我们先来看看，结构上IPv4包头与IPv6包头的比较。请参看表1。
　　1.2IPv6网络下数据包捕获的拓展思考
　　IPv6网络中，不仅仅是IP数据包头结构的更改，它还添加了很多安全的特性，比如IPSec的特性。IPSec是一系列基于IP网络的，由IETF正式定制的开放性IP安全标准，可用它保护IP及上层协议（如TCP和UDP）的安全。IPSec采取的具体保护形式包括：数据起源地验证，无连接数据的完整性验证，数据内容的机密性，抗重播保护和有限的数据流机密性保证等。IPSec对IP数据包的安全保护机制是通过引入IPv6的两个扩展包头AH（Authentication）和ESP（Encapsulationg Security Payload）来实现的。虽然IPSec提供的安全性机制既可用于IPv4也可用于IPv6但它在IPv6中是必须强制实施的，而在IPv4中则是可选的。鉴于IPv6在设计时就已经考虑到了安全因素，把IPSec的安全头作为自身的扩展头，因此比IPv4具有更高的安全特性。
　　另一方面，IPv6网络取消了广播，仅把它作为一种特殊的形式，同时一些网络机制也发生了变化，诸如此类问题就给抓包带来了一些问题，正常情况下，简单的抓包，获得的信息量是很少的，而且往往要涉及到解密的问题。
　　因此，IPv6网络中数据包监听可以分为2个角度去设计：1)基于端的数据包监听；2)基于传输线路中的网络层设备的数据包监听。
　其中，第二类的数据包监听最为复杂也是最有用，因为可以截取网络中几乎所有的信息，然后分析过滤，在后台形成一个入侵监测系统，从而可以屏蔽掉大量的危险数据，但有一个问题就是，因为IPSec对IP数据包的安全保护机制，所以数据包从一端出来之后，就已经进行了加密，在网络层的传输设备中，可以截获全部的数据，但需要先进行解密，才可以得到有意义的信息。
　　而针对第一种情况，基于端的数据包监听，如图1所示：基于端的数据包监听中，整个IPv6的数据包是基于增加了IPSEC的TCP/IP四层模型的，我们可以在传输层以上进行监听，此时的数据已经是经过解密的信息，根据我们自己设定的“危险特征码库”，然后进行分析、过滤、处理，然后把危险的信息上传给后台的入侵监测系统或者防火墙，然后对此类信息采取适当的措施，从而形成一套完整的基于主机的防火墙系统或者入侵监测系统。当然，基于传输线路中的网络层设备的数据包监听，可以在基于端的数据包监听基础下，进一步深入，从而研究整个IPv6网络中的嗅探抓包分析。 (责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）