Ndmon

From Livre IPv6

NDPMon (Neighbor Discovery Protocol Monitor) est un outil permettant de superviser les activités du protocole Neighbor Discovery sur un réseau afin de détecter les annonces erronées ou malicieuses.

Le protocole Neighbor Discovery est utilisé par les tous noeuds IPv6 pour s'autoconfigurer puis interagir entre eux grâce aux fonctionnalités de découverte inhérentes au protocole. Une mauvaise configuration (volontaire ou non) d'un hôte peut entraîner la diffusion d'annonces erronées, qui peuvent facilement conduire à perturber le réseau en simulant de différentes manières des attaques de type DoS, flooding ou redirection. Certaines annonces perturbent la découverte des voisins anciennement ARP) conduisant à des problèmes d'identification des noeuds du segment (table des voisins erronnée, non détection d'un noeud hors ligne, usurpation d'identité). D'autres annonces peuvent perturber le mécanisme de routage en empêchant le trafic d'un segment d'être acheminé vers le routeur légitime.

NDPMon est un outil de surveillance pour IPv6 fonctionnant sur le modèle d'Arpwatch. Il répond au besoin des administrateurs réseau de disposer d'un outil facilement déployable permettant de surveiller les faiblesses du protocole Neighbor Discovery. NDPMon détecte les paquets ICMPv6 maliciceux en analysant les paquets capturés sur le réseau et en comparant ces annonces avec sa base de connaissance. Celle-ci est constituée d'une base de données des voisins établie par une phase d'apprentissage et d'un fichier de configuration établi en partie par l'administrateur et pouvant être complété durant cette phase préliminaire. Le logiciel peut détecter différents types d'anomalies et déclencher des alertes spécifiques (email, syslog ou autres alertes scriptées).

NDPMon deployment.jpg

Le logiciel a été développé au sein de l'équipe Madynes du LORIA, par Thibault Cholez et Frederic Beck, et est diffusé sous license LGPL à l'adresse: Site NDPMon

Personal tools