โปรแกรมNeighbor Discovery Protocol Monitor ( NDPMon ) เป็นแอปพลิเคชันซอฟต์แวร์วินิจฉัยที่ผู้ดูแลระบบเครือข่ายใช้ในการตรวจสอบ แพ็กเก็ต ICMPv6ใน เครือข่าย Internet Protocol เวอร์ชัน 6 (IPv6) ^{[ 1 ] [ 2 ]} NDPMon สังเกตเครือข่ายท้องถิ่นเพื่อหาความผิดปกติในการทำงานของโหนดที่ใช้ ข้อความ Neighbor Discovery Protocol (NDP) โดยเฉพาะอย่างยิ่งในช่วงการกำหนดค่าที่อยู่แบบไร้สถานะ (Stateless Address Autoconfiguration) ^{[ 3 ]}เมื่อข้อความ NDP ถูกทำเครื่องหมาย ระบบจะแจ้งเตือนผู้ดูแลระบบโดยการเขียนลงในsyslogหรือส่งรายงานทางอีเมล นอกจากนี้ยังสามารถเรียกใช้สคริปต์ที่ผู้ใช้กำหนดได้ สำหรับ IPv6 NDPMon เทียบเท่ากับArpwatchสำหรับIPv4และมีคุณสมบัติพื้นฐานที่คล้ายกันพร้อมการตรวจจับการโจมตีเพิ่มเติม^{[ 4 ]}

NDPMon สามารถทำงานได้บน ระบบปฏิบัติการ Linux , Mac OS X , FreeBSD , NetBSDและOpenBSDโดยใช้ไฟล์การกำหนดค่าที่มีพฤติกรรมที่คาดหวังและถูกต้องสำหรับโหนดและเราเตอร์บนลิงก์ ซึ่งรวมถึงที่อยู่เราเตอร์ (MAC และ IP) และคำนำหน้า แฟล็ก และพารามิเตอร์ที่ประกาศ

นอกจากนี้ NDPMon ยังเก็บรักษารายชื่อเพื่อนบ้านบนลิงก์และตรวจสอบโฆษณาและการเปลี่ยนแปลงเครือข่ายทั้งหมด โดยอนุญาตให้ติดตามการใช้งานตัวระบุอินเทอร์เฟซที่สร้างขึ้นด้วยวิธีการเข้ารหัสลับหรือที่อยู่ทั่วโลกชั่วคราวเมื่อเปิดใช้ งานส่วนขยายความเป็นส่วนตัว

NDPMon เป็นซอฟต์แวร์ฟรีที่เผยแพร่ภายใต้สัญญาอนุญาต GNU Lesser General Public Licenseเวอร์ชัน 2.1

NDPMon สร้างรายงานและการแจ้งเตือนต่างๆ มากมาย รวมถึง:

• คู่ MAC/IP ไม่ถูกต้อง: ที่อยู่ MACถูกต้อง ที่อยู่ IP ก็ถูกต้อง แต่ทั้งสองอย่างใช้ร่วมกันไม่ได้
• MAC ของเราเตอร์ไม่ถูกต้อง: ที่อยู่ MAC ไม่ถูกต้อง
• ที่อยู่ IP ของเราเตอร์ไม่ถูกต้อง ที่อยู่ IP ไม่ถูกต้อง
• คำนำหน้าไม่ถูกต้อง: คำนำหน้า IPv6 ไม่ถูกต้อง
• แฟล็ก RA ผิดพลาด: แฟล็กที่ไม่ถูกต้องใน RA
• พารามิเตอร์ RA ไม่ถูกต้อง: พารามิเตอร์ใน RA ไม่ถูกต้อง (อายุการใช้งาน, ตัวจับเวลา...)
• การเปลี่ยนเส้นทางเราเตอร์ผิดพลาด: เราเตอร์ที่ส่งการเปลี่ยนเส้นทางนั้นไม่ถูกต้อง
• แฟล็กเราเตอร์ใน Neighbor Advertisement: โหนดที่ไม่ได้ประกาศว่าเป็นเราเตอร์ได้ประกาศตัวเองว่าเป็นเราเตอร์
• การตรวจจับที่อยู่ซ้ำซ้อนทำให้เกิดการโจมตีแบบปฏิเสธการให้บริการ (DOS): การตรวจจับที่อยู่ซ้ำซ้อนทำให้เกิดการโจมตีแบบปฏิเสธการให้บริการ
• ที่อยู่ Ethernet เปลี่ยนแปลง: ที่อยู่ IPv6 ทั่วโลกมีที่อยู่ MAC ใหม่
• ฟลิปฟลอป: โหนดหนึ่งใช้ที่อยู่ MAC สองที่อยู่สลับกันไปมา
• การนำที่อยู่ Ethernet เก่ากลับมาใช้ใหม่: การนำที่อยู่ MAC เก่ามาใช้ซ้ำ
• ผู้ผลิต MAC ไม่ทราบชื่อ: ไม่ทราบผู้จำหน่าย MAC อาจเป็นของปลอม
• สถานีใหม่: โหนดใหม่บนลิงก์
• ที่อยู่ IPv6 ทั่วโลกใหม่: ที่อยู่ IPv6 ทั่วโลกใหม่สำหรับโหนด
• ที่อยู่ IPv6 Link Local ใหม่: ที่อยู่ IPv6 Link Local ใหม่สำหรับโหนด
• คู่ MAC/LLA ผิดพลาด: คู่ที่อยู่ Ethernet ต้นทางและที่อยู่ LLA ต้นทางผิดพลาด กล่าวคือ พบที่อยู่ Ethernet และ Link Local แต่ตั้งอยู่ในเพื่อนบ้านที่แตกต่างกัน
• ความไม่ตรงกันของอีเธอร์เน็ต: ที่อยู่ของอีเธอร์เน็ตในเลเยอร์ลิงก์และที่อยู่ในตัวเลือก ICMPv6 ไม่ตรงกัน
• IP มัลติแคสต์
• การออกอากาศอีเธอร์เน็ต

มีปลั๊กอินหลายตัวที่สามารถใช้งานร่วมกับ NDPMon ได้:

• การระบุผู้ผลิต MAC: เปรียบเทียบส่วนของผู้ผลิตในที่อยู่ MAC กับฐานที่ทราบ
• ส่วนต่อประสานเว็บ: แคชและการแจ้งเตือนจะถูกแปลงเป็นไฟล์ HTML โดยใช้ XSLT เพื่อแสดงผลแบบเรียลไทม์บนเว็บเซิร์ฟเวอร์
• มาตรการรับมือ: มีการปลอมแปลงแพ็กเก็ตและส่งไปยัง RA หรือ NA ที่ไม่ถูกต้องและเลิกใช้งานแล้ว
• การกรอง Syslog: การหมุนเวียนบันทึกและการเปลี่ยนเส้นทางบันทึกไปยัง /var/log/ndpmon.log
• โพรบระยะไกล (ทดลอง): การตรวจสอบและบันทึกข้อมูลแบบกระจายไปยังอินสแตนซ์ส่วนกลางโดยใช้ SOAP/TLS
• กฎที่กำหนดเอง (ทดลอง): อนุญาตให้ผู้ใช้กำหนดกฎของตนเองสำหรับการแจ้งเตือน

• ชุดโปรโตคอลอินเทอร์เน็ต

• เว็บไซต์โครงการ Sourceforge