|
副问题[/!--empirenews.page--]
本文清算并总结了IPv6也许存在的安详威胁,从IPv4安详威胁连续、IPv6相干隶属协媾和相干机制也许带来的安详威胁、IPv6对安详硬件的影响及过渡技能的安详威胁四个方面举办了说明与梳理。
一、 IPv4 安详威胁连续
(1) 报文监听
IPv6中可行使IPSec对其收集层的数据传输举办加密掩护,但RFC6434中不再逼迫要求实验IPSec,因此在未启用IPSec的环境下,对数据包举办监听仍旧是可行的。
(2) 应用层进攻
IPv4收集中应用层可实验的进攻在IPv6收集下依然可行,好比SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等应用层的防止不受收集层协议变革的影响。
(3) 中间人进攻
启用IPSec对数据举办认证与加密操纵前必要成立SA,凡是环境下动态SA的成立通过密钥互换协议IKE、IKEv2实现,由DH(Diffie-Hellman)算法对IKE密钥载荷互换举办安详保障[1],然而DH密钥互换并未对通讯两边的身份举办验证,因此也许蒙受中间人进攻。
(4) 泛洪进攻
在IPv4与IPv6中,向方针主机发送大量收集流量仍旧是有用的进攻方法,泛洪进攻也许会造成严峻的资源耗损或导致方针瓦解。
(5) 分片进攻
在IPv6中,中间节点不行以对分段数据包举办处理赏罚,只有端体系可以对IP数据包举办分分段与重组,因此进攻者也许借助该性子结构恶意数据包。
在RFC8200中声明榨取重组重叠的IPv6分片,且其限定最小MTU为1280字节[2],因此处理赏罚时将扬弃除最后分片外小于1280字节的分片,在必然措施上也缓解了分片进攻。
(6) 路由进攻
在IPv6下,因为部道路由协议并未产生变革,因此路由进攻仍旧可行。
(7) 地点诱骗
IPv6行使NDP协议更换了IPv4中的ARP协议,但因为实现道理根基同等,因此针对ARP协议的ARP诱骗、ARP泛洪等相同进攻方法在IPv6中仍旧可行。
二、 IPv6 引入的安详隐患
1. IPv6扩展首部威胁
(1) 逐跳选项报头
- 安详威胁:可操作逐跳选项报头发送大量包括路由提醒选项的IPv6数据包,包括有路由提醒选项的数据包要求全部路由器对该数据包举办处理赏罚并细心查察该数据包的报头信息[3],当进攻者发送大量此类IPv6数据包时,将耗损链路上路由器大量资源,严峻可造成DoS进攻。
- 应对方法:该当限定路由器对包括路由提醒选项的数据包的处理赏罚数目。
(2) 目标选项报头
- 安详威胁:移动IPv6协议的数据通讯以明文举办传输,因此其自己即是不安详的,进攻者可对MIPv6数据包举办嗅探进而辨认其通讯节点、转交地点、老家地点、老家署理等信息,并操作这些信息伪造数据包。进攻者可通过拦截范例为动静绑定更新的数据包,修改绑定相关中的转交地点。另外,移动节点标识符选项显现了用户的老家从属相关,进攻者可操作该选项确定用户身份,锁定特定的进攻工具[4]。
- 应对方法:可实行开启IPSec担保数据包不会被窃听[4]。
(3) 路由报头
- 安详威胁:在RH0路由范例(即type 0)下,进攻者可操作路由报头选项伪装成正当用户吸取返回的数据包。同时,RH0提供了一种流量放大机制,进攻者可操作该范例举办拒绝处事进攻[5]。固然RH0已被正式弃用并启用RH2[2],但旧的或未进级装备依然也许蒙受RH0进攻。
- 应对方法:该当尽快更新安详装备并进级至最新的IPv6协议版本,同时对全部的RH0数据包举办扬弃。
(4) 分段报头
- 安详威胁:如若将要害的报头信息切分在多个片断中,安详防护装备对要害信息举办提取与检测处理赏罚会淹灭大量资源,结构大量该类数据包也许对方针主机造成DoS进攻。进攻者可向节点发送大量不完备的分段荟萃,强制节点守候片断荟萃的最后片断,节点在超时时刻内因为只吸取到部门IPv6片断进而无法完成重组,最终只能将数据包扬弃,在超时守候时代,会造成存储资源的耗损。
- 应对方法:防火墙应该扬弃除最后分段外全部小于1280字节的全部分段。
Cisco ASA防火墙的FragGuard成果可以将全部的分片组装并举办整个数据包搜查用以确定是否存在丢失的分段或重叠分段。
按照RFC8200,IPv6节点已不能建设重叠分段,且在对IPv6报文举办重组时,如若确定一个或多个片断为重叠片断,则必需对整个报文举办扬弃[2]。
2. 协议威胁
(1) ICMPv6协议
安详威胁:
- 可通过向组播地点FF02::1发送Echo Request报文,通过吸取Echo Reply报文实现当地链路扫描,或以方针节点作为源地点向组播地点FF02 :: 1发送ICMPv6 EchoRequest动静实现Smurf进攻。
- 可通过向方针节点发送ICMPv6 Packet too big报文,减小吸取节点的MTU,低落传输速度。
- 可通过向方针节点发送过多的ICMPv6包以及发送错误动静,导致会话被扬弃,从而粉碎已成立的通讯,实现DoS进攻[6]。
- 可通过向主机发送名目不正确的动静刺激主机对ICMPv6的相应,从而通发明隐藏的进攻方针[6]。
应对方法:
- 可在互换机的每个物理端口配置流量限定,将超出流量限定的数据包扬弃。或在防火墙或界线路由器上启动ICMPv6数据包过滤机制,也可设置路由器拒绝转发带有组播地点的ICMPv6 EchoRequest报文。
- 可实行封锁PMTU发明机制,但其会影响到收集数据的传输速度。
(2) 邻人发明协议(NDP)
安详威胁:
- 中间人进攻:因为NDP协议基于可信收集因此并不具备认证成果,因此可通过伪造ICMPv6 NA/RA报文实现中间人进攻。进攻者可以伪造NA报文,将本身的链路层地点并启用包围符号(O)作为链路上其他主机的地点举办广播。进攻者可伪造RA报文发送至方针节点修改其默认网关。
- 一再地点检测进攻:当方针节点向FF02 :: 16全部节点发送NS数据包举办一再地点检测时,进攻者可向该节点发送NA报文举办相应,并表白该地点已被本身行使。当节点吸取到该地点已被占用动静后从头天生新的IPv6地点并再一次举办一再地点检测时,进攻者可继承举办NA相应实现DoS进攻。
- 泛洪进攻:进攻者可伪造差异收集前缀RA动静对FF02 :: 1举办举办泛洪进攻,吸取节点将会按照差异的收集前缀举办更新,从而耗损大量的CPU资源。
(编辑:河北网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
