IPv6安全

IPv6协议是否太脆弱?

时间:2012/5/29 15:33:44  作者:  来源:  查看:287  评论:0
内容摘要:面对网络的快速更新,我们也迎来了IPv6协议的天下,但是在这个过度敏感的时期,IPv6协议存在的问题也很多,这也是它到目前为止还不能普及的原因。现在我们就来分析一下有关于IPv6协议容易受到的攻击类型,看看它...面对网络的快速更新,我们也迎来了IPv6协议的天下,但是在这个过度...
面对网络的快速更新,我们也迎来了IPv6协议的天下,但是在这个过度敏感的时期,IPv6协议存在的问题也很多,这也是它到目前为止还不能普及的原因。现在我们就来分析一下有关于IPv6协议容易受到的攻击类型,看看它...

面对网络的快速更新,我们也迎来了IPv6协议的天下,但是在这个过度敏感的时期,IPv6协议存在的问题也很多,这也是它到目前为止还不能普及的原因。现在我们就来分析一下有关于IPv6协议容易受到的攻击类型,看看它的抵抗力是如何的。

IPv6协议因其特有的脆弱性,易于受到多方面的攻击:

1、利用DNS攻击

新一代互联网协议IPv6离不开DNS(域名系统)。IPv6网络中的DNS服务器,是一个容易被黑客作为攻击对象的关键主机。由于IPv6的地址空间太大,很多IPv6的网络都会使用动态的DNS服务。一旦攻击者攻占了这台动态DNS服务器,就可以得到大量在线IPv6的主机地址。因为IPv6的地址是128位,不好记忆。网络管理员可能会使用好记的IPv6地址,这些地址可能会被编辑成类似字典的东西,攻击者很有可能根据这些特征猜到IPv6主机。此外,攻击者可以利用这些信息掌握网络中其它网络通信设备,并利用这些信息实施攻击。比如,攻击者可以宣告错误的网络前缀、路由信息等,从而使网络不能正常工作,或将网络流量导向错误的地方。因此,网络管理员在对主机赋予IPv6地址时,应该尽量对自己的IPv6地址进行随机化,使用不容易记忆的地址,能在一定程度上减少主机被黑客发现的机会。对于关键主机的安全需要特别重视,否则,黑客就会着手攻击整个网络。

2、邻居发现协议NDP(NeighborDiscoveryProtocol)

邻居发现协议ND(NeighborDiscoveryProtocol)是IPv6协议一个重要的组成部分,它实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。因此,攻击者往往利用它来发送错误的路由器宣告、错误的重定向消息等,让IP数据流向不确定的方向,进而可以达到拒绝服务、拦截和修改数据的目的。

邻居发现协议通过规定跳限制域最大域255来防止链路外的攻击。但对链路内攻击却无法阻止,因为内攻击者可以利用IPv6协议无状态地址自动配置,很方便地接入同一链路进行攻击。如下图所示:如果甲想要知道乙的MAC地址,就要发送NS(NeighborSolication)给多有的节点,攻击者接收到此请求,就会发送NA响应甲,即可达到中间人攻击。

IETF在2002年成立了安全邻居发现协议工作组SEND(SecureNeighborDiscovery)以来,研究和解决邻居发现协议中的安全问题,并通过了RFC3971安全邻居发现协议SEND。

3、广播放大攻击(Smurf)

Smurf攻击是以最初发动这种攻击的程序名“Smurf"来命名的,这种攻击方法结合使用了IP欺骗和ICMP回复方法,使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统服务。广播放大攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,淹没受害主机,最终导致该网络所有主机都对ICMP应答请求做出答复,导致网络阻塞。还有更严重的问题是,Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。攻击者为了达到目的,通常会伪造大量的echo请求包给目标A和B,这些包的源IPv6协议地址不是攻击者本身的地址,而是受害者某个全球单播地址,目标收到echo请求后都会将echo响应发往受害者,这样的反射流将会大量消耗受害者或者受害者所在网络的带宽和处理资源。如下图所示:

RFC2463规定不会对组播或链路广播地址回复。为了防止广播放大攻击,就要对IPv6组播地址进行ingress过滤(RFC2267,RFC2827)和升级系统支持RFC2463。

4、数据包头更改和分片技术

攻击者可以增加无限的IPv6扩展包头,来探测和攻击分片技术。当需要传输的IP数据包超过链路所能支持的最大传输单元(mtu)时,一个原始IP数据包将被拆分成多个分片包;当属于同一个原始IP数据包的分片包到达目的节点之后,由目的节点完成分片包的重组。由于IPv6比较特殊,中间的网络设备不参与分片和组装,IPv6的分片操作只能在源节点进行。所以,为了减少受到攻击的几率,我们应该对网络设备的分片、不需要的扩展包头、小于128字节的数据包等进行提前过滤。

5、蠕虫和病毒

蠕虫是一种通过网络传播的恶性病毒,在传播性、潜伏性、不可预见性、针对性、隐蔽性、破坏性等方面具有病毒的一些共性,同时具有文件寄生(有的只存在于内存中)、对网络造成拒绝服务以及和黑客技术相结合等一些个性特征。蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。网络的发展使蠕虫可以在很短时间内蔓延整个网络,造成网络瘫痪,可见其破坏性不是一般病毒所能与之相提并论的,这造就了一个谈毒色变的的网络世界!传统的蠕虫和病毒在IPv6中没有太大变化,但由于IPv6地址空间巨大,难以逐一扫描,蠕虫和病毒的传播会比较困难,针对TCP/IP(e.g.Slammertypes)不再有效。但是E-MailWorms将继续存在,而MessengerandP2PWorms也将来临,因此,防范病毒不但要从管理上着力,还要从技术措施上着手,安装蠕虫和病毒检测系统是必不可少的。

凡涉及网络上信息的保密性、可用性、真实性等,都是网络安全研究的领域。尽管IPv6协议在网络安全上做了多项改进,但是其引入也带来新的安全问题。目前,多数网络攻击和威胁来自应用层而非IP层,因此,保护网络信息安全,除了技术改进,还需配合认证体系、加密体系、密钥分发体系、可信计算体系等多种手段。在完善IPv6网络的安全问题上,我们还有很长的路要走。

随着技术的不断进步,电台的计算机网络系统也将逐步引入IPv6进行试验。在时机成熟的条件下,将会考虑在部分网络中试运行IPv6。如果在IPv6网络广播安全性及性能上有较大提高,就可能大范围铺开新的IP协议的使用。这不但是技术上的一次突破,也将在安全性上得到较好的完善,从而保证网络广播系统的各种网络稳定安全运行。

相关评论
评论者:      验证码:  点击获取验证码