公司动态COMPANY NEWS

IPv6对网络安全的影响性分析

  本文摒挡并总结了IPv6也许存正在的安闲恫吓,从IPv4安闲恫吓延续、IPv6干系附庸订交和干系机制也许带来的安闲恫吓、IPv6对安闲硬件的影响及过渡身手的安闲恫吓四个方面举行了认识与梳理。

  IPv6中可应用IPSec对其汇集层的数据传输举行加密回护,但RFC6434中不再强制请求践诺IPSec,所以正在未启用IPSec的情状下,对数据包举行监听还是是可行的。

  IPv4汇荟萃操纵层可践诺的攻击正在IPv6汇集下仍旧可行,比方SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等操纵层的防御不受汇集层订交转变的影响。

  启用IPSec对数据举行认证与加密操作前需求扶植SA,平日情状下动态SA的扶植通过密钥交流订交IKE、IKEv2告竣,由DH(Diffie-Hellman)算法对IKE密钥载荷交流举行安闲保护[1],然而DH密钥交流并未对通讯两边的身份举行验证,所以也许蒙受中心人攻击。

  正在IPv4与IPv6中,向宗旨主机发送豪爽汇集流量还是是有用的攻击格式,泛洪攻击也许会酿成要紧的资源花费或导致宗旨瓦解。

  正在IPv6中,中心节点不成能对分段数据包举行打点,唯有端体例可能对IP数据包举行分分段与重组,所以攻击者也许借助该本质构制恶意数据包。

  正在RFC8200中声明禁止重组重叠的IPv6分片,且其局部最小MTU为1280字节[2],所以打点时将抛弃除终末分片外小于1280字节的分片,正在必然圭外上也缓解了分片攻击。

  IPv6应用NDP订交取代了IPv4中的ARP订交,但因为告竣道理基础一律,所以针对ARP订交的ARP棍骗、ARP泛洪等犹如攻击格式正在IPv6中还是可行。

  可欺骗逐跳选项报头发送豪爽包括途由提示选项的IPv6数据包,包括有途由提示选项的数据包请求一切途由器对该数据包举行打点并注意查看该数据包的报头音信[3],当攻击者发送豪爽此类IPv6数据包时,将花费链途上途由器豪爽资源,要紧可酿成DoS攻击。

  转移IPv6订交的数据通讯以明文举行传输,所以其自身便是担心全的,攻击者可对MIPv6数据包举行嗅探进而识别其通讯节点、转交所在、家园所在、家园代庖等音信,并欺骗这些音信伪制数据包。攻击者可通过拦截类型为音讯绑定更新的数据包,编削绑定相闭中的转交所在。其它,转移节点标识符选项揭示了用户的家园隶属相闭,攻击者可欺骗该选项确定用户身份,锁定特定的攻击对象[4]。

  正在RH0途由类型(即type 0)下,攻击者可欺骗途由报头选项伪装成合法用户接管返回的数据包。同时,RH0供应了一种流量放大机制,攻击者可欺骗该类型举行拒绝效劳攻击[5]。

  固然RH0已被正式弃用并启用RH2[2],但旧的或未升级配置仍旧也许蒙受RH0攻击。

  应该尽速更新安闲配置并升级至最新的IPv6订交版本,同时对一切的RH0数据包举行抛弃。

  如若将枢纽的报头音信切分正在众个片断中,安闲防护配置对枢纽音信举行提取与检测打点会泯灭豪爽资源,构制豪爽该类数据包也许对宗旨主机酿成DoS攻击。

  攻击者可向节点发送豪爽不完好的分段荟萃,强迫节点等候片断荟萃的终末片断,节点正在超往往间内因为只接管到个别IPv6片断进而无法完结重组,最终只可将数据包抛弃,正在超时等候时间,会酿成存储资源的花费。

  Cisco ASA防火墙的FragGuard功效可能将一切的分片拼装并举行全面数据包查抄用以确定是否存正在遗失的分段或重叠分段。

  遵循RFC8200,IPv6节点已不行创修重叠分段,且正在对IPv6报文举行重组时,如若确定一个或众个片断为重叠片断,则务必对全面报文举行抛弃[2]。

  可通过向宗旨节点发送ICMPv6 Packet too big报文,减小接管节点的MTU,下降传输速度。

  可通过向宗旨节点发送过众的ICMPv6包以及发送舛错音讯,导致会话被抛弃,从而作怪已扶植的通讯,告竣DoS攻击[6]。

  可通过向主机发送体式反对确的音讯刺激主机对ICMPv6的相应,从而通呈现潜正在的攻击宗旨[6]。

  可正在交流机的每个物理端口设备流量局部,将跨越流量局部的数据包抛弃。或正在防火墙或鸿沟途由器上启动ICMPv6数据包过滤机制,也可设备途由器拒绝转发带有组播所在的ICMPv6 EchoRequest报文。

  因为NDP订交基于可托汇集所以并不具备认证功效,所以可通过伪制ICMPv6 NA/RA报文告竣中心人攻击。攻击者可能伪制NA报文,将本人的链途层所在并启用笼罩标记(O)行为链途上其他主机的所在举行播送。攻击者可伪制RA报文发送至宗旨节点编削其默认网闭。

  当宗旨节点向FF02 :: 16一切节点发送NS数据包举行反复所在检测时,攻击者可向该节点发送NA报文举行相应,并剖明该所在已被本人应用。当节点接管到该所在已被占用音讯后从再造成新的IPv6所在并再一次举行反复所在检测时,攻击者可接连举行NA相应告竣DoS攻击。

  攻击者可伪制区别汇集前缀RA音讯对FF02 :: 1举行举行泛洪攻击,接管节点将会遵循区其余汇集前缀举行更新,从而花费豪爽的CPU资源。

  安闲邻人呈现(SEND)[7]订交是邻人呈现订交中的一个安闲扩展,其职责道理为使汇荟萃每个IPv6节点都有一对公私钥以及众个邻人扩展选项。采用SEND订交后,各个节点的接口标识符(IPv6所在低64比特)将基于目今的IPv6汇集前缀与公钥举行盘算出现,而不行由各个节点自行挑选。安闲邻人呈现订交通落伍期戳和Nonce选项抵御重放攻击,并引入了CGA(暗码天生所在)与RSA具名对数据源举行验证以治理邻人央求/邻人告示棍骗的题目。SEND固然可能治理必然的安闲题目,但目前体例与配置对SEND的援助特别有限。

  RFC7113提出了IPv6安闲RA计划RA-Guard[8],其通过阻断非信赖端口RA报文转发来避免恶意RA也许带来的恫吓,正在攻击包实践抵达宗旨节点之前阻碍二层配置上的攻击数据包。

  应用拜候掌管列外或空途由过滤对所在空间中未分派的个其余拜候,用以制止攻击者迫使途由解析未应用的所在。

  攻击者可能伪装为豪爽的DHCPv6客户端,向DHCPv6效劳器央求豪爽的IPv6所在,耗光IPv6所在池。

  攻击者可向DHCPv6效劳器发送豪爽的SOLICIT音讯,强顺从务器正在必然时期内维护一个状况,以致效劳器CPU与文献体例出现强大责任,直至无法平常职责。

  攻击者可伪酿成DHCPv6效劳器向宗旨客户端发送伪制的ADVERTISE与REPLY报文,正在伪制报文中带领子虚的默认网闭、DNS效劳器等音信,以此告竣重定向攻击。

  对客户端一切发送到FF02::1:2(一切DHCPv6中继代庖与效劳器)和FF05::1:3(一切DHCPv6效劳器)的音讯数目举行速度局部。

  DHCPv6中内置了认证机制,认证机制中的RKAP订交[9]可能对伪制DHCPv6效劳器的攻击举动供应防备。

  针对IPv6报文,防火墙务必对IPv6基础报头与一切的扩展首部举行解析,才略获取传输层与操纵层的音信,从而确定目今数据报是否该当被应许通过或是被抛弃。因为过滤战术比拟IPv4愈加庞大,正在必然水准大将加剧防火墙的责任,影响防火墙的功能。

  如若正在IPv6数据包中启用加密选项,负载数据将举行加密打点,因为包过滤型防火墙无法对负载数据举行解密,无法获取TCP与UDP端标语,所以包过滤型防火墙无法判定是否可能将目今数据包放行。

  因为所在转换身手(NAT)和IPSec正在功效上不行家,所以很难穿越所在转换型防火墙欺骗IPSec举行通讯。

  面临IPv6数据包,假如启用了加密选项,IDS与IPS则无法对加密数据举行提取与认识,无法通过报文认识获取TCP、UDP音信,进而无法对汇集层举行完全的安闲防护。即使只应许流量启用AH认证报头,但认证报头内部具有可变长度字段ICV,所以检测引擎并不行确切地定位发端实质查抄的地方。

  假如双栈主机不具备IPv6汇集下的安闲防护,而攻击者与双栈主机存正在毗邻相闭时,则可能通过包括IPv6前缀的途由告示应答的格式激活双栈主机的IPv6所在的初始化,进而践诺攻击。

  攻击者可通过伪制外部IPv4与内部IPv6所在伪装成合法用户向地道中注入流量。

  位于地道IPv4途径上的攻击者可能嗅探IPv6地道数据包,并读取数据包实质。

  欺骗翻译身手告竣IPv4-IPv6汇集互联互通时,需求对报文的IP层及传输层的干系音信举行改动,所以也许会对端到端的安闲出现影响,导致IPSec的三层安闲地道正在翻译配置处崭露断点。

  翻译配置行为汇集互通的枢纽节点,是DDoS攻击的紧要攻击宗旨。同时,翻译配置还也许境遇所在池耗尽攻击,若IPv6攻击者向IPv4效劳器发送互通央求,但每条央求都具有区其余IPv6所在,则每条央求都将花费一个所在池中的IPv4所在,当崭露豪爽该类央求时,便会将所在池耗尽,使得翻译配置不再接纳进一步的央求。

  本网站根据邦度干系规矩计划了相应的稿酬,但因为客观来历无法支出。如您是这篇作品或图片的著作权人或其他权力人,请与本网站闭联。本网站正在确认您的身份后将予以支出。

      彩票365,彩票365官网,彩票365官网平台

彩票365娱乐

2019-06-22 09:54


彩票365SEO ©2018 彩票365网络科技股份有限公司 赣ICP备18016596网站地图