数码资讯
IPv6的最新网络安全威胁分析
选购提示
关注价格、性能、续航、售后和真实使用场景,理性比较后再下单。
我们知道IPv6是最新技术的IP地址,它为我们实际的十六二进制算法提供了更多的IP地址,理论非常安全,但更实用,也存在一些不足,对这些不安全因素进行跟踪和分析!
与IPv4相比,IPv6提供了更大的地址空间,集成安全性,简单的配置,和更简洁的包头structure.ipv6 IPSec是安全的一个必要组成部分,网络层是增强,但IPv6不需要强制实施IPSec协议和IPSec依赖PKI基础设施的可扩展性问题和效率问题,IPSec很少部署在网络环境中的实际的IPv6。
由于IP网络数据传输的基本机制没有改变,IPv6网络面临着许多攻击像IPv4网络,如报头处理和碎片攻击、地址欺骗、地址解析和DHCP攻击、蠕虫和病毒的攻击。同时,由于该协议的特点,IPv6具有很多新的安全威胁,如IPv6网络侦察、第三级地址欺骗和隐私的外延,ICMPv6相关安全攻击,IPv6扩展头的安全,隧道安全等等。随着IPv6在校园网中的广泛部署,IPv6网络的安全问题越来越突出。
IPv6网络安全新威胁主要分为两大类,如图1所示,在威胁一类的IPv6协议栈的漏洞,如苹果的Mac OS X操作系统IPv6套接字选项,拒绝服务攻击漏洞(cve-2010-1132),Linux内核补丁ID IPv6远程拒绝服务(cve-2011-2699)攻击漏洞,攻击者可以利用这些漏洞攻击的安全威胁,用户应及时更新系统;其次是新的IPv6协议的具体威胁,如IPv6网络侦察、邻居欺骗攻击,IPv6隧道攻击,下面介绍几种典型的IPv6网络安全威胁。
IPv6网络侦察
网络侦察往往是攻击的第一步,但巨大的IPv6的地址空间,使得传统的网络地址段ping扫描IPv6网络中非常困难。然而,这并不意味着不能扫描在IPv6网络攻击,攻击者可以使用更少的安全路由器的DNS和缓冲,容易记住的地址(如:1,::IPv4)和数据包分析方法进行攻击,另外IPv6组播机制使得一些扫描容易,如所有的路由器,所有的DHCP服务器。典型的IPv6网络扫描技术包括以下:
1。收集IPv6前缀信息
攻击者通过观察路由信息,例如周期性地发送RA包捕获路由器或伪造发送给所有路由器的RS消息,然后观察RA消息路由器的应答;或者从因特网注册地址空间分发信息,可以学习一些IPv6前缀信息。
2。DNS查询
通过DNS公告的服务器可以很容易地通过DNS查询获得相应的IPv6地址,如果管理者按顺序将地址分配给主机,则只有一个服务器地址可能受到其他主机的威胁。
三.应用程序日志文件分析
通过分析日志文件,攻击者可以获得IPv6地址,如Web站点的日志文件和由P2P连接的日志文件。
4。隧道地址分析
攻击者通过分析网络中使用的过渡方法确定目标节点的地址,如6 T O4隧道、ISATAP隧道、Teredo隧道或其他技术。例如,一些操作系统实现2002:v4addr 6to4默认地址是v4addr:如果攻击者发现目标的IPv4地址,就可以分析相应的IPv6地址。
5。虚假路由通告
攻击者发送的目标地址到目标网络作为一个节点组播地址虚假路由通知消息(ff02:1)。通过分析地址重复检测的多播消息,攻击者可以获得目标网络活动主机的IPv6地址。
IPv6邻接点欺骗攻击
IPv6邻居发现协议(ND)ND协议集成在IPv4功能以前的一些协议,如IPv4地址解析协议(ARP),发现ICMP协议和ICMP路由重定向功能,并增加了一些新的功能,如网络地址前缀发现、链路参数检测和自动地址配置的ND协议。主要的安全威胁可分为三种类型:拒绝服务攻击(DoS)、地址欺骗攻击、路由欺骗攻击,ND协议的安全威胁主要是:
1。邻居请求和通知欺骗。攻击者可以通过攻击者的邻居请求(ns)消息或邻居通知(NA)消息更新邻居的缓存,发送虚假的MAC地址,导致攻击者将消息转发到假MAC地址。
2。地址重复拒绝服务攻击。通过发送假NA消息,攻击者响应子网中发现的所有ns重复请求,以便被攻击的节点不能获得地址,然后重复地址发现拒绝服务攻击。
3。邻居无法找到欺骗。攻击者继续发送一个错误的NA邻居通知消息来响应目标节点的邻居来检测ns消息。
4。路由器宣布欺骗,攻击者发送虚假路由器通知消息以响应目标节点路由器的请求消息,从而欺骗目标节点并选择假路由器作为默认路由器。
5。错误路由参数欺骗:攻击者通过发送包含恶意参数的虚假路由器消息来控制或破坏目标节点的通信。
6。假消息重定向。攻击者通过伪造链接发送路由器到目标节点的错误重定向消息。
IPv6隧道攻击
在IPv4和IPv6共存的过渡阶段,提出了各种隧道机制。各种隧道机制的引入给网络环境带来了新的复杂性,同时也带来了一些新的安全隐患,隧道机制的安全主要威胁如下:
1。通过隧道来避免安全检查,隧道设备的进入给许多现有的安全措施带来了新的挑战,包括旁路访问控制列表和基于网络的源路由控制。
2。通过隧道机制的新特点带来新的威胁。如对NAT设备打开一个端口,方便远程访问客户端的Teredo隧道隧道入口,还提供了可用于从网络外部的攻击者;ISATAP地址欺骗攻击,攻击者可以将大量的虚假数据包的协议类型41在ISATAP网络;6to4机制本身的设计必须能够接受和尝试图形软件包的所有IPv4数据包,它会更容易欺骗攻击。
来自3的新威胁。隧道地址。因为许多隧道机制使用一个固定的地址范围,例如,6to4隧道有其特殊的地址前缀,这使得它更容易猜隧道的地址。
4。隧道端点服务器的攻击,隧道端点服务器是隧道机制安全的重要组成部分。攻击者如果修改隧道服务器的配置或进行DoS攻击,就会带来一系列的安全问题。
IPv4双协议栈的安全威胁
双栈是一种重要的IPv6转换方法。许多操作系统默认支持双协议栈。这也使得双协议栈的主机不仅面临IPv4和IPv6的安全威胁,而且两协议的混合攻击。IPv4网络中的IPv6部署没有,由于操作系统默认激活IPv6地址自动配置功能的一部分,因此IPv4子网也有隐藏的IPv6连接,攻击者可以使用该IPv6链路进行各种攻击的子网。
虽然IPv6增强了网络的安全性,但由于复杂的原因,IPSec还没有被广泛的应用在当前的IPv6网络,IPv6网络的安全问题也日益突出,本文根据IPv6的特点,介绍了IPv6的网络侦察、欺骗攻击、IPv6邻居隧道攻击和其他新的IPv6一个典型的网络安全威胁,使人们在设计、IPv6网络的部署和维护,网络安全配置的正确使用和提高网络安全策略,IPv6。
与IPv4相比,IPv6提供了更大的地址空间,集成安全性,简单的配置,和更简洁的包头structure.ipv6 IPSec是安全的一个必要组成部分,网络层是增强,但IPv6不需要强制实施IPSec协议和IPSec依赖PKI基础设施的可扩展性问题和效率问题,IPSec很少部署在网络环境中的实际的IPv6。
由于IP网络数据传输的基本机制没有改变,IPv6网络面临着许多攻击像IPv4网络,如报头处理和碎片攻击、地址欺骗、地址解析和DHCP攻击、蠕虫和病毒的攻击。同时,由于该协议的特点,IPv6具有很多新的安全威胁,如IPv6网络侦察、第三级地址欺骗和隐私的外延,ICMPv6相关安全攻击,IPv6扩展头的安全,隧道安全等等。随着IPv6在校园网中的广泛部署,IPv6网络的安全问题越来越突出。
IPv6网络安全新威胁主要分为两大类,如图1所示,在威胁一类的IPv6协议栈的漏洞,如苹果的Mac OS X操作系统IPv6套接字选项,拒绝服务攻击漏洞(cve-2010-1132),Linux内核补丁ID IPv6远程拒绝服务(cve-2011-2699)攻击漏洞,攻击者可以利用这些漏洞攻击的安全威胁,用户应及时更新系统;其次是新的IPv6协议的具体威胁,如IPv6网络侦察、邻居欺骗攻击,IPv6隧道攻击,下面介绍几种典型的IPv6网络安全威胁。
IPv6网络侦察
网络侦察往往是攻击的第一步,但巨大的IPv6的地址空间,使得传统的网络地址段ping扫描IPv6网络中非常困难。然而,这并不意味着不能扫描在IPv6网络攻击,攻击者可以使用更少的安全路由器的DNS和缓冲,容易记住的地址(如:1,::IPv4)和数据包分析方法进行攻击,另外IPv6组播机制使得一些扫描容易,如所有的路由器,所有的DHCP服务器。典型的IPv6网络扫描技术包括以下:
1。收集IPv6前缀信息
攻击者通过观察路由信息,例如周期性地发送RA包捕获路由器或伪造发送给所有路由器的RS消息,然后观察RA消息路由器的应答;或者从因特网注册地址空间分发信息,可以学习一些IPv6前缀信息。
2。DNS查询
通过DNS公告的服务器可以很容易地通过DNS查询获得相应的IPv6地址,如果管理者按顺序将地址分配给主机,则只有一个服务器地址可能受到其他主机的威胁。
三.应用程序日志文件分析
通过分析日志文件,攻击者可以获得IPv6地址,如Web站点的日志文件和由P2P连接的日志文件。
4。隧道地址分析
攻击者通过分析网络中使用的过渡方法确定目标节点的地址,如6 T O4隧道、ISATAP隧道、Teredo隧道或其他技术。例如,一些操作系统实现2002:v4addr 6to4默认地址是v4addr:如果攻击者发现目标的IPv4地址,就可以分析相应的IPv6地址。
5。虚假路由通告
攻击者发送的目标地址到目标网络作为一个节点组播地址虚假路由通知消息(ff02:1)。通过分析地址重复检测的多播消息,攻击者可以获得目标网络活动主机的IPv6地址。
IPv6邻接点欺骗攻击
IPv6邻居发现协议(ND)ND协议集成在IPv4功能以前的一些协议,如IPv4地址解析协议(ARP),发现ICMP协议和ICMP路由重定向功能,并增加了一些新的功能,如网络地址前缀发现、链路参数检测和自动地址配置的ND协议。主要的安全威胁可分为三种类型:拒绝服务攻击(DoS)、地址欺骗攻击、路由欺骗攻击,ND协议的安全威胁主要是:
1。邻居请求和通知欺骗。攻击者可以通过攻击者的邻居请求(ns)消息或邻居通知(NA)消息更新邻居的缓存,发送虚假的MAC地址,导致攻击者将消息转发到假MAC地址。
2。地址重复拒绝服务攻击。通过发送假NA消息,攻击者响应子网中发现的所有ns重复请求,以便被攻击的节点不能获得地址,然后重复地址发现拒绝服务攻击。
3。邻居无法找到欺骗。攻击者继续发送一个错误的NA邻居通知消息来响应目标节点的邻居来检测ns消息。
4。路由器宣布欺骗,攻击者发送虚假路由器通知消息以响应目标节点路由器的请求消息,从而欺骗目标节点并选择假路由器作为默认路由器。
5。错误路由参数欺骗:攻击者通过发送包含恶意参数的虚假路由器消息来控制或破坏目标节点的通信。
6。假消息重定向。攻击者通过伪造链接发送路由器到目标节点的错误重定向消息。
IPv6隧道攻击
在IPv4和IPv6共存的过渡阶段,提出了各种隧道机制。各种隧道机制的引入给网络环境带来了新的复杂性,同时也带来了一些新的安全隐患,隧道机制的安全主要威胁如下:
1。通过隧道来避免安全检查,隧道设备的进入给许多现有的安全措施带来了新的挑战,包括旁路访问控制列表和基于网络的源路由控制。
2。通过隧道机制的新特点带来新的威胁。如对NAT设备打开一个端口,方便远程访问客户端的Teredo隧道隧道入口,还提供了可用于从网络外部的攻击者;ISATAP地址欺骗攻击,攻击者可以将大量的虚假数据包的协议类型41在ISATAP网络;6to4机制本身的设计必须能够接受和尝试图形软件包的所有IPv4数据包,它会更容易欺骗攻击。
来自3的新威胁。隧道地址。因为许多隧道机制使用一个固定的地址范围,例如,6to4隧道有其特殊的地址前缀,这使得它更容易猜隧道的地址。
4。隧道端点服务器的攻击,隧道端点服务器是隧道机制安全的重要组成部分。攻击者如果修改隧道服务器的配置或进行DoS攻击,就会带来一系列的安全问题。
IPv4双协议栈的安全威胁
双栈是一种重要的IPv6转换方法。许多操作系统默认支持双协议栈。这也使得双协议栈的主机不仅面临IPv4和IPv6的安全威胁,而且两协议的混合攻击。IPv4网络中的IPv6部署没有,由于操作系统默认激活IPv6地址自动配置功能的一部分,因此IPv4子网也有隐藏的IPv6连接,攻击者可以使用该IPv6链路进行各种攻击的子网。
虽然IPv6增强了网络的安全性,但由于复杂的原因,IPSec还没有被广泛的应用在当前的IPv6网络,IPv6网络的安全问题也日益突出,本文根据IPv6的特点,介绍了IPv6的网络侦察、欺骗攻击、IPv6邻居隧道攻击和其他新的IPv6一个典型的网络安全威胁,使人们在设计、IPv6网络的部署和维护,网络安全配置的正确使用和提高网络安全策略,IPv6。
声明:本文内容用于数码产品信息整理与选购参考,具体价格、库存、售后政策以官方渠道和电商页面实时信息为准。