IPv6防火墙对安全性的影响
IPv6报头信息链结构比IPv4更灵活,因为它不限制可以包含的包的数量,但这种灵活性也很昂贵。任何需要获取上层信息(如TCP端口号)的系统都需要处理整个IPv6报头信息链,而且,由于当前协议标准支持任意数量的扩展头,包括多个相同扩展头的实例,它将对防火墙和其他设备产生不同的影响。
防火墙需要解决多个扩展头执行深度包检查(DPI),这可能会降低广域网性能,导致拒绝服务(DoS)攻击,或者绕过防火墙。
组合扩展和切片可能妨碍数据包检测。
正如我们前面提到的,由于当前的协议规范支持任意数量的扩展头,包括同一扩展头类型的多个实例,防火墙必须能够处理包含异常IPv6的数据包并扩展头信息,这可能会被一些攻击者利用。他们可能故意添加大量的扩展包,使防火墙浪费太多资源处理上述包。最终,这可能会导致在防火墙的性能下降,或导致在防火墙DoS问题。此外,一些表现不佳的防火墙可能无法处理与整个IPv6头信息链应用过滤策略时,这可能会使一些攻击者扩展头威胁相应的防火墙。
IPv6片也可以被恶意使用,该方法类似于IPv4。例如,为了摧毁防火墙的过滤策略,攻击者可能会发送一些切片重叠影响目标主机的破碎过程。在IPv6,这个问题更为严重,因为多个IPv6扩展头碎片的组合可能会有一些不正确的片,虽然他们的数据包大小为正常然而,他们失去了一些基本的信息过滤策略通常是需要的,如TCP端口号,一个数据包的第一层可能包含很多IPv6选项,使高层协议头可能属于另一片,不是一片。