歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

IPv6對網絡安全的影響性分析

來源:本站整理 作者:佚名 時間:2019-06-14 TAG: 我要投稿

本文整理并總結了IPv6可能存在的安全威脅,從IPv4安全威脅延續、IPv6相關附屬協議和相關機制可能帶來的安全威脅、IPv6對安全硬件的影響及過渡技術的安全威脅四個方面進行了分析與梳理。
一、 IPv4 安全威脅延續
(1) 報文監聽
IPv6中可使用IPSec對其網絡層的數據傳輸進行加密保護,但RFC6434中不再強制要求實施IPSec,因此在未啟用IPSec的情況下,對數據包進行監聽依舊是可行的。
(2) 應用層攻擊
IPv4網絡中應用層可實施的攻擊在IPv6網絡下依然可行,比如SQL注入、緩沖溢出等,IPS、反病毒、URL過濾等應用層的防御不受網絡層協議變化的影響。
(3) 中間人攻擊
啟用IPSec對數據進行認證與加密操作前需要建立SA,通常情況下動態SA的建立通過密鑰交換協議IKE、IKEv2實現,由DH(Diffie-Hellman)算法對IKE密鑰載荷交換進行安全保障[1],然而DH密鑰交換并未對通信雙方的身份進行驗證,因此可能遭受中間人攻擊。
(4) 泛洪攻擊
在IPv4與IPv6中,向目標主機發送大量網絡流量依舊是有效的攻擊方式,泛洪攻擊可能會造成嚴重的資源消耗或導致目標崩潰。
(5) 分片攻擊
在IPv6中,中間節點不可以對分段數據包進行處理,只有端系統可以對IP數據包進行分分段與重組,因此攻擊者可能借助該性質構造惡意數據包。
在RFC8200中聲明禁止重組重疊的IPv6分片,且其限制最小MTU為1280字節[2],因此處理時將丟棄除最后分片外小于1280字節的分片,在一定程序上也緩解了分片攻擊。
(6) 路由攻擊
在IPv6下,由于部分路由協議并未發生變化,因此路由攻擊依舊可行。
(7) 地址欺騙
IPv6使用NDP協議替代了IPv4中的ARP協議,但由于實現原理基本一致,因此針對ARP協議的ARP欺騙、ARP泛洪等類似攻擊方式在IPv6中依舊可行。
二、 IPv6 引入的安全隱患
2.1 IPv6擴展首部威脅
2.1.1 逐跳選項報頭
安全威脅
可利用逐跳選項報頭發送大量包含路由提示選項的IPv6數據包,包含有路由提示選項的數據包要求所有路由器對該數據包進行處理并仔細查看該數據包的報頭信息[3],當攻擊者發送大量此類IPv6數據包時,將消耗鏈路上路由器大量資源,嚴重可造成DoS攻擊。
應對方式
應當限制路由器對包含路由提示選項的數據包的處理數量。
2.1.2 目的選項報頭
安全威脅
移動IPv6協議的數據通信以明文進行傳輸,因此其本身便是不安全的,攻擊者可對MIPv6數據包進行嗅探進而識別其通信節點、轉交地址、家鄉地址、家鄉代理等信息,并利用這些信息偽造數據包。攻擊者可通過攔截類型為消息綁定更新的數據包,修改綁定關系中的轉交地址。此外,移動節點標識符選項揭示了用戶的家鄉從屬關系,攻擊者可利用該選項確定用戶身份,鎖定特定的攻擊對象[4]。
應對方式
可嘗試開啟IPSec保證數據包不會被竊聽[4]。
2.1.3 路由報頭
安全威脅
在RH0路由類型(即type 0)下,攻擊者可利用路由報頭選項偽裝成合法用戶接收返回的數據包。同時,RH0提供了一種流量放大機制,攻擊者可利用該類型進行拒絕服務攻擊[5]。
雖然RH0已被正式棄用并啟用RH2[2],但舊的或未升級設備依然可能遭受RH0攻擊。
應對方式
應當盡快更新安全設備并升級至最新的IPv6協議版本,同時對所有的RH0數據包進行丟棄。
2.1.4 分段報頭
安全威脅
如若將關鍵的報頭信息切分在多個片段中,安全防護設備對關鍵信息進行提取與檢測處理會耗費大量資源,構造大量該類數據包可能對目標主機造成DoS攻擊。
攻擊者可向節點發送大量不完整的分段集合,強迫節點等待片段集合的最后片段,節點在超時時間內由于只接收到部分IPv6片段進而無法完成重組,最終只能將數據包丟棄,在超時等待期間,會造成存儲資源的消耗。
應對方式
防火墻應該丟棄除最后分段外所有小于1280字節的所有分段。
Cisco ASA防火墻的FragGuard功能可以將所有的分片組裝并進行整個數據包檢查用以確定是否存在丟失的分段或重疊分段。
根據RFC8200,IPv6節點已不能創建重疊分段,且在對IPv6報文進行重組時,如若確定一個或多個片段為重疊片段,則必須對整個報文進行丟棄[2]。
2.2 協議威脅
2.2.1 ICMPv6協議
安全威脅
可通過向組播地址FF02::1發送Echo Request報文,通過接收Echo Reply報文實現本地鏈路掃描,或以目標節點作為源地址向組播地址FF02 :: 1發送ICMPv6 EchoRequest消息實現Smurf攻擊。
可通過向目標節點發送ICMPv6 Packet too big報文,減小接收節點的MTU,降低傳輸速率。
可通過向目標節點發送過多的ICMPv6包以及發送錯誤消息,導致會話被丟棄,從而破壞已建立的通信,實現DoS攻擊[6]。
可通過向主機發送格式不正確的消息刺激主機對ICMPv6的響應,從而通發現潛在的攻擊目標[6]。
應對方式
可在交換機的每個物理端口設置流量限制,將超出流量限制的數據包丟棄。或在防火墻或邊界路由器上啟動ICMPv6數據包過濾機制,也可配置路由器拒絕轉發帶有組播地址的ICMPv6 EchoRequest報文。
可嘗試關閉PMTU發現機制,但其會影響到網絡數據的傳輸速率。
2.2.2 鄰居發現協議(NDP)
安全威脅
(1)中間人攻擊
由于NDP協議基于可信網絡因此并不具備認證功能,因此可通過偽造ICMPv6 NA/RA報文實現中間人攻擊。攻擊者可以偽造NA報文,將自己的鏈路層地址并啟用覆蓋標志(O)作為鏈路上其他主機的地址進行廣播。攻擊者可偽造RA報文發送至目標節點修改其默認網關。
(2) 重復地址檢測攻擊
當目標節點向FF02 :: 16所有節點發送NS數據包進行重復地址檢測時,攻擊者可向該節點發送NA報文進行響應,并表明該地址已被自己使用。當節點接收到該地址已被占用消息后重新生成新的IPv6地址并再一次進行重復地址檢測時,攻擊者可繼續進行NA響應實現DoS攻擊。
(3) 泛洪攻擊
攻擊者可偽造不同網絡前綴RA消息對FF02 :: 1進行進行泛洪攻擊,接收節點將會根據不同的網絡前綴進行更新,從而消耗大量的CPU資源。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视