|
副标题[/!--empirenews.page--]
本文整理并总结了IPv6可能存在的安全威胁,从IPv4安全威胁延续、IPv6相关附属协议和相关机制可能带来的安全威胁、IPv6对安全硬件的影响及过渡技术的安全威胁四个方面进行了分析与梳理。
一、 IPv4 安全威胁延续
(1) 报文监听
IPv6中可使用IPSec对其网络层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的。
(2) 应用层攻击
IPv4网络中应用层可实施的攻击在IPv6网络下依然可行,比如SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等应用层的防御不受网络层协议变化的影响。
(3) 中间人攻击
启用IPSec对数据进行认证与加密操作前需要建立SA,通常情况下动态SA的建立通过密钥交换协议IKE、IKEv2实现,由DH(Diffie-Hellman)算法对IKE密钥载荷交换进行安全保障[1],然而DH密钥交换并未对通信双方的身份进行验证,因此可能遭受中间人攻击。
(4) 泛洪攻击
在IPv4与IPv6中,向目标主机发送大量网络流量依旧是有效的攻击方式,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃。
(5) 分片攻击
在IPv6中,中间节点不可以对分段数据包进行处理,只有端系统可以对IP数据包进行分分段与重组,因此攻击者可能借助该性质构造恶意数据包。
在RFC8200中声明禁止重组重叠的IPv6分片,且其限制最小MTU为1280字节[2],因此处理时将丢弃除最后分片外小于1280字节的分片,在一定程序上也缓解了分片攻击。
(6) 路由攻击
在IPv6下,由于部分路由协议并未发生变化,因此路由攻击依旧可行。
(7) 地址欺骗
IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行。
二、 IPv6 引入的安全隐患
1. IPv6扩展首部威胁
(1) 逐跳选项报头
- 安全威胁:可利用逐跳选项报头发送大量包含路由提示选项的IPv6数据包,包含有路由提示选项的数据包要求所有路由器对该数据包进行处理并仔细查看该数据包的报头信息[3],当攻击者发送大量此类IPv6数据包时,将消耗链路上路由器大量资源,严重可造成DoS攻击。
- 应对方式:应当限制路由器对包含路由提示选项的数据包的处理数量。
(2) 目的选项报头
- 安全威胁:移动IPv6协议的数据通信以明文进行传输,因此其本身便是不安全的,攻击者可对MIPv6数据包进行嗅探进而识别其通信节点、转交地址、家乡地址、家乡代理等信息,并利用这些信息伪造数据包。攻击者可通过拦截类型为消息绑定更新的数据包,修改绑定关系中的转交地址。此外,移动节点标识符选项揭示了用户的家乡从属关系,攻击者可利用该选项确定用户身份,锁定特定的攻击对象[4]。
- 应对方式:可尝试开启IPSec保证数据包不会被窃听[4]。
(3) 路由报头
- 安全威胁:在RH0路由类型(即type 0)下,攻击者可利用路由报头选项伪装成合法用户接收返回的数据包。同时,RH0提供了一种流量放大机制,攻击者可利用该类型进行拒绝服务攻击[5]。虽然RH0已被正式弃用并启用RH2[2],但旧的或未升级设备依然可能遭受RH0攻击。
- 应对方式:应当尽快更新安全设备并升级至最新的IPv6协议版本,同时对所有的RH0数据包进行丢弃。
(4) 分段报头
- 安全威胁:如若将关键的报头信息切分在多个片段中,安全防护设备对关键信息进行提取与检测处理会耗费大量资源,构造大量该类数据包可能对目标主机造成DoS攻击。攻击者可向节点发送大量不完整的分段集合,强迫节点等待片段集合的最后片段,节点在超时时间内由于只接收到部分IPv6片段进而无法完成重组,最终只能将数据包丢弃,在超时等待期间,会造成存储资源的消耗。
- 应对方式:防火墙应该丢弃除最后分段外所有小于1280字节的所有分段。
Cisco ASA防火墙的FragGuard功能可以将所有的分片组装并进行整个数据包检查用以确定是否存在丢失的分段或重叠分段。
根据RFC8200,IPv6节点已不能创建重叠分段,且在对IPv6报文进行重组时,如若确定一个或多个片段为重叠片段,则必须对整个报文进行丢弃[2]。
2. 协议威胁
(1) ICMPv6协议
安全威胁:
- 可通过向组播地址FF02::1发送Echo Request报文,通过接收Echo Reply报文实现本地链路扫描,或以目标节点作为源地址向组播地址FF02 :: 1发送ICMPv6 EchoRequest消息实现Smurf攻击。
- 可通过向目标节点发送ICMPv6 Packet too big报文,减小接收节点的MTU,降低传输速率。
- 可通过向目标节点发送过多的ICMPv6包以及发送错误消息,导致会话被丢弃,从而破坏已建立的通信,实现DoS攻击[6]。
- 可通过向主机发送格式不正确的消息刺激主机对ICMPv6的响应,从而通发现潜在的攻击目标[6]。
应对方式:
- 可在交换机的每个物理端口设置流量限制,将超出流量限制的数据包丢弃。或在防火墙或边界路由器上启动ICMPv6数据包过滤机制,也可配置路由器拒绝转发带有组播地址的ICMPv6 EchoRequest报文。
- 可尝试关闭PMTU发现机制,但其会影响到网络数据的传输速率。
(2) 邻居发现协议(NDP)
安全威胁:
- 中间人攻击:由于NDP协议基于可信网络因此并不具备认证功能,因此可通过伪造ICMPv6 NA/RA报文实现中间人攻击。攻击者可以伪造NA报文,将自己的链路层地址并启用覆盖标志(O)作为链路上其他主机的地址进行广播。攻击者可伪造RA报文发送至目标节点修改其默认网关。
- 重复地址检测攻击:当目标节点向FF02 :: 16所有节点发送NS数据包进行重复地址检测时,攻击者可向该节点发送NA报文进行响应,并表明该地址已被自己使用。当节点接收到该地址已被占用消息后重新生成新的IPv6地址并再一次进行重复地址检测时,攻击者可继续进行NA响应实现DoS攻击。
- 泛洪攻击:攻击者可伪造不同网络前缀RA消息对FF02 :: 1进行进行泛洪攻击,接收节点将会根据不同的网络前缀进行更新,从而消耗大量的CPU资源。
(编辑:核心网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
