IPv6协议及安全浅谈

(示例来源：https://www.usenix.org/legacy/events/woot09/tech/slides/nakibly.pdf)

• 攻击者在ISATAP内部，发送一个构造的隧道数据包，源地址是2002::*，目标地址是::0200:5EFE:。
• ISATAP路由器收到该数据包后，从目的地址取出IPb，作为隧道的目标地址，将IPv6数据包封装进去，通过IPv4网络发给IPb。
• 6to4路由器接收到该数据包，解封后发现目标IP是::0200:5EFE:，通过查找路由表，将数据包通过IPv6网络发回ISATAP路由器。
• ISATAP路由器收到该数据包后，继续该过程，形成环路。

5.3.3、防护措施

1. 要尽可能采用静态配置隧道，以降低动态隧道的伪造和非法接入威胁。
2. 防火墙要设置对非授权隧道报文的过滤，同时识别各种隧道协议(一般是协议号41)，能够对隧道报文的内嵌封装报文做访问控制。
3. 在防火墙设备上实现出站过滤，只允许授权隧道端点，避免恶意外联隧道。
4. 不使用IPv6的情况下，关闭主机的IPv6协议栈。

5.6、结尾

我们无法去论断IPv6在什么时候会真正普及起来，但不可否认的是，它已经进入了我们生活。提前筹备，未雨绸缪，总归是对的。 本文内容源于网上相关文章资料的学习和参考，如有不正之处或侵权，请及时联系修正，谢谢。

参考资料

《TCP/IP详解-卷一：协议》W.Richard Stevens

RFC3587

RFC2460

RFC2373

RFC1981

RFC2461

IPv6 Attack & Defense Strategies

SeND (RFC 3971, March 2005)

RA-Guard, PACL (RFC 6105, February 2011)

A Complete Guide on IPv6 Attack and Defense

Security challenges in IPv6 from the campus perspective

IPv6的接入层安全技术 IPv6系列安全篇——SAVI技术解析

浅谈IPv6协议安全及攻击

Attacking IPv6 Implementation Using Fragmentation

中国移动-ipv6安全白皮书

【编辑推荐】

1. IP /TCP协议及握手过程和数据包格式中级详解
2. 关于IPv6的秘密史
3. 选择物联网协议：深入了解LoRa，Cat-M和NB-IoT
4. 如何一步步构建安全的 HTTPS 站点
5. HTTP协议安全相关header详解

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!