IPv6协议及安全浅谈

针对IPv6协议、IPv6应用、过渡阶段使用的技术等方面，安全研究人员不断发现了相关的安全脆弱。目前在 CVE 漏洞库中已有 300 余个与 IPv6 相关的安全漏洞被发布，也有专门针对IPv6安全的工具套件，如： thc-ipv6 SI6 Networks' IPv6 Toolkit Chiron scapy6 ip6sic ERNWfuzzing toolkit LOKI 下面参考学习网上各类大神研究成果，为大家做一下分享。

5.1、链路安全

IPv6使用NDP维护链路信息，本质和ARP一样，在局域网中通过没有认证的的交互过程，学习相关的链路信息。因此和ARP一样，面临着网络欺骗、DoS攻击等安全威胁。来自thc-ipv6的工具套件可针对NDP实现多种攻击。

网络欺骗

1. 针对前面NDP协议所介绍的NS、NA、RS、RA，包括DHCP等过程，均是没有认证来源，意味着攻击者可以在网络中实施欺骗，从而将流量引导到攻击主机中。
2. 通过伪造DHCP服务器，可以分发攻击者自己DNS服务器，让主机的应用访问解析到攻击者服务器。
3. 发送虚假重定向，引导流量到攻击者主机。

下面使用thc-ipv6工具，模拟一个RA通告欺骗，让内网主机自动配置我们虚假的IPv6前缀：

1.在kali中启用RA欺骗，如下图：

2.同网段的windows 2008，一开始只有本地链路ipv6地址，后面自动获取了2001开头的IPv6地址，如下图：

在thc-ipv6中，用于链路层欺骗的工具非常多，有NS、NA、DHCP等，通过了解前面介绍的NDP协议，大家可以自己进行测试。

拒绝服务

1. 攻击者可在DAD过程不断响应NA包，让主机认为地址有冲突，一直获取不到地址，让主机无法接入网络。
2. 攻击者通过伪造大量的NS/RS报文，发送给网关，填充虚假记录导致网关的表项溢出，造成网关无法提供正常的服务，进而导致DoS。
3. 攻击者可以模拟大量用户发送DHCPv6请求报文，占用服务器大量的地址资源，导致合法终端没有地址资源可以分配。
4. 通过伪造DHCP请求报文，消耗网络地址，使其他终端无法获得地址。
5. CVE-2010-4669：在windows xp、2003、vista、2008和7中，由于IPv6实现的问题，发送大量的不同源地址的RA消息(可使atk6-flood_router6)，会导致系统CPU飙升(此项未测试)

下面模拟DAD拒绝服务攻击：

1.启动一个RA前缀分配，让同网段的主机可以获取地址前缀自动配置;

2.启动一个DAD攻击，如下图：

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!