IPv6协议及安全浅谈
|
3.禁用并启用windows 2008的网卡,报地址冲突: 4.在攻击主机上,可以看到相应的输出: 其他flood类型的攻击,在thc-ipv6工具中都有相关的支持,大家可自行测试验证: 防护措施 设备防护 网络欺骗的本质上是没有对来源进行验证,IPv4网络中,针对ARP欺骗、DHCP欺骗等攻击,在接入设备上都有相关的安全特性,如Port Security、DHCP Snooping、IP Source Guard、信任端口等。 在IPv6中,也可采用同样的防护手段。目前主流厂商的交换机都能同样支持类似的安全防护特性。这类防护的本质是在接入层交换机上建立的一张IP、MAC、Port的可信表项,获取用户IP地址与MAC地址的对应关系。在建立了绑定表项之后,能够保证一个已经获取了IP地址的用户只能使用已获取的地址进行通信,过滤掉所有的不在绑定表项中的IPv6的非法用户发送的报文。 另外一种防御手段是通过在端口配置数据包侦听,一旦收到某些类似的数据包,则将端口关闭,例如cisco的RA Guard或root Guard之类。 相关的防护技术汇总:ND snooping、DHCP snooping、RA Trust、DHCP Trust、RA Guard、DHCPv6 Guard。 其中ND snooping、DHCP snooping是一种动态获取用户IP、MAC、Port对应关系的技术,由接入交换机实现。通过已经建立的绑定表项,交换机侦听网络上的NDP报文,比较已经获取到的可信表项中的IP与MAC地址,对ND报文进行过滤,丢弃异常的报文。 RA Trust、DHCP Trust属于信任端口技术:通过将连接DHCP服务器、网关路由器的端口配置信任端口,交换机将只转发来自信任端口的DHCP通告包以及RA包,从而防御DHCP服务器和RA伪造。 RA Guard、DHCPv6 Guard属于非信任端口技术,一旦收到RA或DHCP通告数据包,则将端口关闭。 另外还有限速技术,能有效限制端口收发数据包的速率。 主机防护
5.2、扩展头安全 在IPv6中,节点必须从IPv6报头开始,处理/紧跟IPv6报头链中的每个扩展报头,直到发现最后一个报头,以此来对上层协议的内容进行检测。如下图: 由于IPv6扩展头具有可变性,除了逐跳选项外,并没有严格限制顺序。某些安全设备或者无法识别多个扩展头,因此无法检查应用层内容,导致安全策略绕过,甚至拒绝服务。例如: 另外,针对IPv6不同的扩展头部,具体的功能选项由头部中相关的字段和内容决定,攻击者通过构建特殊的包头数据,可以针对不同扩展头实现不同的攻击方式。 5.2.1、Smurf Attacks Smurf Attacks发生在“目标选项”扩展头中,如下图,目标选项扩展头中,Option Type里面8个bit中,前2个bit的值决定了节点対于该数据包的回复动作。当值设置为10时,收到该数据包的节点会丢弃该数据包,并且返回一个ICMP消息包。 看到这里,大家应该已经知道这个攻击的思路,如下: 采用受害者地址作为源IP,构造以10开头的Option Type值,将数据包发送到标识所有主机的组播地址: FF02::1,收到数据包的主机,都会回送一个icmp给到受害者。 5.2.2、分片安全 概述 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
