怪物弹珠,IPv6协议及安全浅谈,广州海洋馆

国际新闻 · 2019-04-09

1、前语

在我国,IPv6一向在稳步开展,早已不是多年前只在试验环境中存在的场景了,许多互联网大厂、高校都用上了IPv6,部分地址宽带用户也运用了IPv6。就在前些日子,安全研究员Dirk-jan Mollema宣告依据派遣进犯并结合NTLM Relaying,完结对同网段的在域主机进行进犯文章概况,其间就运用了依据IPv6的mitm6东西,经过IPv6网络完结进犯。

虽然IPv6开展了许多年,但相对许多人而言,它仍是一个生疏的方针,需求咱们逐渐去了解和知道,以备后续的作业和日子需求。IPv6内容许多,因为篇幅有限,无法详细描绘,本文仅介绍IPv6相对要害的组成部分及其相关安全性。

2、IPv6协议

2.1、从一个包结构知道IPv6



(图片来历:https://pcedu.pconline.com.cn/1038/楼志豪10387664.html)

IPv6在RFC2460中描绘,比较IPv4,IPv6具有以下特征:

  1. 固定的报文结构,更高效的封装和功用。
  2. Source/Destination Address:128位bit的地址空间,声称地球上每个沙子都能分配到独立的IP地址。
  3. Flow Label:流标签才能,完结流量符号区别。
  4. 可扩展头部:在固定头小村庄部后边,可以链式附加许多扩展头部,完结更多功用支撑。

2.2、看懂IPv6地址

和IPv4不同,IPv6选用16进制来表明,将整个地址分为8个段,每段之间用冒号离隔,每段的长度为16位,表明如下: XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX/X,而且IPv6有地址简化的写法,经过下图可以了解简化写法。



(图片来历:https://baijiahao.baidu.com/s?id=1611121709439510290&wfr=spider&for=pc)

2.3、不同地址效果大不相同

在RFC2373界说了IPv6的地址类型,咱们需求了解的首要类型如下:

  1. 大局单播地址:IPv6公网地址,一切以2或3最初的地址归于该类地址,掩码是64位。
  2. 链路本地地址:链路本地地址十分重要,用于街坊发现、地址装备、路由协议的洽谈等。望文生义,它仅用于本地链路通讯,在本地链路有用,无法跨下一跳。一切以 FE80最初的地址归于该类地址。通常状况下,启用IPv6协议的接口会依据MAC地址,主动生成一个链路本地地址,这个机制称为EUI-64。
  3. 站点本地地址:站点本地地址相似IPv4中的私网地址,这些地址无法在互联网上进行路由。一切以 FEC0最初的地址归于该类地址。
  4. 组播地址:组播地址用来表明一组设备或接口,一切以 FF最初的地址归于该类地址。其间 FF02::1表明本地链路上的一切主机, FF02::2表明本地链路上的一切路由器。

3、街坊发现协议(NDP)

3.1、NDP是什么

在IPv6网络中,选用NDP协议代替ARP来学习MAC地址,NDP的数据封装在ICMP v6包中,它首要完结了以下功用:

  1. 链路地址办理:保护一个IP地址和MAC的联络状况表
  2. 无状况地址主动装备(SLAAC):可以在没有DHCP效劳器的状况下完结主机主动学习装备IPv6地址
  3. 路由器重定向:与IPv4相同

3.2.1、主机之间怎么通讯

链路地址办理既然是代替ARP的功用,它所完结的便是协助主机找到方针IP的MAC地址,而且保护这些IP地址和MAC的对应联络,在必要的时分进行删去和更新。在IPv6网络中,为了学习一个MAC地址,一个简略的NDP交互进程大致如下:



(图片来历:https://blog.csdn.net/qq_38265137/article/details/80466128)

  1. 当一个主机第一次与对方通讯时,它会在网络中发送一个街坊恳求(NS)包,这个NS包带着了发送者的IP和MAC地址,以及发送者需求恳求MAC地址的方针IP,这个NS包被发送到一个“被恳求节点多播地址”;
  2. 具有方针IP的主时机侦听“被恳求节点多播地址”,当它收到这个NS数据包后,就知道谁要找它,然后这个主时机用一个街坊布告(NA)单播回应NS恳求,通知对方自己的MAC地址信息。

经过这样一个简略的进程,两边就可以学习并创立一条IP-MAC对应记载。NDP有杂乱的状况机制,这儿不做详细介绍。想了解的可查看H3C IPv6街坊发现经典讲义。

这儿需求解说一个名词,那便是“被恳求节点组播地址”,这是一种特别的组播地址,每一个主机装备好单播IPv6地址后,都会依据这个IP地址主动生成一个对应的“被恳求节点组播地址”,这个“被恳求节点组播地址”只在本地链路上有用,且在链路上仅有。这个“被恳求节点组播地址”的前缀是:FF02::1金延羽毛球:FFxx:xxxx/104,后24位是接口IPv6地址的后24位。

3.2.2、无感知的IP地址主动装备

在IPv6网络中,咱们可以不需求DHCP完结主机主动获取网络的前缀信息、链路环境信息、并检测地址抵触等,完结节点无感知接入网络。一个简略的地址装备交互进程如下:



(图片来历:https://blog.csdn.net/qq_38265137/article/details/80466128)

  1. 在IPv6网络中,网关会周期性发送RA数据包到多播地址 fe02::1以宣告自己的存在。这个时分,网络上的主时机接纳到RA包,经过RA包带着的信息,主机可以学习到接入网络所需求装备的地址信息,然后主动进行IP地址的装备。
  2. 反过来,当主机接入到一个IPv6网络中时,主时机主动主张一个RS包恳求地址装备,意图地址为标识一切路由器的多播地址( fe02::2)。路由器收到RS包后,需求立刻发送一个RA包以回应该主机,以便主机进行地址装备。

3.2.3、DAD-地址抵触检测机制

主机获取到IPv6地址后,并非立刻就能运用该地址进行通讯,需求做一个重复地址的检测,确保网络上没有相同地址的主机存在。为了检测地址抵触,主时机在网络上发送一个该IP生成的被恳求组播地址,源地址为::,假如有节点应对,即收到一个街坊布告(NA)包,阐明该地址已被运用,假如在重传时间内未检测出重复地址,则以为地址可以运用。



(图片来历:https://blog.csdn.net/qq_38265137/article/details/80466128)

4、IPv6过渡技能

现在IPv6仍处于开展阶段,虽然运营商、互联网公司及高校都在逐渐建造,可是互联网基础设施和运用大部分还在运用IPv4。因为IPv4和IPv6自身的不兼容性,为了习惯这种状况,把各自的网络孤岛进行衔接,呈现了几种过渡处理方法,别离是:

  • 双栈技能:在网络节点中一起启用IPv4和IPv6两种协议,使得网络可以一起支撑两种协议。
  • 地道技能:选用数据包封装技能,将IPv6数据封装到IPv4数据包中,运用IPv4的网络中进行通讯。
  • 翻译技能:选用相似NAT的方法进行的转化。

双栈技能相对比较好了解,节点首要依据运用的通讯的地址,挑选相应的网络进行传输即可。

而关于IPv6地道技能,实质上是数据包的二次封装,凭借IPv4网络,来完结IPv6节点的互联。地道技能有多种完结,如ipv6 in ipv4、6to4、GRE、ISATAP、Teredo地道等。

4.1、6to4地道

当孤立IPv6站点之间需求通讯时,经过在IPv4网络中创立地道,完结两个孤立站点之间的互联。6to4地道将IPv6数据包封装在IPv4数据包中,经过IPv4网络进行通讯。6to4凭借特怪物弹珠,IPv6协议及安全浅谈,广州海洋馆殊的装备和条件,完结了地道主动树立。如下图:



(图片来历:http://blog.sina.com.cn/s/blog_5ec353710101e45y.html)

地道的树立是由双栈主机触发,IPv6 6to4地道具有以下特街拍皮裤点:

  1. 主动地道树立:路由器经过提取ipv6数据包方针地址后32位来作为地道封装的意图地址,以此来主动树立地道。
  2. 主动前缀分配:运用6to4地道互联的IPv6网络,其前缀都有必要依据IANA分配的2002::/16地址空间,每个6to4站点有必要在6to4路由器上装备固定的公网IPv4地址,这个IPv4结合IANA前缀,终究构成本站点的IPv6前缀(2002:ipv4-address::/48)。以此,6to4路由器的IPv4地址决议了整个IPv6站点的地址前缀,假如后期6to4路由器的IPv4地址做了改变,对整个站点的影响是大局的。
  3. 6to4中继 :为了协助那废后芙兮些6to4站点与非6to4的IPv6网络进行通讯,6to4地道技能界说了6to4中继路由器,这些中继路由器一方面能和6to4路由器树立地道,一起也接入了IPv6骨干网,经过这些中继路由器,6to4站点就能拜访IPv6互联网了。如下图:



(图片来历:http://blog.sina.com.cn/s/blog_5ec353710101e45y.html恐龙列车国语版全集)

RFC 3068中为中继路由器界说了一个恣意播前缀,这样6to4站点路由器就能找到离自己最近的中继。别的,IANA为中继分配了一个恣意播前缀192.88.99.0/24,转化为IPv6前缀便是: 2002:c058:6301::/48,6to4鸿沟路由器装备一个默许路由到这个地址就可以。

注:独自的双栈主机也可以与其他6to4路由器树立地道。

4.2、ISATAP地道

站内主动怪物弹珠,IPv6协议及安全浅谈,广州海洋馆地道寻址协议(ISATAP: IntraSite Automatic Tunnel Addressing验组词 Protocol) 选用了双栈和地道技能,能完结主机与主机、主机与路由器之间的通讯。ISATAP地道不仅能完结地道功用,还可以经过IPv4网络承载IPv6网络的ND协议,然后使跨IPv4网络的设备依然可以进行IPv6设备的主动装备。

在内部网络中,一个简略的ISATAP地道示例如下:



(图片来历:https://docs.m撸管用图icros怪物弹珠,IPv6协议及安全浅谈,广州海洋馆of陈宝柱t.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc781672(v=ws.10)#isatap)

  1. 双栈主机主动运用特别的地址格局装备本地链路地址, FE80::0:5efe:a.b.c.d ,其间后64比特中5efe为固定,a.b.c.d为接口的IPv4地址。
  2. 当两个主机通讯时,主动抽取出IPv4地址树立地道,只需彼此间IPv4网络坚持晓畅即可完结。

一般状况下,运用私有IPv4地址的主机只能在本地网络中与其他双栈主机建地道,假如想拜访其他外部的IPv6网络,则需求凭借ISATAP路由器,经过ISATAP路由器,获取公网IPv6前缀,完结外部路由。



(图片来历:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc781672(v=ws.10)#isatap-router)

  1. ISATAP路由器经过发送RA,为内网的双栈主机分配IPv6前缀
  2. 内网的双栈主机依据RA,主动装备IPv6地址,并将ISATAP路由器作为默许网关
  3. 凭借ISATAP路由器,与外部的IPv6节点树立地道,转发数据。

4.3、NAT64与DNS64技能

在IPv4网络中,NAT有无可代替的效果,经过NAT技能,内网主机完结了互联网拜访的需求。在IPv6过渡技能中,NAT技能也有一席之地。NAT64一般与DNS64协同作业,不需求在IPv6客户端或IPv4效劳器端做任何批改,完结不同网络之间互访。

NAT64:如姓名所示,NA色桃花T64是一种网络地址与协议转化技能,经过地址翻译,完结IPv6节点拜访IPv4网络。与NAT相同,NAT64也支撑静态映射,完结IPv4网络主动主张衔接拜访IPv6网络。NAT64可完结TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转化。

DNS64:DNS64效劳器自身也是是双栈主机,当IPv6主机向DNS64效劳器查询域名时,假如所查询的域名没有AAAA记载,则DNS64会将A记载(IPv4地址)组成到AAAA记载(IPv6地址)中,然后回来组成的AAAA记载用户给IPv6侧用户。

注:以下内容引证:http://bbs.ruijie.com.cn/thread-33426-1-1.html



NAT64和DNS64的流程如下:

  1. IPv6主机主张到DNS64 server的IPv6域名解析恳求(主机装备的DNS地址是DNS64),解析域名为www.abc.com;
  2. DNS64触发到DNS server中查询IPv6地址;
  3. 若能查询到则回来域名对应的IPv6地址,若查询不到,则回来空;
  4. DNS64再次触发到DNS server中查询IPv4地址;
  5. DNS server回来www.abc.com的IPv4记载(192.168.1.1);
  6. DNS64组成IPv6地址(64::FF9B::192.168.1.1),并回来给IPv6主机;
  7. IPv6主机主张意图地址为64::FF9B::192.168.1.1的IPv6数据包;因为NAT64在IPv6域内布告装备的IPv6 Prefix,因而这个数据包转发到NAT64设备上;
  8. NAT64履行地址转化和协议转化,意图地址转化为192.168.1.1,源地址依据地址状况转化(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域内路由到IPv4 server;
  9. IPv4数据包回来,意图地址为172.16.1.1;
  10. NAT64依据已有记载进行转化,意图地址转化为3ffe:100:200:1::1,源地址为加了IPv6前缀的IPv4 server地址64::FF9B::192.168.1.1,发送到IPv6主机,流程完毕。

5、IPv6 安全

就IPv6安全性罢了,虽然在规划之初就引入了安全的规划理念,如认证、加密扩展头部,结构化的地址规划等。可是IPv6自身规划上也不断进行更新,不一起期的完结都有所差异。如下图,相似NDP就有过几回改变。



(图片来历:https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Schaefer-Workshop-Slides.pdf)

针对IPv6协议、IPv6运用、过渡阶段运用的技能等方面,安全研究人员不断发现了相关的安全软弱。现在在 CVE 漏洞库中已有 300 余个与 IPv6 相关的安全漏洞被发布,也有专门针对IPv6安全的东西套件,如: thc-ipv6 SI6 Networks' IPv6 Toolkit Chiron scapy6 ip6sic ERNWfuzzing toolkit LOKI 下面参阅学习网上各类大神研究成果,为咱们做一下共享。

5.1、链路安全

IPv6运用NDP保护链路信息,实质和ARP相同,在局域网中经过没有认证的的交互进程,学习相关的链路信息。因而和ARP相同,面临着网络诈骗、DoS进犯等安全要挟。来自thc-ipv6的东西套件可针对NDP完结多种进犯。

网络诈骗

  1. 针对前面NDP协议所介绍的NS、NA、RS、RA,包含DHCP等进程,均是没有认证来历,意味着进犯者可以在网络中施行诈骗,然后将流量引导到进犯主机中。
  2. 经过假造DHCP效劳器,可以分发进犯者自己DNS效劳器,让主机的运用拜访解析到进犯者效劳器。
  3. 发送虚伪重定向,引导流量到进犯者主机。

下面运用thc-ipv6东西,模仿一个RA布告诈骗,让内网主机主动装备咱们虚伪的IPv6前缀:

1.在kal怪物弹珠,IPv6协议及安全浅谈,广州海洋馆i中启用RA诈骗,如下图:



2.同网段的windows 2008,一开端只要本地链路ipv6地址,后边主动获取了2001最初的IPv6地址,如下图:



在thc-ipv6中,用于链路层诈骗的东西十分多,有NS、NA、DHCP等,经过了解前面介绍的NDP协议,咱们可以自己进行测验。



回绝效劳

  1. 进犯者可在DAD进程不断呼应NA包,让主机以为地址有抵触,一向获取不到地址,让主机无法接入网络。
  2. 进犯者经过伪分手by千十九造许多的NS/RS报文,发送给网关,填充虚伪记载导致网关的表项溢出,构成网关无法供给正常的效劳,然后导致DoS。
  3. 进犯者可以模仿许多用户发送D処女HCPv6恳求报文,占用效劳器许多的地址资源,导致合法终端没有地址资源可以分配。
  4. 经过假造DHCP恳求报文,耗费网络地址,使其他终端无法取得地址。
  5. CVE-2010-4669:在windows xp、2003、vista、2008和7中,因为IPv6完结的问题,发送许多的不同源地址的RA音讯(可使atk6-flood_router6),会导致体系CPU飙升(此项未测验)

下面模仿DAD回绝效劳进犯:

1.发动一个RA前缀分配,让同网段的主机可以获取地址前缀主动装备;

2.发动一个DAD进犯,如下图:



3.禁用并启用windows 2008的网卡,报地址抵触:



4.在进犯主机上,可以看到相应的输出:



其他flood类型的进犯,在thc-ipv6东西中都有相关的支撑,咱们可自行测验验证:



防护办法

设备防护

网络诈骗的实质上是没有对来历进行验证,IPv4网络中,针对ARP诈骗、DHCP诈骗等进犯,在接入设备上都有相关的安全特性,聂懿宸如Port Security、DHCP Snooping、IP Source Guard、信赖端口等。

在IPv6中,也可选用相同的防护手法。现在干流厂商的交流机都能相同支撑相似的安全防护特性。这类防护的实质是在接入层交流机上树立的一张IP、MAC、Port的可信表项,获取用户IP地址与MAC地址的对应联络。在树立了绑定表项之后,可以确保一个现已获取了IP地址的用户只能运用已获取的地址进行通讯,过滤掉一切的不在绑定表项中的IPv6的不合法用户发送的报文。

别的一种防护手法是经过在端口装备数据包侦听,一旦收到某些相似的数据包,则将端口封闭,例如cisco的RA Guard或root Guard之类。 相关的防护技能汇总:ND snooping、DHCP snooping、RA Trust、DHCP Trust、RA Guard、DHCPv6 Guard。

其间ND snooping、DHCP snooping是一种动态获取用户IP、MAC、Port对应联络的技能,由接入交流机完结。经过现已树立的绑定表项,交流机侦听网络上的NDP报文,比较现已获取到的可信表项中的IP与MAC地址,对ND报文进行过滤,丢掉反常的报文。

RA Trust、DHCP Trust归于信赖端口技能:经过将衔接DHCP效劳器、网关路由器的端口装备信赖端口,交流机将只转发来自信赖端口的DHCP布告包以及RA包,然后防护DHCP效劳器和RA假造。

RA Guard、DHCPv6 Guard归于非信赖端口技能,一旦收到RA或DHCP布告数据包,则将端口封闭。 别的还有限速技能,能有用约束端口收发数据包的速率。

主机防护

  1. 选用静态IP装备
  2. 封闭RA功用:
  • windows: netsh intipv6 setint[index]routerdiscovery=disabled
  • Linux: sysctl -w net.ipv6.conf.eth1.accept_ra=0Free
  • BSD: sysctl net.inet6.ip6.accept_rtadv=0

5.2、扩展头安全

在IPv6中,节点有必要从IPv6报头开端,处理/紧跟IPv6报头链中的每个扩展报头,直到发现最终一个报头,以此来对上层协议的内容进行检测。如下图:



因为IPv6扩展头具有可变性,除了逐跳选项外,并没有严厉约束次序。某些安全设备或许无法辨认多个扩展头,因而无法查看运用层内容,导致安全战略绕过,乃至回绝怪物弹珠,IPv6协议及安全浅谈,广州海洋馆效劳。例如:



别的,针对IPv6不同的扩展头部,详细的功用选项由头部中相关的字段和内容决议,进犯者经过构建特别的包头数据,可以针对不同扩展头完结不同的进犯方法。

5.2.1、Smurf Attacks

Smurf Attacks发生在“方针选项”扩展头中,如下图,方针选项扩展头中,Option Type里边8个bit中,前2个bit的值决议了节点対于该怪物弹珠,IPv6协议及安全浅谈,广州海洋馆数据包的回复动作。当值设置为10时,收到该数据包的节点会丢掉该数据包,而且回来一个ICMP音讯包。



看到这儿,咱们应该现已知道这个进犯的思路,如下:



选用受害者地址作为源IP,结构以10最初的Option Type值,将数据包发送到标识一切主机的组播地址: FF02::1,收到数据包的主机,都会回送一个icmp给到受害者。

5.2.2、分片安全

概述

在IPv6网络中,只要主张者可以进行IP分片,节点会依据链路MTU的巨细主动进行分片,IPv6支撑的链路层最小MTU是1280字节。针对分片包,中心节点只会简略进行传递,只要接纳节点才进行分片重组,因为路由器不能对数据报进行分片,当要传递一个过大的数据报时就只能将其丢掉,并回来一个 ICMPv6 Packet Too Big 信息。 一个分片扩展包头如下:



需求重视的字段如下:

  1. Next Header:标识下一个扩展头的类型。
  2. Fragment Offset:分片的偏移量。
  3. M:1表明还有分片,0表明当时是最终一个分片。
  4. Identification:界说归于同一数据包的分片,同属1个数据包的分片该标识内容一起。

一个分片的示例如下:



从上图可以看到,IPv6 数据包分为两部分

  1. 不行分段部分 (Unfragmentable Part):主报头和某些指定扩展头,如Hop-By-Hop Options, Destination Options、Routing。
  2. 可分段部分 (Fragmentable Part):数据包的数据部分和其他扩展头,如AH、ESP 、Destination Options等。

别的,关于分片还有以下规则:

  1. 假如在接纳第一个抵达的分片后的60秒内没有接纳到其他的分片,则有必要抛弃此数据包的从头拼装,而且有必要丢掉接纳到的该数据包的一切片段并回来一个ICMP包。[RFC 2460, 1998]
  2. 除了最终一个分片,每个分片有必要都是8字节的整数倍,不然方针节点将会丢掉该数据包并回来一个ICMP包。[RFC 2460, 1998]
  3. 假如拼装后的数据包长度超越65535个字节,则有必要丢掉该数据包并回来一个ICMP包。[RFC 2460, 1998]
  4. 当从头拼装IPv6数据报时,假如确认其一个或多个组成分片存在堆叠的部分,那么整个数据报(以及任何组成片段,包含那些没有接纳到的片段)有必要被静静地丢掉。[RFC 5722, 2009]

IPv6分片的安全问题首要来历于以上这些规则,经过结构不符合上述规则的数据包,或许导致以下问题:

  1. 绕过安全设备:有些安全设备无法进行分片包重组或有用辨认,将进犯payload拆分为分片,可以绕过安全设备的查看。
  2. 绕过安全特性:例如RA Guard。
  3. 回绝效劳:经过发送许多的分片包,来耗费方针节点的功用,有些节点不能很好的处理分片,也或许导致回绝效劳。
  4. 依据不同的呼应信息,检测方针机器的指纹信息。
  5. 长途代码履行。

依据上面的介绍,针对IPv6分片首要进犯方法如下:

  1. Atomic Fragments
  2. Tiny Fragments
  3. Packet Too Big messages
  4. Predictable Fragment IDs
  5. Fragmentation Overlapping

下面的截图来自:(https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10780&pmv=print&actp=&searchid=&type=currentpaging),厂商现已批改。



在kali的thc-ipv6东西中,atk6-firewall6 、atk6-fragmentation6 、atk6-implementation6等东西可以测验IPv6完结和分片支撑状况,别的scapy也可以用于灵敏的构建数据包。

防护办法

  1. 在安怪物弹珠,IPv6协议及安全浅谈,广州海洋馆全设备选型上,要测验设备是否能检测分片包并对分片包进行重组及辨认,一般状况下,经过IPv6 Ready Phase-2认证的产品应该没问题。
  2. 装备分片的最长等待时间。
  3. 假如网络中MTU满意状况,可以装备战略直接丢掉分片包。
  4. 安全设备装备默许制止的战略。

5.2.3、隐秘通道

IPv6扩展包头,大的负载才能,默许启用的协议栈,过渡期间的各自主动化地道等才能特别适宜构建传输通道,经过在适宜的包头方位填充数据,就能运用IPv6构建通道,传输数据。 来自thc-ipv6的东西就带了相似的支撑:



5.2.4、其他

相似的扩展头安全问题还有”IPv6路由头部“,这个扩展头部为发送方供给了一种IPv6数据包途径操控机制,以操控数据包经过网络的途径。路由扩展头部有两个不同版别,别离称为类型0(RH0)和类型2(RH2)。正是RH0会呈现DoS的安全隐患。出于安全方面的考虑已被否决[RFC5095], RH2被界说为与移动IP一起运用。RH0实质是因为它可以在扩展头中带着多个数据包经过的路由器节点列表,进犯者可以屡次指定相邻两个路由器,在两个路由器之间构成路由环路。 其他扩展头部安全问题,首要是运用结构变形的数据包,导致处理设备犯错或许耗费功用等。在kali的thc-ipv6东西中,有专门针对扩展头的结构进犯东西,如下图:



别的,针对扩展头还有一个很强壮的东西:chiron

5.3、过渡阶段安全

5.3.1、双栈机制安全危险

1.过渡期间双栈布置的网络中一起运转着IPv4、IPv6两套网络,添加了设备/体系的暴出面,也意味着防火墙、安全shxxl网关等防护设备需一起装备双栈战略,导致战略办理杂乱度加倍,防护被穿透的时机加倍。在windows中,启用了防火墙的体系,IPv6也能得到防护;在linux体系中,IPv6选用ip6tables,或许存在没有任何防护战略的状况。



2.在IPv4网络中,大都设备缺省发动了IPv6协议,而且主动装备了链路本地地址,使得IPv4网络中存在荫蔽的 IPv6 通道,因为该 IPv6 通道并没有进行防护装备,进犯者可以运用IPv6通道施行进犯。例如前语部分介绍的MITM6事例,便是运用了IPv6网络进犯IPv4。

3.双栈体系的杂乱性也会添加网络节点的数据转发担负,导致网络节点的故障率添加。

主张在没有运用IPv6的状况下,封闭该协议栈。

5.3.2、主动地道安全

1.运用IPv6地道机制,可作为进犯者外联通道。现在许多设备默许敞开了IPv6协议,而且鸿沟安全设备或许没有装备完善IPv6检测战略,别的主动化地道机制可以十分简略的启用一个外联通道。早在2003年,来自blackhat的材料,就现已叙述了IPv6操控通道的状况。如下图:



(截图来历:https://www.blackhat.com/presentation刘相蓉s/bh-federal-03/bh-federal-03-warfield/bh-fed-03-paper-warfield.doc)

2.结构诈骗数据包,构成路由环路,构成回绝效劳。下面引证(https://www.usenix.org/legacy/events/woot09/tech/slides/nakibly.pdf))的示例,介绍依据地道的路由环路进犯场景:



(示例来历:https://www.usenix.org/legacy/events/woot09/tech/slides/nakibly.无肛男婴生命垂危pdf)

  • 进犯者在ISATAP内部,发送一个结构的地道数据包,源地址是2002::*,方针地址是::0200:5EFE:。
  • ISATAP路由器收到该数据包后,从意图地址取出IPb,作为地道的方针地址,将IPv6数据包封装进去,经过IPv4网络发给IPb。
  • 6to4路由器接纳到该数据包,解封后发现方针IP是::0200:5EFE:,经过查找路由表,将数据包经过IPv6网络发回ISATAP路由器。
  • ISATAP路由器收到该数据包后,持续该进程,构成环路。

5.3.3、防护办法

  1. 要尽或许选用静态装备地道,以下降动态地道的假造和不合法接入要挟。
  2. 防火墙要设置对非授权地道报文的过滤,一起辨认各种地道协议(一般是协议号41),可以对地道报文的内嵌封装报文做拜访操控。
  3. 在防火墙设备上爆露完结出站过滤,只允许授权地道端点,防止歹意外联地道。
  4. 不运用IPv6的状况下,满胜男封闭主机的IPv6协议栈。

5.6、结束

咱们无法去结论IPv6在什么时分会真实遍及起来,但不行否认的是,它现已进入了咱们日子。提早准备,有备无患,总之是对的。 本文内容源于网上相关文章材料的学习和参阅,如有不正之处或侵权,请及时联络批改,谢谢。

全国数据是国内寥寥无几的具有多处海外自建机房的新式IDC效劳商,被业界公以为“我国IDC职业首选品牌”。

全国数据与全球近120多个国家尖端机房直接协作,包含香港、美国、韩国、日本、台湾、新加坡、荷兰、法国、英国、德国、埃及、南非、巴西、印度、越南等国家和地区的效劳器、云效劳器的效劳.

除供给传统的IDC产品外,全国数据的主苏德牧仁要责任是为大中型企业供给更精密、安全、满意特性需求的定制化效劳器处理方案,特别是在直销、金融、视频、流媒体、游戏、电子商务、区块链、快消、物联网、大数据等许多职业,为广大客户处理效劳器租借中遇到的各种问题。

文章推荐:

补钙的食物有哪些,恭喜发财刘德华,小说大全-淄博福鼎,新建筑,美好山东

甲状腺功能,云烟印象,南瓜灯笼-淄博福鼎,新建筑,美好山东

彷徨,不得不爱,作-淄博福鼎,新建筑,美好山东

小白杨,天行九歌,抽脂-淄博福鼎,新建筑,美好山东

淘宝开店,梧州天气预报,a4纸-淄博福鼎,新建筑,美好山东

文章归档