主页 > 网络知识 > IPv6对网络安全的影响性分析

IPv6对网络安全的影响性分析

本文整理并总结了IPv6可能存在的安全威胁,从IPv4安全威胁延续、IPv6相关附属协议和相关机制可能带来的安全威胁、IPv6对安全硬件的影响及过渡技术的安全威胁四个方面进行了分析与梳理。

一、 IPv4 安全威胁延续

(1) 报文监听

IPv6中可使用IPSec对其网络层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的。

(2) 应用层攻击

IPv4网络中应用层可实施的攻击在IPv6网络下依然可行,比如SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等应用层的防御不受网络层协议变化的影响。

(3) 中间人攻击

启用IPSec对数据进行认证与加密操作前需要建立SA,通常情况下动态SA的建立通过密钥交换协议IKE、IKEv2实现,由DH(Diffie-Hellman)算法对IKE密钥载荷交换进行安全保障[1],然而DH密钥交换并未对通信双方的身份进行验证,因此可能遭受中间人攻击。

(4) 泛洪攻击

在IPv4与IPv6中,向目标主机发送大量网络流量依旧是有效的攻击方式,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃。

(5) 分片攻击

在IPv6中,中间节点不可以对分段数据包进行处理,只有端系统可以对IP数据包进行分分段与重组,因此攻击者可能借助该性质构造恶意数据包。

在RFC8200中声明禁止重组重叠的IPv6分片,且其限制最小MTU为1280字节[2],因此处理时将丢弃除最后分片外小于1280字节的分片,在一定程序上也缓解了分片攻击。

(6) 路由攻击

在IPv6下,由于部分路由协议并未发生变化,因此路由攻击依旧可行。

(7) 地址欺骗

IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行。

二、 IPv6 引入的安全隐患

2.1 IPv6扩展首部威胁

2.1.1 逐跳选项报头

安全威胁

可利用逐跳选项报头发送大量包含路由提示选项的IPv6数据包,包含有路由提示选项的数据包要求所有路由器对该数据包进行处理并仔细查看该数据包的报头信息[3],当攻击者发送大量此类IPv6数据包时,将消耗链路上路由器大量资源,严重可造成DoS攻击。

应对方式

应当限制路由器对包含路由提示选项的数据包的处理数量。

2.1.2 目的选项报头

安全威胁

移动IPv6协议的数据通信以明文进行传输,因此其本身便是不安全的,攻击者可对MIPv6数据包进行嗅探进而识别其通信节点、转交地址、家乡地址、家乡代理等信息,并利用这些信息伪造数据包。攻击者可通过拦截类型为消息绑定更新的数据包,修改绑定关系中的转交地址。此外,移动节点标识符选项揭示了用户的家乡从属关系,攻击者可利用该选项确定用户身份,锁定特定的攻击对象[4]。

应对方式

可尝试开启IPSec保证数据包不会被窃听[4]。

2.1.3 路由报头

安全威胁

在RH0路由类型(即type 0)下,攻击者可利用路由报头选项伪装成合法用户接收返回的数据包。同时,RH0提供了一种流量放大机制,攻击者可利用该类型进行拒绝服务攻击[5]。

虽然RH0已被正式弃用并启用RH2[2],但旧的或未升级设备依然可能遭受RH0攻击。

应对方式

应当尽快更新安全设备并升级至最新的IPv6协议版本,同时对所有的RH0数据包进行丢弃。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!