精准香港透码总部

IPv6協議棧脆弱性分析

時間:2018-10-30 09:57來源:Office教程學習網 精准香港透码总部 www.lloyp.icu編輯:麥田守望者

精准香港透码总部 www.lloyp.icu
國家網絡空間安全發展創新中心 郭毅

  在2018 ISC互聯網安全大會——IPv6規?;渴鷯氚踩厶成?,國家網絡空間安全發展創新中心郭毅發表題為《IPv6協議棧脆弱性分析》的演講,他從IPv6相較于IPv4的主要改變出發,并在此基礎上分析了這些改變可能帶來的新的脆弱性。

  IPv6較于IPv4的改變

  IPv6較于IPv4的改變主要表現在四個方面:

  第一,IPv6編址發生改變。由過去的32位增加到128位,極大擴展了IP地址空間,可以不受限制地獲取IPv6地址。

  第二,報頭格式發生改變。IPv6簡化基本報頭,擴展報頭也更為靈活??裳∠畋煌騁灰頻嚼┱貢ㄍ?,附加在目的IP地址字段后面,可以有0個或者多個擴展報頭。中間路由器不必處理每一個選項,提高了處理數據報文的速度,也提高了轉發性能。

  第三,ICMPv6協議。該協議具備ICMPv4的常見功能,如提供發送和轉發中的錯誤報告,以及用于故障分析的簡單回送服務,廢除不再使用的過時消息類型。協議綜合了原有IPv4中分屬不同協議的功能,多播偵聽發現(MLD),取代IPv4中的IGMP協議,管理組播組成員。

  第四,ND(鄰居發現)機制。組合并改進了原有功能,工作在網絡層,任何網絡媒介都可以運行相同的鄰居發現。

  IPv6協議棧的脆弱性

  IPv6協議棧脆弱性首先是非IPv6特有的安全威脅,包括:(1)應用層協議或服務導致的漏洞在網絡層無法消除;(2)利用嗅探工具實施網絡嗅探,可能導致信息泄露;(3)設備仿冒接入網絡;(4)未實施雙向認證情況下,可實施中間人攻擊;(5)洪泛攻擊。

  其次,IPv6的特性帶來新脆弱性,包括雙棧環境、IPv6編址、擴展報頭、ICMPv6、ND機制、協議具體實現相關等脆弱性。

  擴展報頭相關脆弱性問題比較多:第一個就是安全控制規避,在RFC規范中,同一個包中若有多于一個擴展選項時,建議以如下順序排列:基本報頭、HBH逐跳選項、DH目的選項、RH路由報頭、FH分段報頭、AH認證報頭、ESP封裝安全荷載報頭。要求HBH須緊跟基本報頭,且中間節點必須處理;第二個是處理要求帶來的拒絕服務;第三個是實現錯誤引起的拒絕服務。

  IPv6網絡安全防護建議

  第一,熟悉IPv6網絡知識及IPv6特有安全威脅。人是網絡安全最重要的環節,通過對安全人員的培訓和教育,使其盡快掌握IPv6環境下安全威脅與防護技能,增強對新環境安全問題的處置能力;

  第二,重視各類IPv6協議棧的漏洞挖掘與修補。漏洞挖掘是加快IPv6漏洞發現的重要手段,鼓勵安全企業和個人提交與IPv6協議棧相關漏洞,使得IPv6協議棧能夠盡快得到修補和完善;

  第三,IPv6網絡安全防護產品開發優化與防護策略。推進現有安全設備在IPv6環境中的兼容和落地,避免出現運行在IPv6下的業務系統缺少必要的安全防護措施的局面。

 ?。ū疚目怯凇噸泄逃紜?018年10月刊,本文根據郭毅在2018 ISC互聯網安全大會上的發言整理而成,整理:楊潔)

------分隔線----------------------------
標簽(Tag):IPv6協議棧脆弱性分析
------分隔線----------------------------
推薦內容
猜你感興趣