IPv6安全

最新推荐文章于 2021-12-20 10:21:17 发布
最新推荐文章于 2021-12-20 10:21:17 发布
阅读量1.1k 收藏 4
点赞数


IPv6作为一种IP协议,其继承了IPv6的一些特性,同时也有一些漏洞:

具体的有:应用层的漏洞,由于IP协议在应用层的下面。则其应用层的漏洞也继承

                  NDP协议的漏洞,IPv6的NDP继承了很多IPv4的ARP相关的漏洞

                 DHCP,由于DHCPv6没有提供认证机制,也存在伪造DHCP的风险

                 DDos,  IPv6不支持广播,但同样防不了DDOS

                 Man-in-the-Middle, 可以使用IPv6的IPsec

IPv6的标准头部长度是40Bytes.,主要是为了加快封装包的传送。IPv6是没有广播的,IPv6使用Multicast来代替IPv4的广播功能。

IPv6的ICMPv6使用Next Header来负载,协议号是58

IPv6的NDP包括neighbor solicitationsneighbor advertisement,用来实现IPv4时的ARP的作用;包括router solicitationsrouter advertisement来获得LAN节点的信息(

network prefixDefault Gateway, Echo RequestEcho Replay用来实现Ping6, NS,NA,RS,RA及DHCPv6使用组播。


由于IPv6使用next header来让网卡知道,IPV6负载的是什么类型的数据包,这就造成了黑客可以攻击的地方。以下讨论的是extension header攻击的问题。

RFC2640有规定next header负载的顺序,不按照顺序来的封装包会被丢弃。(Destination option header出现两次)

A. Hop-by-Hop Options Header
B. Destination Option Header
C. Routing Header
D. Fragmentation Header
E. Authentication Header
F. Encapsulation Security Payload Header
G. Destination Option Header 
H. Upper Layer Header

攻击一:

Hop-by-Hop Option Header与Destination Option Header的padding攻击:

Hop-by-Hop所有IPv6节点都必须检视的头部,Destination Option由目的节点来检查,PadN用来填充封装包的Ocet的倍数,但是黑客

可能修改padN,增加恶意信息。防火墙和入侵检测系统必须能过滤这两个header的恶意修改,即对PadN所填充的data不是0的部分。


攻击二: Routing Header的RH0攻击

攻击者将目标网络的中间节点当成转运站传送原本不被防火墙的Policy或路由器的ACL允许的目的端封包,从而避免防火墙的policy或

路由器的ACL。策略如支持IPv6的思科路由器在inbound方向上设置 deny ipv6 any any routing-type 0


攻击三:Fragmentation Header 的攻击

在IPv6中,分片跟重组都在EndHost 做,中间的路由器不负责这些操作,但具有L4-7层能力的防火墙和入侵检测系统必须要有能力在封片中

找出这些攻击包。


攻击四:Upper Layer Header的威胁

IPsec对于应用层并无任何保护,因此你必须用在IPv4中使用同样的方法来保护。如应用层防火墙。


NOTE:以上都是IPv6扩展头部的攻击。


--------------------------------------------------------------------------------------------------------------------------------------------------------------------

IPv6使用组播的方式传讯网络信息: 使用FF02::1可以取得Subnet的link-local ALL Nodes的资讯,FF02::2可以取得Subnet的link-local 

All Routers的资讯。在所有主机都跑Dual-stack的Protocol Stack的话,你可以在所有Service(含IPv6的Service)都bind到IPv4的状况下,

对IPv4做扫描,就可以得到所有IPv6的Hosts以及跑在上面的服务。


IPv6无法抵御DDOS攻击

使用smurf6的DDOs工具,对FF02::1来发送ICMPv6 Echo使同网段的所有Nodes发送ICMPv6 Replay来对目标节点做Flood攻击。


IPv4与IPv6的协议转换也是入侵的后门

IETF定义的IPv4到IPv6有三种,Dual-stack Tunnels以及Protocol

在Dual-stack架构中,IPv4与IPv6是共存于Layer 2之上,只是各自使用不同的Ethernet Type.IPv4的Ethernet Type是0x0800

IPv6的Ethernet Type是0x86dd.IP层之上的传输层没有什么变化

措施:

1.使用支持IPv6的防火墙

2.使用可以辨别IPv6的设备,直接把IPv6的Traffic给block.

3.使用支持IPv6的switch 将Ethernet Type 0x86dd的帧给block


IPv4 Tunnels被入侵的严重问题

tunnels会自动block掉IPv4地址不符的Inject封包。至于IPv6的封包的保护可以使用URPF来过滤Tunnel中可能被Spoofed的

IPv6封包。使用IPv4  IPsec 来加强保护你的IPv4 Tunnels免于Injection与Sniffing的威胁。

Dynamic tunnels防护:针对6to4的ACL,在ingress做Filter来过滤掉非2001开头的IPv6地址,来实现非6to4的spoofed IPv6

封包,以及RFC1918的private address 形成的IPv6地址也必须过滤掉。










baidu_24965459
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPv6协议规范(中文版)
silver的专栏
01-08 1万+
 Internet 协议第六版 (IPv6) 规范1。绪论IP 第 6 版 (IPv6) 是继 IP 第 4 版 (IPv4) [RFC-791] 以后,Internet 协议的一个新版本。由 IPv4 到IPv6的改变主要集中在以下几个方面:地址容量的扩展IPv6把 IP 地址的大小从 32 位增至 128 位,可以支持更多的地址层次,更大数量的节点,以及更简单的地址自动配置
[漏洞分析] CVE-2022-2766六 IPV6 ESP协议页溢出内核提权
热门推荐
Breeze的博客
04-02 1万+
CVE-2022-27666 IPV6 ESP协议页溢出内核提权 文章目录CVE-2022-27666 IPV6 ESP协议页溢出内核提权漏洞简介环境搭建虚拟机docker漏洞原理漏洞发生点调用栈漏洞利用参考 漏洞作者博客:https://etenal.me/archives/1825 写的非常详细,这里只是简单补充一下环境搭建和简单分析一下原理和利用等。 漏洞简介 漏洞编号: CVE-2022-27666 漏洞产品: linux kernel - esp6 影响版本: ~ linux kernel 5.
体会一下hop-by-hop逐跳头中的路由器告警选项(Router Alert Option)的玩法
Netfilter
04-10 1万+
将目标不是到达本机的数据包收到本机的方案很多,以Linux系统为例,包括但不限于: 使用NAT Redirect。 使用Netfilter nfqueue。 使用PACKET/PF_Ring等机制来镜像或者旁路。 Netmap/DPDK。 … 一般的DPI设备都是采用这些方式来 “捕获” 数据报文。但是本文不谈这些。 排除数据包被有意截获不说,仅从IP协议的层面上来讲,逐跳被路由的IP数据包 ...
微软ipv6服务器,IPv6用户危险了!Win10出现严重安全漏洞
weixin_42498585的博客
08-06 656
10月13日,微软宣布了Windows IPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898,又称“Bad Neighbor”),攻击者可以利用恶意伪造的包在远程系统上执行任意代码,这枚安全漏洞的CVSS得分达到了9.8分,属于高危漏洞。根据微软官方的描述,该漏洞主要是在Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包...
大量思科设备存在IPv6死亡之Ping漏洞
weixin_34268610的博客
07-03 279
思科最近向企业网管们发出警告,旗下某些网络设备在处理IPv6包时存在漏洞,该漏洞的影响范围还不仅限于思科自家的产品。 IPv6邻居发现漏洞安全预警 这是个有关IPv6邻居发现包的漏洞,思科发布的安全预警对此进行了详细的解释。 该漏洞可能会导致远程未授权DoS攻击的产生——黑客可以发送恶意的IPv6邻居发现包,至存在漏洞的设备。由于这些设备“低效的处理逻辑...
通信与网络中的一种IPv4/IPv6安全网关的设计和实现
10-22
IPv4/IPv6安全网关设计和实现的关键在于有效连接两种协议环境,解决IPv4地址枯竭问题,同时确保网络安全。通过模块化设计和强大的管理功能,这种网关能够适应不断增长的网络需求,促进IPv6的广泛部署,为未来的...
浅谈IPv6安全
10-18
IPv6,全称Internet Protocol Version 6,是互联网协议的第六版,设计目的是解决IPv4地址枯竭和安全挑战。IPv6的引入是为了提供更大的地址空间,从IPv4的32位地址扩展到了128位,理论上可以提供数量级更大的唯一地址...
IPv6网络安全白皮书
09-20
加快发展基于IPv6的下一代互联网,是加速国家信息化进程、构筑国际竞争新优势的紧迫要求。...梳理现有网络安全工作急需,挖掘IPv6安全产品和服务重点发展方向,共同推动保障下一代互联网安全、有序发展。
阿里巴巴IPv6安全实践.pdf
03-13
阿里巴巴IPv6安全实践.pdf
IPV6安全,IP
08-28
IPV6安全,新版本的IP之安全。感兴趣的人看一下
针对ICMPv6的smurf攻击
04-16
本C代码实现了针对ICMPv6协议的smurf攻击。
IPv6详解[中文高清]
01-20
中文高清 PDF 格式 目 录 译者序 前言 第一部分 IP基础知识 第1章 为何要升级IP 1 1.1 IP的影响 1 1.1.1 什么是IP 2 1.1.2 IP应用在哪些地方 3 1.1.3 有多少人在使用IP 3 1.1.4 当IP发生变化时会产生哪些影响 4 1.2 IPv4的局限性及其缺点 4 1.2.1 IP地址空间危机 5 1.2.2 IP性能议题 5 1.2.3 IP安全性议题 6 1.2.4 自动配置 6 1.3 紧迫感 7 第2章 TCP/IP网络互联简介 8 2.1 网络互联问题 8 2.2 分层网络互联模型 9 2.2.1 OSI模型 10 2.2.2 Internet模型 10 2.2.3 封装 11 2.3 IP 12 2.3.1 IP寻址 13 2.3.2 IP头 15 2.3.3 数据报的转移 17 2.4 ICMP 18 2.5 选路、传输和应用协议 18 2.5.1 选路协议 19 2.5.2 传输协议 19 2.5.3 应用协议 19 第3章 IPv4的问题 20 3.1 修改还是替换 20 3.2 过渡还是不过渡 26 第4章 通向IPng之路 27 4.1 概念的诞生 27 4.1.1 对Internet将来的估计 27 4.1.2 Internet发展中需要考虑的领域 28 4.2 第一回合 29 4.3 拾遗 31 4.4 IPv6,第一回合 32 4.5 IPv6,第二回合 32 第二部分 IPv6细节 第5章 IPv6的成型 33 5.1 IPv6 33 5.1.1 变化概述 33 5.1.2 包头结构 35 5.1.3 IPv4与IPv6的比较 36 5.1.4 流标签 37 5.1.5 业务流类别 37 5.1.6 分段 38 5.1.7 扩展头 39 5.2 ICMPv6 40 第6章 IPv6寻址 43 6.1 地址 43 6.1.1 地址表达方式 43 6.1.2 寻址模型 44 6.1.3 地址空间 45 6.2 地址类型 46 6.2.1 广播路在何方 46 6.2.2 单播 46 6.2.3 单播地址格式 47 6.2.4 组播 51 6.2.5 泛播 53 第7章 IPv6扩展头 54 7.1 扩展头 54 7.2 扩展头的用法 54 7.2.1 扩展头的标识 55 7.2.2 扩展头的顺序 56 7.2.3 建立新的选项 56 7.2.4 选项扩展头 56 7.2.5 选项 57 7.3 逐跳选项 58 7.4 选路头 59 7.5 分段头 59 7.6 目的地选项 60 第8章 IPv6选路 62 8.1 地址对IP网络的影响 62 8.1.1 标识符和定位符 62 8.1.2 地址分配、无缝互操作和网络 拓扑 64 8.2 选路问题 65 第9章 IPv6身份验证和安全性 69 9.1 为IP增加安全性 69 9.1.1 安全性目标 69 9.1.2 RFC 1825及建议的更新 70 9.2 IPsec 70 9.2.1 加密和身份验证算法 71 9.2.2 安全性关联 73 9.2.3 密钥管理 74 9.2.4 实现IPsec 74 9.2.5 隧道模式与透明模式 75 9.3 IPv6安全性头 76 9.3.1 身份验证头 76 9.3.2 封装安全性净荷头 78 第10章 相关的下一代协议 80 10.1 协议的层次 80 10.1.1 应用层 80 10.1.2 传输层 80 10.1.3 链路层 81 10.2 IPv6域名系统扩展 81 10.3 地址解析协议和邻居发现 82 第11章 自动配置和移动IP 84 11.1 IPv6的即插即用 84 11.1.1 状态自动配置与无状态自动 配置 84 11.1.2 IPv6无状态自动配置 85 11.1.3 BOOTP和DHCP 86 11.1.4 DHCPv6 86 11.2 移动网络技术 86 11.2.1 IPv4中的移动IP 87 11.2.2 IPv6中的移动IP 87 第三部分 IP过渡和应用 第12章 IP过渡策略 89 12.1 IPv6协议隧道方法 89 12.1.1 与IPv4兼容的IPv6地址 90 12.1.2 配置隧道和自动隧道 90 12.1.3 IPv6隧道类型 90 12.2 IPv4/IPv6双栈方法 91 12.3 IPv6地址分配 92 12.4 6BONE 93 第13章 IPv6解决方案 94 13.1 需要支持IPv6的产品 94 13.2 正在开发IPv6产品的公司 94 13.3 对IPv6的期待 95 附录A 与IPv6有关的RFC索引 97 附录B RFC精选 100
IPv6身份验证和安全
09-26
.。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
IPv6协议漏洞将威胁核心路由器安全
weixin_34228617的博客
07-13 173
目前随着互联网应用的不断加深,在全球范围内IPv4地址都呈现出逐渐枯竭的状况,而面向IPv6地址过渡的呼声变得越来越强。不过,对于现在网络设备来说,IPv6准备好了吗? IPv6易受碎片攻击 威胁核心路由器安全   IPv6协议尚有待完善 作为旨在替代传统IPv4协议的IPv6,其在协议制定和演进之时,便考虑设计成能够修补IPv4协议中的安全缺陷,并将...
TCP/IP远程代码执行漏洞(CVE-2020-16898)复现
锋刃科技的博客
11-06 1408
简介 Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 漏洞概述 Windows TCP/IP堆栈在处理IMCPv6 Router Advertisement(路由通告)数据包时存在漏洞,远程攻击者通过构造..
IPv6安全浅析
Mlib
03-13 1万+
原文链接 :IPv6安全浅析 - Huawei - 2010.12 第52期 “缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问 题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决了网络层溯源难题,给网络安全提供了 根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全IPv6协议设计的安全考虑 从...
浅谈IPv6网络安全问题及解决对策
ITSM/ITIL/网络安全/IT运维
12-20 5578
作者:韦霞 来源:《信息安全与技术》2012年第11期 【摘要】 随着科学技术的发展,越来越多的行业和领域广泛推行计算机技术,使得计算机网络取得了巨大发展。新一代的计算机网络核心技术——IPv6是计算机网络发展史上的又一里程碑。本文着重分析了IPv6网络安全存在的一些问题,并提出了相应的解决措施。 【关键词】 IPv6;网络安全问题;解决对策 0 引言 近些年,计算机技术发展迅猛,TCP/IP网络体系结构在互联网上获得很大的成功,光缆...
目前最大的IPv6安全风险有哪些?
weixin_33804582的博客
11-17 926
文章来源:http://www.cnw.com.cn/news-international/htm2013/20131105_285763.shtml尽管IPv6已经开始启用,但网络工程师仍然很谨慎,因为他们担心IPv6安全问题。下面是95000位网络工程师投票选出的IPv6网络安全中前6大安全风险。● 缺乏IPv6安全培训/教育。现在最大的风险是缺乏IPv6安全知识。企业...
中科三方——IPv6升级改造安全策略之多段式防护
weixin_53018687的博客
05-13 179
“加强新型基础设施建设,发展新一代信息网络”,标识了国家网络发展的风向标,如今国家正在积极发展下一代互联网建设工作,IPv6端到端贯通能力提升专项行动也在如火如荼进行中。那么对于升级后的IPv6地址,网络系统相应的安全策略是否也要随之重新规划升级?网络安全仍然是网络部署规划工作中的焦点问题。 经典攻击类型防护 如同IPv4一样,IPv6同属于OSI七层协议族中的一种网络层协议。因此,没有新的应用层、传输层、链路层或物理层漏洞被引入,但同时也并未被削减,因此对应IPv4安全策略中的以下攻击类型,仍需...
ipv6安全技术有哪些
最新发布
04-22
IPv6安全技术包括: 1. IPsec:IPv6在本身中集成了安全性,并与IPsec协议相容。 2. 物理安全:物理安全包括固定的和移动的网络地点的安全,以及关键设备和端口的安全。 3. 网关安全IPv6网关必须被安全地配置,以确保从IPv6网关到IPv4网关的流量的安全。 4. 防火墙:IPv6防火墙用于检测和阻止无论是IPv6还是IPv4的攻击者的恶意流量。 5. 隧道技术:通过IPv4隧道协议进行IPv6和IPv4网络之间的互操作,隧道协议为IPv6提供额外的安全性和保密性。 6. 安全路由:IPv6路由器必须获得和保持作为一组良好安全的路由器的地位。 7. 管理和控制保障:管理员必须保持在IPv6环境中使用更加安全的管理和控制机制。 (请注意,以上仅代表本人的观点,如有问题欢迎指正)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值