IPv6协议漏洞将威胁核心路由器安全

最新推荐文章于 2021-08-06 04:15:39 发布
最新推荐文章于 2021-08-06 04:15:39 发布
阅读量173 收藏
点赞数
文章标签: 操作系统 网络
原文链接:https://yq.aliyun.com/articles/152833
版权

目前随着互联网应用的不断加深,在全球范围内IPv4地址都呈现出逐渐枯竭的状况,而面向IPv6地址过渡的呼声变得越来越强。不过,对于现在网络设备来说,IPv6准备好了吗?

IPv6易受碎片攻击 威胁核心路由器安全

  IPv6协议尚有待完善

作为旨在替代传统IPv4协议的IPv6,其在协议制定和演进之时,便考虑设计成能够修补IPv4协议中的安全缺陷,并将原IPv4的安全性选项IPSec(IP安全协议)加入IPv6协议中,以消除现行采用IPv4协议所产生的网络安全问题。

不过实际上,像IPv6这样的新通信协议同样也会出现一些无法预期的设计漏洞,而且当网络系统以及终端设备向IPv6协议过渡时也会衍生出各种各样的新安全弱点。

以长期以来一直被怀疑会引发IPv6安全漏洞的“原子碎片”向量为例,就被网络专家指出,可能会导致大规模核心网络路由器遭受碎片攻击。

针对IPv4,碎片攻击是一个相当普遍的攻击手段,其主要目的为规避防火墙及入侵检测系统的侦测,将易被察觉的恶意数字签名(data signature)分散到数个封包中,造成防火墙及入侵检测系统难以有效侦测出其原封包的意图。

而在IPv6仅有来源端可分割封包,其被分割的封包大小可依来源端到目的端路径所测得的最大MTU来指定,一般正常的IPv6封包为1280字节(bytes),也就是IPv6最小的封包大小,而最后一个传送的封包大小通常会小于1280字节。同时,要处理重叠的碎片为相当困难的一件事,原因在于不同的目地端系统使用不同的方式来重组封包。

对IPv6而言,当主机接收到小于1280字节(最小IPv6 MTU)的报文时,已无法将其分段为若干片段,这时便会发送包含偏移值为0、MF位为0的碎片头信息的IPv6原子碎片。关键的是,这些原子碎片会成为拒绝服务(DoS)的攻击向量,进而威胁到核心路由器的安全运行。

因此,目前来自国际互联网工程任务组(IETF)贡献者之一的Fernando Gont已经正式提交了RFC 8021文件,将IPv6协议中存在的此种情况,归类到“认为有害”列表上,以敦促业界重视该问题。

由于IPv6协议中的此漏洞会存在于采用该协议的任何产品中,这就意味着当前主流核心网络设备供应商,如思科、瞻博网络、爱立信、华为等都必须给予重视并处理,才能避免协议层面漏洞引发原子碎片攻击的风险。

本文转自d1net(转载)

weixin_34228617
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[漏洞分析] CVE-2022-2766六 IPV6 ESP协议页溢出内核提权
Breeze的博客
04-02 1万+
CVE-2022-27666 IPV6 ESP协议页溢出内核提权 文章目录CVE-2022-27666 IPV6 ESP协议页溢出内核提权漏洞简介环境搭建虚拟机docker漏洞原理漏洞发生点调用栈漏洞利用参考 漏洞作者博客:https://etenal.me/archives/1825 写的非常详细,这里只是简单补充一下环境搭建和简单分析一下原理和利用等。 漏洞简介 漏洞编号: CVE-2022-27666 漏洞产品: linux kernel - esp6 影响版本: ~ linux kernel 5.
IPv6安全
24965459的博客
07-23 1183
IPv6作为一种IP协议,其继承了IPv6的一些特性,同时也有一些漏洞: 具体的有:应用层的漏洞,由于IP协议在应用层的下面。则其应用层的漏洞也继承                   NDP协议漏洞IPv6的NDP继承了很多IPv4的ARP相关的漏洞                  DHCP,由于DHCPv6没有提供认证机制,也存在伪造DHCP的风险
大量思科设备存在IPv6死亡之Ping漏洞
weixin_34268610的博客
07-03 279
思科最近向企业网管们发出警告,旗下某些网络设备在处理IPv6包时存在漏洞,该漏洞的影响范围还不仅限于思科自家的产品。 IPv6邻居发现漏洞安全预警 这是个有关IPv6邻居发现包的漏洞,思科发布的安全预警对此进行了详细的解释。 该漏洞可能会导致远程未授权DoS攻击的产生——黑客可以发送恶意的IPv6邻居发现包,至存在漏洞的设备。由于这些设备“低效的处理逻辑...
浅谈IPv6安全
10-18
同时,IPv6协议还旨在改进传输层的安全性。 在IPv6中,IPSec(Internet Protocol Security)被集成到核心协议栈中,成为强制性的安全组件,与IPv4中作为可选的附加功能不同。这意味着所有IPv6通信都默认具有加密和...
tp-link460路由器特制版固件
10-26
路由器固件是控制路由器硬件运行的核心软件,它包含了操作系统网络协议栈、设备驱动程序以及各种管理界面等组件。特制版的路由器固件,如"tp-link460路由器特制版固件",通常是为了满足特定需求或优化功能而对官方...
原装固件HG255d
09-26
2. 安全性更新:随着网络安全威胁的不断演变,固件升级会修补已知的安全漏洞,防止恶意攻击者利用这些漏洞入侵网络。 3. 新功能添加:厂商可能在新固件中引入新的特性和功能,以满足用户日益增长的需求,如家长控制...
飞鹰路由D12HG V2.0 固件
最新发布
08-15
路由器固件是控制路由器硬件并执行网络管理任务的操作系统,通常包含网络协议、配置选项、安全功能等核心组件。此V2.0版本可能包含了对原有功能的优化、新特性的添加以及已知问题的修复。 首先,我们来深入了解一下...
适用于H3C NX18固件未测试
03-06
3. **安全性增强**:随着网络安全威胁的不断演变,固件更新能够修补已知的安全漏洞,防止恶意攻击。 4. **稳定性改进**:解决设备在特定环境或条件下可能出现的崩溃或重启问题。 更新H3C NX18固件的步骤大致如下: ...
运营探讨--ipv6安全浅析
01-19
“缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决了网络层溯源难题,给网络安全提供了根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全IPv6协议设计的安全考虑   从协议的角度,IPv6作为IPv4的下一代,与IPv4同属于网络层的传输协议。然而,协议上最核心、最本质的差别就是地址空间的扩大,由IPv4下的32位地址空间变为128位的地址空间,这正是IPv6被选作新网络的承载协议并逐渐商用部署的根本驱动力。   IPv6拥有如此巨大的地址空间,甚至可以为每一粒沙子都分配一个IP地址。而IPv4网络的地址分配是不规则的,并且很多时候是一个地址被多台主机共用。使用IPv6之后,我们能够将每个地址指定给一个责任体,就像给每个人一个身份证号,每辆车一个车牌号一样,每个地址都是唯一的;IPv6的地址分配采用逐级、层次化的结构,这就使得追踪定位、攻击溯源有了很大的改善。   另外,IPv6提出了新的地址生成方式——密码生成地址。密码生成地址与公私钥对绑定,保证地址不能被他人伪造。这如同汽车的车牌印上了指纹,别人不可能伪造这样的车牌,因为指纹造不了假。   在IPv6协议设计之初,IPSec(IP Security)协议族中的AH(Authentication Header,报文认证头)和ESP(Encapsulation Security Payload,报文封装安全载荷)就内嵌到协议栈中,作为IPv6的扩展头出现在IP报文中,提供完整性、保密性和源认证保护,这无疑是从协议上较大地提升安全性。   整体上看,IPv4协议的设计没有任何的安全考虑,特别是报文地址的伪造与欺骗使得无法对网络进行有效的监管和控制。因此,当出现网络攻击与安全威胁时,我们只能围绕攻击事件做好事前、事中和事后的防范、检测和过滤防御,缺乏有效的技术支撑手段,无法对攻击者形成真正的打击和管控。   而在IPv6网络安全体系下,用户、报文和攻击可以一一对应,用户对自己的任何行为都必须负责,具有不可否认性,所以IPv6建立起严密的围绕攻击者的管控机制,实现对用户行为的安全监控。 IPv6能减缓现有攻击   扫描几乎是任何攻击手段的必需前提。攻击者利用扫描收集目标网络的数据,据此分析、推断目标网络的拓扑结构、开放的服务、知名端口等有用信息,以作为真正攻击的基础。扫描的主要目的是通过ping每个地址,找到作为潜在攻击目标的在线主机或设备。   在IPv6时代,每个地址为128位,协议中规定的默认网络前缀为64位。换句话说,就是一个网段内有264个地址,假设攻击者以10M/s的速度来扫描,也得需要大约5万年的时间才能遍历。IPv6大大增大了扫描难度,由此增加了网络攻击的成本和代价。此时,黑客如果想侵占一定数量的主机发起DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,那么其将会付出更多的代价,这在一定程度上减少了DDoS攻击发生的可能性。   IPv6协议定义了多播地址类型,而取消了IPv4下的广播地址,有效避免IPv4网络中的利用广播地址发起的广播风暴攻击和DDoS攻击。同时,IPv6协议规定了不允许向使用多播地址的报文回复ICMPv6(Internet Control Management Protocol Version 6)差错消息,因此也能防止ICMPv6报文造成的放大攻击。   IPv6下的密码生成地址是新的地址生成方式,将公私钥对中的公钥与IPv6地址进行绑定。使用此类地址,能够保证报文的源地址不被他人伪造。在这样的安全机制保护下,在网络中传输的每一个报文均对应于一台主机,如果发生任何的攻击或者违法犯罪行为,都能够根据攻击报文追踪到发出此报文的主机,进而追查到攻击者。这种可靠的追踪溯源机制,使得黑客和攻击者容易被发现,这样就减少了网络攻击发生的可能。 IPv6面临的新威胁   IPv6协议对IPv4协议的根本改变是发生在IP层,因此针对IPv6协议所定义的包头及扩展头的、容易发生的安全威胁,我们需要进行充分的准备。常见的针对IPv6扩展头的攻击,主要包括利用分片扩展头发起分片攻击,逃避防火墙/IDS(Intrusion Detection System,入侵检测系统)的检查或者发动DDoS攻击;利用路由扩展头的type 0类型,在网络中发起放大攻击。   在IPv4向IPv6的演进过程中,我们还需要考虑各种过渡技术与方案的安全隐患。由于在共存时期,IPv4网络IPv6网络同时存在,且有互通需求,这就要求来自两
论文研究-IPv6网络安全威胁分析 .pdf
08-14
IPv6网络安全威胁分析,杨德全,赵敬中, 网络安全是个永恒的话题,随着下一代互联网的出炉,旧的安全威胁或消失或变种。文章针对这些情况进行总体分析然后将第三层做切��
论文研究-IPv6安全脆弱性研究.pdf
07-22
IPv6作为可控、可信、可扩展的下一代网络核心协议已经从试验阶段走向实际应用。普遍认为IPv6因有IPSec而比IPv4更安全,但IPv6网络在实际部署中往往没有实施IPSec。IPv6协议在没有IPSec时的安全性,特别是过渡时期和IPv6协议自身的安全性问题值得深入研究。主要研究了IPv6在没有IPSec时的安全性。首先对IPv6网络中的攻击和安全问题进行了分类和概述,然后分两部分重点讨论了过渡时期的安全性和IPv6特有的安全性,并给出了一些攻击和漏洞的防护建议。
微软ipv6服务器,IPv6用户危险了!Win10出现严重安全漏洞
weixin_42498585的博客
08-06 656
10月13日,微软宣布了Windows IPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898,又称“Bad Neighbor”),攻击者可以利用恶意伪造的包在远程系统上执行任意代码,这枚安全漏洞的CVSS得分达到了9.8分,属于高危漏洞。根据微软官方的描述,该漏洞主要是在Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包...
IPv6网络协议安全疑云
然若风散记
10-12 743
随着互联网的更新,我们迎来了IPv6网络协议的使用,在我们不断赞扬IPv6网络协议的诸多优点后,我们也同样对它的一些漏洞和问题产生了担心。计算机网络协议版本6(IPv6) 并不提高企业的Web安全性,但是,当从IPv4迁移过来时,对于IPv6网络安全性问题的了解有助于你防范公司网
碎片攻击
Jiehash的专栏
04-23 1105
常见IP碎片攻击详解来源:本文出自:http://sinbad.zhoubin.com 作者: Sinbad (2002-12-05 06:02:00)本文简单介绍了IP分片原理,并结合Snort抓包结果详细分析常见IP碎片攻击的原理和特征,最后对阻止IP碎片攻击给出一些建议。希望对加深理解IP协议和一些DoS攻击手段有所帮助。1. 为什么存在IP碎片-=-=-=-=-=-=-=-=-=-=-=链
近些年关于物联网安全事件
kevin_bobolkevin的博客
01-11 3914
2015 比亚迪云服务漏洞 http://www.leiphone.com/news/201506/xeVFnrkoNIYN1TWp.html 2015 海康威视黑天鹅 http://www.xinhuanet.com/fortune/caiyan/ksh/11.htm 2014特斯拉程序设计漏洞 http://letshome.baijia.baidu.com/article/6306
什么是IPv6IPv6与IPv4有什么区别?IPv6安全
热门推荐
悟空大师的博客
03-21 4万+
IPv6是什么意思? IPv6通俗讲就是,第六代互联网。 这里稍微普及一下,网络最开始是上世纪60、70年代在美国诞生的,那时候计算机非常大、数量非常少,为了共享计算机资源,大家把几台计算机连接起来,就形成了网络。 到了90年代,计算机越来越小,接入网络的计算机越来越多,逐渐形成了互联网。 从90年代到现在,我们使用的都是第四代互联网(IPv4),借助互联网浪潮,特别是进入移动互联网时代,...
ipv6
kv110的专栏
05-01 276
https://ipv6-test.com/ http://www.test-ipv6.com/ code:https://github.com/falling-sky/source 单播地址:用来唯一标识一个接口,类似于IPv4中的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的一个接口。 组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值