《IPv6安全》——第2章 IPv6协议安全弱点 - 副本

最新推荐文章于 2022-08-11 19:54:41 发布
最新推荐文章于 2022-08-11 19:54:41 发布
阅读量188 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/105500
版权

本节书摘来异步社区《IPv6安全》一书中的第2章,作者:【美】Scott Hogg , Eric Vyncke,更多章节内容可以访问云栖社区“异步社区”公众号查看

第2章 IPv6协议安全弱点 - 副本

IPv6安全
本章讲解如下主题。

IPv6协议首部:回顾IPv6首部、ICMPv6和多播。
扩展首部的各项威胁:IPv6首部的安全隐含意义。
勘察IPv6网络:寻找可被攻击的IPv6节点。
三层和四层欺骗:精心构造数据包威胁。
第2章 IPv6协议安全弱点
Internet工程任务组(IETF)定义了在构造一个可互操作协议时,实现人员必须遵循的IPv6协议规范。在某些方面,某些规范可能是二义性的和不完全的,或在撰写规范时没有考虑到一些安全隐含意义。因此,在软件被开发和部署后,就可能出现不可预见的安全问题。例如,满足IETF RFC中详细说明的规范的数据包,当在一个网络上被发送或接收时,可能有不良后果。虽然按照规范一些数据包是合法的,但它们也许没有遵循通信进行的实际逻辑。这些话题超出了位置(LAN或WAN)限制,但可适用于多种类型的网络(企业或服务提供商)。黑客和安全研究人员们深入探索研究了规范和实践部署之间的这些细微差别。IETF有时会修订协议,但在一些情形中,IETF将之留给IP系统的部署人员,由他们修正规范的缺陷。

多数这样的弱点涉及IPv6数据包首部内部的字段。IPv6首部定义了协议,因此它成为诸多安全研究的焦点。当网络硬件和软件的实现暴露出IPv6协议中的这些弱点时,就出现了安全问题。当以开放系统互连(OSI)协议栈考察IPv6时,以IPv6替换IPv4本质上仅改变了网络层。网络层上下的协议层未必会受到IPv6引入的影响。但是,因为IPv6与网络层上下协议层交互的方式,就可能出现由于IPv6引入导致的新威胁。因为IPv6首部内部的各项字段影响该协议的安全,所以IPv6首部是本章的讨论焦点。

本章首先回顾IPv6首部和由Internet控制消息协议版本6(ICMPv6)及多播提供的关键功能,然后讲解与IPv6扩展首部有关的安全问题。本章详细回顾了每种扩展首部类型,并详细描述了每种扩展首部类型的安全对策。之后本章回顾了攻击者如何实施对IPv6网络的破坏。最后,本章讨论如何使用欺骗地址和上层信息伪造数据包。

weixin_34414650
关注
IPv6安全浅析
Mlib
03-13 1万+
原文链接 :IPv6安全浅析 - Huawei - 2010.12 第52期 “缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问 题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决了网络层溯源难题,给网络安全提供了 根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全IPv6协议设计的安全考虑 从...
[TCCS]OpenHarmony啃论文计划--一文遍历主要的物联网通信协议(MQTT、XMPP、AMQP、DDS、HTTP、CoAP)
z239103的博客
05-15 1420
万字长文预警!一文了解主要的物联网通信协议(MQTT、XMPP、AMQP、DDS、HTTP、CoAP)
IPv6新形势下的安全解决方案
cpongo011702
03-16 353
2017年底,国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,要求加快IPv6规模部署,在此形势下,网络架构、运维、安全等方面都遇到新的挑战。应用交付网络厂商F5中国总经理张毅强、CTO吴静涛等分享了他们对新形势的判断和解决方案。F5是一家提供应用交付网络服务的厂商,其产品聚焦于负载均衡、安全、应用加速等方面,包括BIG-IP LTM等硬件产品,面向客户包括政府、金融、互联网...
IPV6安全性
积累与分享
12-23 1120
<br />现实Internet上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危,每天上网开了实时防病毒程序还不够,还要继续使用个人防火墙,打开实时防木马程序才敢上网冲浪。诸多人把这些都归咎于IPv4网络。现在IPv6来了,它设计的时候充分研究了以前IPv4的各种问题,在安全性上得到了大大的提高。但是是不是IPv6就没有安全问题了?答案是否定的。<br />  目前,病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了,因为IPv6的地址空间实在是太大了,如果这些病毒或者
IPV6安全吗?
程序员记事本
04-03 661
疫情原因宅在家里,经过一通折腾以后联通可以分配IPV6地址了,随后想到一个问题,内网手机,平板,甚至电视等都分配IPv6地址以后相当于都有了互联网IP地址,那岂不是从外部可以直接远程攻击这些设备了吗? 找了台VPS服务器,用IPV6地址远程ping我的内网笔记本ipv6地址,可以ping通,随后尝试telnet 我的笔记本端口一下子就连上来了,乖乖,这也太不安全了吧。吓得我赶紧把路由上面的IPv6给关掉了。 ...
IPv6安全
24965459的博客
07-23 1212
IPv6作为一种IP协议,其继承了IPv6的一些特性,同时也有一些漏洞: 具体的有:应用层的漏洞,由于IP协议在应用层的下面。则其应用层的漏洞也继承                   NDP协议的漏洞,IPv6的NDP继承了很多IPv4的ARP相关的漏洞                  DHCP,由于DHCPv6没有提供认证机制,也存在伪造DHCP的风险
[RFC5996 翻译一] IKEv2 互联网密钥交换协议版本2
PiPiQ_Blog的博客
12-11 2615
rfc5996 (ietf.org) 本文档介绍了 Internet 密钥交换 (IKE) 协议的第 2 版。 IKE 是 IPsec 的一个组件,用于执行相互身份验证以及建立和维护安全关联 (SA)。本文档替换并更新了 RFC 4306,并包含了 RFC 4718 中的所有说明。 目录 1. 介绍 1.1.使用场景 1.1.1.隧道模式下的安全网关到安全网关 1.1.2.端点到端点传输模式 1.1.3.隧道模...
计算机网络常见面试真题详解
Redemption___的博客
01-06 4793
计算机网络大厂面试真题详解
计算机网络之网络层笔记
xu_yushu的博客
05-03 799
关于计算机网络的网络层王道笔记,包含IP、RIP、DHCP、ICMP、OSPF协议,路由算法等,希望对你的学习有所帮助。
软考-软件设计师笔记【原创无样式版】需要笔记请联系
qq_44869900的博客
06-09 3603
越努力,越幸运!!! 计算机系统基础 (一)CPU的功能 (1)程序控制功能。CPU通过执行指令来控制程序的执行顺序。 (2)操作控制。 (3)时间控制。 (4)数据处理。CPU最根本的任务。 (二)运算器。 运算器也称为算术逻辑单元(ArithmeticandLogicUnit,ALU),其主要功能是在控制器的控制下完成各种算术运算和逻辑运算。运算器的组成包含如下。 ① 算术逻辑单元ALU:数据的算术运算和逻辑运算; ② 累加寄存器AC:通用寄存器,为ALU提供一个工作区,用在暂存数据; ③ 数据缓冲寄存
运营探讨--ipv6安全浅析
01-19
“缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决了网络层溯源难题,给网络安全提供了根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全IPv6协议设计的安全考虑   从协议的角度,IPv6作为IPv4的下一代,与IPv4同属于网络层的传输协议。然而,协议上最核心、最本质的差别就是地址空间的扩大,由IPv4下的32位地址空间变为128位的地址空间,这正是IPv6被选作新网络的承载协议并逐渐商用部署的根本驱动力。   IPv6拥有如此巨大的地址空间,甚至可以为每一粒沙子都分配一个IP地址。而IPv4网络的地址分配是不规则的,并且很多时候是一个地址被多台主机共用。使用IPv6之后,我们能够将每个地址指定给一个责任体,就像给每个人一个身份证号,每辆车一个车牌号一样,每个地址都是唯一的;IPv6的地址分配采用逐级、层次化的结构,这就使得追踪定位、攻击溯源有了很大的改善。   另外,IPv6提出了新的地址生成方式——密码生成地址。密码生成地址与公私钥对绑定,保证地址不能被他人伪造。这如同汽车的车牌印上了指纹,别人不可能伪造这样的车牌,因为指纹造不了假。   在IPv6协议设计之初,IPSec(IP Security)协议族中的AH(Authentication Header,报文认证头)和ESP(Encapsulation Security Payload,报文封装安全载荷)就内嵌到协议栈中,作为IPv6的扩展头出现在IP报文中,提供完整性、保密性和源认证保护,这无疑是从协议上较大地提升安全性。   整体上看,IPv4协议的设计没有任何的安全考虑,特别是报文地址的伪造与欺骗使得无法对网络进行有效的监管和控制。因此,当出现网络攻击与安全威胁时,我们只能围绕攻击事件做好事前、事中和事后的防范、检测和过滤防御,缺乏有效的技术支撑手段,无法对攻击者形成真正的打击和管控。   而在IPv6网络的安全体系下,用户、报文和攻击可以一一对应,用户对自己的任何行为都必须负责,具有不可否认性,所以IPv6建立起严密的围绕攻击者的管控机制,实现对用户行为的安全监控。 IPv6能减缓现有攻击   扫描几乎是任何攻击手段的必需前提。攻击者利用扫描收集目标网络的数据,据此分析、推断目标网络的拓扑结构、开放的服务、知名端口等有用信息,以作为真正攻击的基础。扫描的主要目的是通过ping每个地址,找到作为潜在攻击目标的在线主机或设备。   在IPv6时代,每个地址为128位,协议中规定的默认网络前缀为64位。换句话说,就是一个网段内有264个地址,假设攻击者以10M/s的速度来扫描,也得需要大约5万年的时间才能遍历。IPv6大大增大了扫描难度,由此增加了网络攻击的成本和代价。此时,黑客如果想侵占一定数量的主机发起DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,那么其将会付出更多的代价,这在一定程度上减少了DDoS攻击发生的可能性。   IPv6协议定义了多播地址类型,而取消了IPv4下的广播地址,有效避免IPv4网络中的利用广播地址发起的广播风暴攻击和DDoS攻击。同时,IPv6协议规定了不允许向使用多播地址的报文回复ICMPv6(Internet Control Management Protocol Version 6)差错消息,因此也能防止ICMPv6报文造成的放大攻击。   IPv6下的密码生成地址是新的地址生成方式,将公私钥对中的公钥与IPv6地址进行绑定。使用此类地址,能够保证报文的源地址不被他人伪造。在这样的安全机制保护下,在网络中传输的每一个报文均对应于一台主机,如果发生任何的攻击或者违法犯罪行为,都能够根据攻击报文追踪到发出此报文的主机,进而追查到攻击者。这种可靠的追踪溯源机制,使得黑客和攻击者容易被发现,这样就减少了网络攻击发生的可能。 IPv6面临的新威胁   IPv6协议对IPv4协议的根本改变是发生在IP层,因此针对IPv6协议所定义的包头及扩展头的、容易发生的安全威胁,我们需要进行充分的准备。常见的针对IPv6扩展头的攻击,主要包括利用分片扩展头发起分片攻击,逃避防火墙/IDS(Intrusion Detection System,入侵检测系统)的检查或者发动DDoS攻击;利用路由扩展头的type 0类型,在网络中发起放大攻击。   在IPv4向IPv6的演进过程中,我们还需要考虑各种过渡技术与方案的安全隐患。由于在共存时期,IPv4网络与IPv6网络同时存在,且有互通需求,这就要求来自两
IPv6安全性
weixin_41924879的博客
09-25 8024
IPv6安全性 IPv6的优势及特点 扩展地址空间及应用。IPv6设计之初主要是解决互联网迅速发展使IPv4地址空间将被耗尽问题,以免影响整个互联网的进一步扩展。由于IPv4采用32位地址长度,大约只有43亿个地址,而IPv6采用128位地址长度,极大地扩展了IP地址空间。 IPv6的研发还解决了IPv4的其他多种问题,如安全性、端到端IP连接、服务质量(QoS)、多播、移动性和即插即用...
IPV6安全计划
weixin_34008933的博客
02-14 351
第6IPV6安全计划 如果计划在你的网络中引进一个新的网络层协议,必然会引起安全团队的重视。事实上,在你的网络中可能早已拥有了一些试图连接网络资源的IPv6寻址设备。因此,作为引进IPv6计划的重要组成部分,更新你的安全策略就非常关健了。本主要从安全的视角来探讨IPv4和IPv6之间的差异,并突出了在更新安全策略时需要考虑的一些关键点。 6.1好消息:IP依然是IP 如同IPv4,IP6是...
如何学习IPv6安全
weixin_44595246的博客
08-11 1397
学习的目的是通过掌握某一领域的知识来帮助解决具体遇到的问题。IPv6安全从字面很容易理解是关于IPv6安全,属于网络安全的一个子领域。在相对聚焦的子领域内又涵盖了两块完全独立的专业领域,一块是IPv6技术,一块是安全(Cybersecurity)。IPv6安全正是处于这两块技术领域的交集。随着我国推进IPv6部署加快,等保建设的同步规划、同步建设、同步使用的三同步要求,越来越多的需要具备IPv6安全知识的专业人员。这正是本文的目的,探索一条适合的IPv6安全学习路径给大家参考。............
浅谈IPv6网络安全问题及解决对策
ITSM/ITIL/网络安全/IT运维
12-20 5660
作者:韦霞 来源:《信息安全与技术》2012年第11期 【摘要】 随着科学技术的发展,越来越多的行业和领域广泛推行计算机技术,使得计算机网络取得了巨大发展。新一代的计算机网络核心技术——IPv6是计算机网络发展史上的又一里程碑。本文着重分析了IPv6网络安全存在的一些问题,并提出了相应的解决措施。 【关键词】 IPv6;网络安全问题;解决对策 0 引言 近些年,计算机技术发展迅猛,TCP/IP网络体系结构在互联网上获得很大的成功,光缆...
IPv6:如何才能“更安全
王以山的专栏
10-15 1578
下一代互联网的研究和建设正逐步成为信息技术领域的热点之一。而下一代互联网的网络安全则是下一代互联网研究中的一个重要的领域。本文首先介绍了IPv6协议的基本特征和内嵌的安全机制,然后在此基础上分析比较了IPv4和IPv6网络下的安全问题的相似性和差异。最后介绍了国内外IPv6安全
IPv4向IPv6过渡技术与安全性研究——基于NAT-PT和IPSec
此外,针对IPv6网络中的IPSec安全协议,论文指出其与NAT-PT翻译网关的兼容性问题,并提出了一种利用分段协商机制建立安全隧道的方法,以实现IPSec与NAT-PT的兼容,从而增强过渡过程中的安全性。 关键词:IPv4,IPv6...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值