校园IPv6网络安全新威胁分析

  • 格式:pdf
  • 大小:169.81 KB
  • 文档页数:2

校园I Pv6网络安全新威胁分析 

随着IPv6在校园网中的广泛部署,IPv6网络的安全问题日益突出,本文针对IPv6的新特性, 

对IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6网络安全新威胁进行了详细 

分析,以便在设计、部署和维护IPv6网络中可以合理地运用安全策略,提高网络的安全性。 

■文/胡金龙陆以勤 

与IPv4协议相比,IPv6提供了更大的地址空间、集成的安 

全性、简易的配置和更简洁的包头结构。在IPv6中IPSec是一 

个必须组成部分,使得网络层的安全性得到了增强,但IPv6并 未要求强制实施IPSec协议,而且IPSec对PKI基础设施的依赖、 

可扩展问题和效率问题,使得IPSec在实际IPv6网络环境中极 

少部署。 

由于IP网络根本的数据传输机制没有改变,IPv6网络面临着 

许多与IPv4网络相同的攻击,例如报头处理和分片攻击、地址 

欺骗、地址解释和DHCP攻击、蠕虫和病毒攻击等。同时由于 

协议自身的特性,IPv6还存在许多新的安全威胁,例如IPv6的 

网络侦察、第三层地址欺骗与地址的隐私扩展、ICMPv6相关安 

全攻击、IPv6扩展头部的安全、隧道的安全等。随着IPv6在校 园网中的广泛部署,IPv6网络的安全问题日益突出。 

IPv6网络安全新威胁主要分为两类,如图1所示,一类是 

IPv6协议栈实现上的漏洞产生的威胁,例如苹果Mac OS X操作 

系统的IPv6套接字选项拒绝服务攻击漏洞(CVE一2010—1 132), 

Linux内核IPv6分片标识远程拒绝服务攻击漏洞(CVE一201 1— 

2699),攻击者可以利用这些漏洞发起攻击,针对这类安全威 

胁,用户应及时升级和更新系统;另一类是IPv6协议特有的新威 

胁,例如IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等, 

下面进行介绍几种典型的IPv6网络安全威胁。 

IPv6的网络侦察 网络侦察往往是攻击的第一步,但是巨大的IPv6地址空间使 

得传统的网络地址段ping扫描在IPv6网络中是非常困难的。然而 

这并不能说明在IPv6网络中无法进行扫描攻击,攻击者可以通过 利用安全性较差路由器上的ND缓冲、DNS、易于记忆的地址 

36中国教育网络2o12 2 (如::1,::IPv4等)和采集数据包分析等方式实施攻击,另 ̄blPv6组 

播机制使得某些扫描变得更容易,如所有路由器、所有DHCP服 

务器。典型的IPv6网络扫描技术包括以下几种: 

1.搜集IPv6前缀信息 

攻击者通过观察路由信息,例如捕获路由器定期发送的RA 

报文或者伪造一个Rs报文发送给所有路由器然后观察路由器回复 

的RA报文;或从互联网注册机构分配地址空间的信息可以学习 

到一些IPv6前缀信息。 

2.DNS查询 

通过DNS公告的服务器可以很容易通过DNS查询得到对应的 

IPv6地址。而且如果管理者使用顺序的方式为主机分配地址,那 

么只发布一个服务器地址就可能威胁到其他主机。 

3.应用日志文件分析 

攻击者通过分析日志文件,可以获得IPv6地址,例如WEB 

站点的日志文件,P2P连接的日志文件。 

4.隧道地址分析 攻击者通过分析网络使用的过渡方法(如6to4隧道、 

圈1 I

Pv6网络安全威胁分类 ISATAP隧道、Teredo隧道或是其他技术)确定目标节点的地址。 

例如有些操作系统的6to4实现缺省使用的地址为2002:V4ADDR:: 

V4ADDR,如果攻击者发现目标机的IPv4地址,就有可能分析对 

应的IPv6地址。 

5.虚假路由通告 

攻击机通过向目标网络发送目标地址为节点组播地址(FF02:: 

1)的虚假路由通告报文,攻击者通过分析地址重复检测(DAD) 

的组播报文,可获得目标网络活动主机的IPv6地址。 

IPv6的邻接点欺骗攻击 

IPv6的邻居发现协议(ND)使ND协议集成了以前IPv4中一 些协议的功能,如IPv4地址解释协议(ARP)、ICMP路由发现功 

能和ICMP重定向功能,并增加了一些新的功能,如网络前缀地址 

发现、链路参数发现和地址自动配置等。ND协议主要的安全威胁 

可以分为以下三种类型:拒绝服务攻击(DoS)、地址欺骗攻击和 

路由器欺骗攻击。ND协议安全威胁主要有: 

1.邻居请求和通告欺骗。攻击者可以通过发送包含虚假MAc 

地址的邻居请求(Ns)报文或邻居通告(NA)报文更新被攻击者 

的邻居缓存,导致被攻击者将报文转发到虚假MAC地址。 

2.地址重复检测的拒绝服务攻击。攻击者通过发送虚假的 

NA消息,响应子网内所有的重复地址发现的Ns请求报文,使被 

攻击节点无法获得地址,进而实现重复地址发现的拒绝服务攻击。 

3.邻居不可达发现欺骗。攻击者持续发送虚假的NA邻居通 告报文来响应目标节点的邻居探测NS报文。 

4.路由器通告欺骗。攻击者发送虚假的路由器通告报文响 

应目标节点的路由器请求报文,以欺骗目标节点选择虚假的路由 

器作为缺省路由器。 

5.虚假路由参数欺骗。攻击者通过发送包含恶意参数的虚 

假路由器报文来控制或破坏目标节点的通信。 

6.虚假的重定向消息。攻击者假冒链路上的路由器做源地 

址发送虚假的重定向消息给目标节点。 

IPv6隧道的攻击 在IPv4和IPv6共存的过渡阶段,现提出了多种隧道机制, 

各种各样隧道机制的引人为网络环境增添了新的复杂性,同时也 

带来了一些新的安全隐患。对隧道机制的加入而产生安全的威胁 

主要有: 

1.通过隧道避开安全检测。隧道机制的加入给很多已存在 

的安全措施带来了新的挑战,包括绕过访问控制列表以及基于网 

络的源路由控制等。 

2.隧道机制新特性带来的新威胁。 ̄llTeredo隧道会在NAT设 

备上开放一个端口以方便远程访问隧道客户端,但也为攻击者提 

供了可以利用的入口;来自ISATAP络外部的欺骗攻击,攻击者 

可将大量的协议类型为41的虚假数据包注入IsATAP网络;6to4 ̄ 制本身设计成会接受和试图解封装所有的IPv4包,这会让欺骗攻 

击更容易发生。 

3.隧道地址带来的新威胁。由于很多隧道机制使用一组固定 

范围的地址,例如6to4隧道有自己特殊的地址前缀,这使得猜测 

隧道地址变得相对容易。 

4.针对隧道端点服务器的攻击。隧道端点的服务器是隧道 

机制中的重要安全环节,如果攻击者修改隧道服务器的配置或进 

行DOS攻击,将带来一系列安全问题。 

IPv4/v6双协议栈的安全威胁 

双协议栈是一种重要IPv6过渡方法,许多操作系统缺省支持 双协议栈,这也使得双协议栈主机不但同时面临IPv4和1Pv6两 

个逻辑通道的安全威胁,也面临双协议的混合攻击。在没有部 

署IPv6的IPv4网络中,由于部分操作系统缺省启动了IPv6自动 

地址配置功能,使得IPv4子网内也存在隐蔽的IPv6链路,攻击 

者可以利用此IPv6链路在子网内实施各种攻击。 

IPv6虽然增强了网络的安全特性,但由于实施复杂等原因, 

IPSec在当前的IPv6网络中并未得到广泛使用,IPv6的网络安全 

问题日益突出,本文针对IPv6的新特性,介绍了IPv6的网络侦 

察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6网络安全新 威胁,以便人们在设计、部署和维护IPv6网络中,运用正确的 

网络安全配置和策略,提高IPv6网络的安全。圆 (作者单位为华南理工大学信息网络工程研究中心: 

2012 

2中国教育网络37