校园IPv6网络安全新威胁分析
- 格式:pdf
- 大小:169.81 KB
- 文档页数:2
校园I Pv6网络安全新威胁分析
随着IPv6在校园网中的广泛部署,IPv6网络的安全问题日益突出,本文针对IPv6的新特性,
对IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6网络安全新威胁进行了详细
分析,以便在设计、部署和维护IPv6网络中可以合理地运用安全策略,提高网络的安全性。
■文/胡金龙陆以勤
与IPv4协议相比,IPv6提供了更大的地址空间、集成的安
全性、简易的配置和更简洁的包头结构。在IPv6中IPSec是一
个必须组成部分,使得网络层的安全性得到了增强,但IPv6并 未要求强制实施IPSec协议,而且IPSec对PKI基础设施的依赖、
可扩展问题和效率问题,使得IPSec在实际IPv6网络环境中极
少部署。
由于IP网络根本的数据传输机制没有改变,IPv6网络面临着
许多与IPv4网络相同的攻击,例如报头处理和分片攻击、地址
欺骗、地址解释和DHCP攻击、蠕虫和病毒攻击等。同时由于
协议自身的特性,IPv6还存在许多新的安全威胁,例如IPv6的
网络侦察、第三层地址欺骗与地址的隐私扩展、ICMPv6相关安
全攻击、IPv6扩展头部的安全、隧道的安全等。随着IPv6在校 园网中的广泛部署,IPv6网络的安全问题日益突出。
IPv6网络安全新威胁主要分为两类,如图1所示,一类是
IPv6协议栈实现上的漏洞产生的威胁,例如苹果Mac OS X操作
系统的IPv6套接字选项拒绝服务攻击漏洞(CVE一2010—1 132),
Linux内核IPv6分片标识远程拒绝服务攻击漏洞(CVE一201 1—
2699),攻击者可以利用这些漏洞发起攻击,针对这类安全威
胁,用户应及时升级和更新系统;另一类是IPv6协议特有的新威
胁,例如IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等,
下面进行介绍几种典型的IPv6网络安全威胁。
IPv6的网络侦察 网络侦察往往是攻击的第一步,但是巨大的IPv6地址空间使
得传统的网络地址段ping扫描在IPv6网络中是非常困难的。然而
这并不能说明在IPv6网络中无法进行扫描攻击,攻击者可以通过 利用安全性较差路由器上的ND缓冲、DNS、易于记忆的地址
36中国教育网络2o12 2 (如::1,::IPv4等)和采集数据包分析等方式实施攻击,另 ̄blPv6组
播机制使得某些扫描变得更容易,如所有路由器、所有DHCP服
务器。典型的IPv6网络扫描技术包括以下几种:
1.搜集IPv6前缀信息
攻击者通过观察路由信息,例如捕获路由器定期发送的RA
报文或者伪造一个Rs报文发送给所有路由器然后观察路由器回复
的RA报文;或从互联网注册机构分配地址空间的信息可以学习
到一些IPv6前缀信息。
2.DNS查询
通过DNS公告的服务器可以很容易通过DNS查询得到对应的
IPv6地址。而且如果管理者使用顺序的方式为主机分配地址,那
么只发布一个服务器地址就可能威胁到其他主机。
3.应用日志文件分析
攻击者通过分析日志文件,可以获得IPv6地址,例如WEB
站点的日志文件,P2P连接的日志文件。
4.隧道地址分析 攻击者通过分析网络使用的过渡方法(如6to4隧道、
圈1 I
Pv6网络安全威胁分类 ISATAP隧道、Teredo隧道或是其他技术)确定目标节点的地址。
例如有些操作系统的6to4实现缺省使用的地址为2002:V4ADDR::
V4ADDR,如果攻击者发现目标机的IPv4地址,就有可能分析对
应的IPv6地址。
5.虚假路由通告
攻击机通过向目标网络发送目标地址为节点组播地址(FF02::
1)的虚假路由通告报文,攻击者通过分析地址重复检测(DAD)
的组播报文,可获得目标网络活动主机的IPv6地址。
IPv6的邻接点欺骗攻击
IPv6的邻居发现协议(ND)使ND协议集成了以前IPv4中一 些协议的功能,如IPv4地址解释协议(ARP)、ICMP路由发现功
能和ICMP重定向功能,并增加了一些新的功能,如网络前缀地址
发现、链路参数发现和地址自动配置等。ND协议主要的安全威胁
可以分为以下三种类型:拒绝服务攻击(DoS)、地址欺骗攻击和
路由器欺骗攻击。ND协议安全威胁主要有:
1.邻居请求和通告欺骗。攻击者可以通过发送包含虚假MAc
地址的邻居请求(Ns)报文或邻居通告(NA)报文更新被攻击者
的邻居缓存,导致被攻击者将报文转发到虚假MAC地址。
2.地址重复检测的拒绝服务攻击。攻击者通过发送虚假的
NA消息,响应子网内所有的重复地址发现的Ns请求报文,使被
攻击节点无法获得地址,进而实现重复地址发现的拒绝服务攻击。
3.邻居不可达发现欺骗。攻击者持续发送虚假的NA邻居通 告报文来响应目标节点的邻居探测NS报文。
4.路由器通告欺骗。攻击者发送虚假的路由器通告报文响
应目标节点的路由器请求报文,以欺骗目标节点选择虚假的路由
器作为缺省路由器。
5.虚假路由参数欺骗。攻击者通过发送包含恶意参数的虚
假路由器报文来控制或破坏目标节点的通信。
6.虚假的重定向消息。攻击者假冒链路上的路由器做源地
址发送虚假的重定向消息给目标节点。
IPv6隧道的攻击 在IPv4和IPv6共存的过渡阶段,现提出了多种隧道机制,
各种各样隧道机制的引人为网络环境增添了新的复杂性,同时也
带来了一些新的安全隐患。对隧道机制的加入而产生安全的威胁
主要有:
1.通过隧道避开安全检测。隧道机制的加入给很多已存在
的安全措施带来了新的挑战,包括绕过访问控制列表以及基于网
络的源路由控制等。
2.隧道机制新特性带来的新威胁。 ̄llTeredo隧道会在NAT设
备上开放一个端口以方便远程访问隧道客户端,但也为攻击者提
供了可以利用的入口;来自ISATAP络外部的欺骗攻击,攻击者
可将大量的协议类型为41的虚假数据包注入IsATAP网络;6to4 ̄ 制本身设计成会接受和试图解封装所有的IPv4包,这会让欺骗攻
击更容易发生。
3.隧道地址带来的新威胁。由于很多隧道机制使用一组固定
范围的地址,例如6to4隧道有自己特殊的地址前缀,这使得猜测
隧道地址变得相对容易。
4.针对隧道端点服务器的攻击。隧道端点的服务器是隧道
机制中的重要安全环节,如果攻击者修改隧道服务器的配置或进
行DOS攻击,将带来一系列安全问题。
IPv4/v6双协议栈的安全威胁
双协议栈是一种重要IPv6过渡方法,许多操作系统缺省支持 双协议栈,这也使得双协议栈主机不但同时面临IPv4和1Pv6两
个逻辑通道的安全威胁,也面临双协议的混合攻击。在没有部
署IPv6的IPv4网络中,由于部分操作系统缺省启动了IPv6自动
地址配置功能,使得IPv4子网内也存在隐蔽的IPv6链路,攻击
者可以利用此IPv6链路在子网内实施各种攻击。
IPv6虽然增强了网络的安全特性,但由于实施复杂等原因,
IPSec在当前的IPv6网络中并未得到广泛使用,IPv6的网络安全
问题日益突出,本文针对IPv6的新特性,介绍了IPv6的网络侦
察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6网络安全新 威胁,以便人们在设计、部署和维护IPv6网络中,运用正确的
网络安全配置和策略,提高IPv6网络的安全。圆 (作者单位为华南理工大学信息网络工程研究中心:
2012
2中国教育网络37