萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> IPv6最新網絡安全威脅分析

IPv6最新網絡安全威脅分析

  IPv6我們知道是最新的IP地址技術,他提供了更多的IP地址供我們實用,是十六進制算法的,理論上是很安全的,但是隨著實用的增多,也出現了一些弊端,下面就一起來分析一下這些不安全的因素吧!

         與IPv4協議相比,IPv6提供了更大的地址空間、集成的安全性、簡易的配置和更簡潔的包頭結構。在IPv6中IPSec是一個必須組成部分,使得網絡層的安全性得到了增強,但IPv6並未要求強制實施IPSec協議,而且IPSec對PKI基礎設施的依賴、可擴展問題和效率問題,使得IPSec在實際IPv6 網絡環境中極少部署。

  由於IP網絡根本的數據傳輸機制沒有改變,IPv6網絡面臨著許多與IPv4 網絡相同的攻擊,例如報頭處理和分片攻擊、地址欺騙、地址解釋和DHCP 攻擊、蠕蟲和病毒攻擊等。同時由於協議自身的特性,IPv6還存在許多新的安全威脅,例如IPv6的網絡偵察、第三層地址欺騙與地址的隱私擴展、ICMPv6相關安全攻擊、IPv6擴展頭部的安全、隧道的安全等。隨著IPv6在校園網中的廣泛部署,IPv6 網絡的安全問題日益突出。

  IPv6網絡安全新威脅主要分為兩類,如圖1 所示,一類是IPv6協議棧實現上的漏洞產生的威脅,例如蘋果Mac OS X 操作系統的IPv6套接字選項拒絕服務攻擊漏洞(CVE-2010-1132),Linux 內核IPv6分片標識遠程拒絕服務攻擊漏洞(CVE-2011-2699),攻擊者可以利用這些漏洞發起攻擊,針對這類安全威脅, 用戶應及時升級和更新系統;另一類是IPv6協議特有的新威脅,例如IPv6的網絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等,下面進行介紹幾種典型的IPv6 網絡安全威脅。

  IPv6的網絡偵察

  網絡偵察往往是攻擊的第一步,但是巨大的IPv6地址空間使得傳統的網絡地址段ping掃描在IPv6網絡中是非常困難的。然而這並不能說明在IPv6 網絡中無法進行掃描攻擊,攻擊者可以通過利用安全性較差路由器上的ND 緩沖、DNS、易於記憶的地址(如::1, ::IPv4等)和采集數據包分析等方式實施攻擊,另外IPv6組播機制使得某些掃描變得更容易,如所有路由器、所有DHCP服務器。典型的IPv6網絡掃描技術包括以下幾種:

  1. 搜集IPv6前綴信息

  攻擊者通過觀察路由信息,例如捕獲路由器定期發送的RA報文或者偽造一個RS報文發送給所有路由器然後觀察路由器回復的RA 報文;或從互聯網注冊機構分配地址空間的信息可以學習到一些IPv6 前綴信息。

  2. DNS查詢

  通過DNS公告的服務器可以很容易通過DNS查詢得到對應的IPv6地址。而且如果管理者使用順序的方式為主機分配地址,那麼只發布一個服務器地址就可能威脅到其他主機。

copyright © 萬盛學電腦網 all rights reserved