IPv6協議是否太脆弱?
面對網絡的快速更新,我們也迎來了IPv6協議的天下,但是在這個過度敏感的時期,IPv6協議存在的問題也很多,這也是它到目前為止還不能普及的原因。現在我們就來分析一下有關于IPv6協議容易受到的攻擊類型,看看它的抵抗力是如何的。
IPv6協議因其特有的脆弱性,易于受到多方面的攻擊:
1、利用DNS攻擊
新一代互聯網協議IPv6離不開DNS(域名系統)。IPv6網絡中的DNS服務器,是一個容易被黑客作為攻擊對象的關鍵主機。由于IPv6的地址空間太大,很多IPv6的網絡都會使用動態的DNS服務。一旦攻擊者攻占了這臺動態DNS服務器,就可以得到大量在線IPv6的主機地址。因為IPv6的地址是128位,不好記憶。網絡管理員可能會使用好記的IPv6地址,這些地址可能會被編輯成類似字典的東西,攻擊者很有可能根據這些特征猜到IPv6主機。此外,攻擊者可以利用這些信息掌握網絡中其它網絡通信設備,并利用這些信息實施攻擊。比如,攻擊者可以宣告錯誤的網絡前綴、路由信息等,從而使網絡不能正常工作,或將網絡流量導向錯誤的地方。因此,網絡管理員在對主機賦予IPv6地址時,應該盡量對自己的IPv6地址進行隨機化,使用不容易記憶的地址,能在一定程度上減少主機被黑客發現的機會。對于關鍵主機的安全需要特別重視,否則,黑客就會著手攻擊整個網絡。
2、鄰居發現協議NDP(NeighborDiscoveryProtocol)
鄰居發現協議ND(NeighborDiscoveryProtocol)是IPv6協議一個重要的組成部分,它實現了路由器和前綴發現、地址解析、下一跳地址確定、重定向、鄰居不可達檢測、重復地址檢測等功能。因此,攻擊者往往利用它來發送錯誤的路由器宣告、錯誤的重定向消息等,讓IP數據流向不確定的方向,進而可以達到拒絕服務、攔截和修改數據的目的。
鄰居發現協議通過規定跳限制域最大域255來防止鏈路外的攻擊。但對鏈路內攻擊卻無法阻止,因為內攻擊者可以利用IPv6協議無狀態地址自動配置,很方便地接入同一鏈路進行攻擊。如下圖所示:如果甲想要知道乙的MAC地址,就要發送NS(NeighborSolication)給多有的節點,攻擊者接收到此請求,就會發送NA響應甲,即可達到中間人攻擊。
IETF在2002年成立了安全鄰居發現協議工作組SEND(SecureNeighborDiscovery)以來,研究和解決鄰居發現協議中的安全問題,并通過了RFC3971安全鄰居發現協議SEND。
3、廣播放大攻擊(Smurf)
Smurf攻擊是以最初發動這種攻擊的程序名“Smurf"來命名的,這種攻擊方法結合使用了IP欺騙和ICMP回復方法,使大量網絡傳輸充斥目標系統,引起目標系統拒絕為正常系統服務。廣播放大攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包,淹沒受害主機,最終導致該網絡所有主機都對ICMP應答請求做出答復,導致網絡阻塞。還有更嚴重的問題是,Smurf將源地址改為第三方的受害者,最終導致第三方崩潰。攻擊者為了達到目的,通常會偽造大量的echo請求包給目標A和B,這些包的源IPv6協議地址不是攻擊者本身的地址,而是受害者某個全球單播地址,目標收到echo請求后都會將echo響應發往受害者,這樣的反射流將會大量消耗受害者或者受害者所在網絡的帶寬和處理資源。如下圖所示:
RFC2463規定不會對組播或鏈路廣播地址回復。為了防止廣播放大攻擊,就要對IPv6組播地址進行ingress過濾(RFC2267,RFC2827)和升級系統支持RFC2463。
4、數據包頭更改和分片技術
攻擊者可以增加無限的IPv6擴展包頭,來探測和攻擊分片技術。當需要傳輸的IP數據包超過鏈路所能支持的最大傳輸單元(mtu)時,一個原始IP數據包將被拆分成多個分片包;當屬于同一個原始IP數據包的分片包到達目的節點之后,由目的節點完成分片包的重組。由于IPv6比較特殊,中間的網絡設備不參與分片和組裝,IPv6的分片操作只能在源節點進行。所以,為了減少受到攻擊的幾率,我們應該對網絡設備的分片、不需要的擴展包頭、小于128字節的數據包等進行提前過濾。
5、蠕蟲和病毒
蠕蟲是一種通過網絡傳播的惡性病毒,在傳播性、潛伏性、不可預見性、針對性、隱蔽性、破壞性等方面具有病毒的一些共性,同時具有文件寄生(有的只存在于內存中)、對網絡造成拒絕服務以及和黑客技術相結合等一些個性特征。蠕蟲病毒以其快速、多樣化的傳播方式不斷給網絡世界帶來災害。網絡的發展使蠕蟲可以在很短時間內蔓延整個網絡,造成網絡癱瘓,可見其破壞性不是一般病毒所能與之相提并論的,這造就了一個談毒色變的的網絡世界!傳統的蠕蟲和病毒在IPv6中沒有太大變化,但由于IPv6地址空間巨大,難以逐一掃描,蠕蟲和病毒的傳播會比較困難,針對TCP/IP(e.g.Slammertypes)不再有效。但是E-MailWorms將繼續存在,而MessengerandP2PWorms也將來臨,因此,防范病毒不但要從管理上著力,還要從技術措施上著手,安裝蠕蟲和病毒檢測系統是必不可少的。
凡涉及網絡上信息的保密性、可用性、真實性等,都是網絡安全研究的領域。盡管IPv6協議在網絡安全上做了多項改進,但是其引入也帶來新的安全問題。目前,多數網絡攻擊和威脅來自應用層而非IP層,因此,保護網絡信息安全,除了技術改進,還需配合認證體系、加密體系、密鑰分發體系、可信計算體系等多種手段。在完善IPv6網絡的安全問題上,我們還有很長的路要走。
隨著技術的不斷進步,電臺的計算機網絡系統也將逐步引入IPv6進行試驗。在時機成熟的條件下,將會考慮在部分網絡中試運行IPv6。如果在IPv6網絡廣播安全性及性能上有較大提高,就可能大范圍鋪開新的IP協議的使用。這不但是技術上的一次突破,也將在安全性上得到較好的完善,從而保證網絡廣播系統的各種網絡穩定安全運行。
