編者按：IPv6自動(dòng)配置地址越來越關(guān)注于IPv6尋址方式的安全性和保密性。IPv6自動(dòng)配置地址有3個(gè)安全含義：它們縮小了攻擊者發(fā)起地址掃描攻擊的搜索范圍，它們可以關(guān)聯(lián)一個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)活動(dòng)，以及它們可以更輕松地跟蹤主機(jī)。安全工程師和咨詢師Fernando Gont介紹了一些抵制這些問題的方法，并且認(rèn)為需要投入更多工作。

IPv6引入了兩個(gè)不同的地址配置機(jī)制：無狀態(tài)地址自動(dòng)配置(SLAAC)和有狀態(tài)第6版動(dòng)態(tài)主機(jī)配置協(xié)議(DHCPv6)。在DHCPv6中，地址由一個(gè)DHCPv6服務(wù)器集中管理;因此，DHCPv6服務(wù)器可以應(yīng)用許多地址分配策略(如連續(xù)地址和隨機(jī)地址)。而SLAAC是一個(gè)集中分配地址的方法，每一個(gè)節(jié)點(diǎn)都可以基于本地策略自動(dòng)配置IPv6尋址方式。

在SLAAC中，應(yīng)用的具體策略取決于底層鏈路層技術(shù)。在以太網(wǎng)上，IETF標(biāo)準(zhǔn)規(guī)定IPv6地址由自動(dòng)配置的前綴與嵌入底層鏈路地址的接口ID(IID)構(gòu)成。具體來說，IID的步驟生成如下：

1.獲取底層網(wǎng)絡(luò)接口的以太網(wǎng)地址。

2. 反轉(zhuǎn)以太網(wǎng)地址的IEEE組織唯一標(biāo)識(OUI)的U/L位。

3. 在以太網(wǎng)地址的3個(gè)高位和3個(gè)低位之間插入值0xfffe。

然后，得到的64位將用于生成IPv6地址。

在創(chuàng)建IID之后，它們共享3個(gè)屬性。第一，IID(至少在理論上)必須是全局唯一的，因?yàn)樗鼈兊膩碓匆蕴W(wǎng)地址通常是唯一的。第二，它們遵循一定的模式，這些模式也源于底層以太網(wǎng)地址。例如，相同供應(yīng)商制造的設(shè)備有相同的IID高5位：它們與IEEE OUI對應(yīng)，另外2個(gè)字節(jié)保存0xfffe。第三，它們在一個(gè)或多個(gè)網(wǎng)絡(luò)中保持不變，除非手動(dòng)修改了底層以太網(wǎng)地址，或者更換了底層網(wǎng)絡(luò)接口卡(NIC)。

傳統(tǒng)SLAAC地址帶來的問題

從底層以太網(wǎng)地址生成IID是一種生成全局唯一ID的好方法;這種方法也可以避免在網(wǎng)絡(luò)中出現(xiàn)重復(fù)的IPv6地址。然而，安全社區(qū)很快發(fā)現(xiàn)，這種方法會(huì)對安全性和保密性產(chǎn)生負(fù)面影響。除此之外，這種方法也縮小了攻擊執(zhí)行IPv6地址掃描攻擊的搜索范圍。它還允許攻擊者關(guān)聯(lián)特定網(wǎng)絡(luò)內(nèi)和多個(gè)網(wǎng)絡(luò)間的節(jié)點(diǎn)活動(dòng)。

本文將介紹傳統(tǒng)SLAAC地址對保密性的影響，特別是同一個(gè)網(wǎng)絡(luò)內(nèi)和多個(gè)網(wǎng)絡(luò)之間的主機(jī)活動(dòng)關(guān)聯(lián)(主機(jī)跟蹤)。

正如之前所提到的，在IPv6地址的IID中嵌入底層網(wǎng)卡MAC地址，將使該地址保持不變(除非更換NIC)。結(jié)果，它將成為攻擊者跟蹤網(wǎng)絡(luò)中節(jié)點(diǎn)活動(dòng)的手段。例如，假設(shè)有一個(gè)節(jié)點(diǎn)連接前綴為2001:db8:1::/64的網(wǎng)絡(luò)，然后自動(dòng)獲得地址2001:db8:1::a00:27ff:fe89:7878。如果節(jié)點(diǎn)從網(wǎng)絡(luò)斷開，然后再重新連接網(wǎng)絡(luò)，它就會(huì)自動(dòng)獲得相同的地址(同樣，假定底層NIC未更換)。因此，攻擊者可能將相同節(jié)點(diǎn)與IPv6地址2001:db8:1::a00:27ff:fe89:7878相關(guān)的所有網(wǎng)絡(luò)活動(dòng)連接在一起。這通常就稱為一個(gè)網(wǎng)絡(luò)中節(jié)點(diǎn)活動(dòng)的關(guān)聯(lián)。

利用“超級Cookie”實(shí)現(xiàn)主機(jī)跟蹤

SLAAC IID不僅會(huì)在一個(gè)網(wǎng)絡(luò)中保持不變，也會(huì)在多個(gè)網(wǎng)絡(luò)中保持不變。這是因?yàn)椋鼈冎灰蕾囉诘讓覰IC的MAC地址(這個(gè)地址是不會(huì)變化的)。因?yàn)檫@些接口標(biāo)識通常也是全局唯一的(因?yàn)榈讓覯AC地址通常是全局唯一的)，因此就可以輕松關(guān)聯(lián)節(jié)點(diǎn)在各個(gè)網(wǎng)絡(luò)中的活動(dòng)。例如，假設(shè)有一個(gè)節(jié)點(diǎn)連接一個(gè)前綴為2001:db8:1::/64的網(wǎng)絡(luò)，然后自動(dòng)獲取地址2001:db8:1::a00:27ff:fe89:7878。這個(gè)節(jié)點(diǎn)先從網(wǎng)絡(luò)斷開，然后再連接到一個(gè)前綴為2001:db8:2::/64的網(wǎng)絡(luò)，這時(shí)再自動(dòng)獲取到地址2001:db8:2::a00:27ff:fe89:7878。全局唯一且保持不變的接口ID a00:27ff:fe89:7878顯然成為節(jié)點(diǎn)的標(biāo)識，從而可以將節(jié)點(diǎn)在多個(gè)網(wǎng)絡(luò)的活動(dòng)關(guān)聯(lián)在一起。這通常稱為主機(jī)跟蹤。