ipv6网络广播安全性分析1.pdf

IPv6网络广播安全性分析 来源：刷钻 / 随着互联网的高速普及，网络广播已经成为电台传播的新兴媒介，它 吸收了各种媒体的优点。而IPv6作为接替IPv4的存在，网络广播应 用也只是时间问题。因此，IPv6网络广播安全就成为我们需要考虑 的重要问题。 随着互联网用户的不断增长，原有的IP地址已经出现了匮乏的征兆。 为了解决这个问题，新的IPv6协议产生了，这是能够无限制地增加 IP网址数量、拥有巨大网址空间、数据传输质量提高、安全性增强 等特点的新一代互联网协议。在未来的发展中，随着客户终端的增加， 电台也将会逐步在网络广播系统中使用IPv6协议，以适应新的主流 技术的需要。 以IPv4协议为核心的互联网，因其简单性、灵活性和可扩展性获得 了巨大成功。然而，随着电脑的普及，互联网用户与日俱增，现有 IPv4因其地址空间严重不足、数据传输缺乏质量保证等特点，在一 定程度上限制了音视频等信号的传输，进一步阻碍了网络广播的发 展。因此，互联网技术的迅猛发展，促使全新的以IPv6协议为核心 的互联网升级换代，在网络保密性、完整性方面有了更好的改进。它 以更大的优势在互联网协议中占据更加重要的位置。随着IPv6标准 体系的不断完善，IPv6逐步优化了协议体系结构，为业务发展创造 机会，IPv6作为灵活、可扩展的下一代网络核心协议，已逐渐从实 验阶段走向实际应用。在不久的将来，IPv6终将代替IPv4，适应网 络发展的需求。 IPv6是一种新的协议。普遍认为，IPv6因有IPsec而比IPv4更安全， 前景是广阔的。但在实际部署IPv6网络时，由于技术能力和现有设 施不足，导致IPv6网络广播安全措施不够完善，在发展过程中还存 在诸多安全隐患，还有许多技术问题需要解决。逐步消除IPv6协议 带来的安全隐患，是值得探讨的一个课题。 IPv6协议因其特有的脆弱性，易于受到多方面的攻击： 1、利用DNS攻击 新一代互联网协议IPv6离不开DNS（域名系统）。IPv6网络中的DNS 服务器，是一个容易被黑客作为攻击对象的关键主机。由于IPv6的 地址空间太大，很多IPv6的网络都会使用动态的DNS服务。一旦攻 击者攻占了这台动态DNS服务器，就可以得到大量在线IPv6的主机 地址。因为IPv6的地址是128位，不好记忆。网络管理员可能会使 用好记的IPv6地址，这些地址可能会被编辑成类似字典的东西，攻 击者很有可能根据这些特征猜到IPv6主机。此外，攻击者可以利用 这些信息掌握网络中其它网络通信设备，并利用这些信息实施攻击。 比如，攻击者可以宣告错误的网络前缀、路由信息等，从而使网络不 能正常工作，或将网络流量导向错误的地方。因此，网络管理员在对 主机赋予IPv6地址时，应该尽量对自己的IPv6地址进行随机化，使 用不容易记忆的地址，能在一定程度上减少主机被黑客发现的机会。 对于关键主机的安全需要特别重视，否则，黑客就会着手攻击整个网 络。 2、邻居发现协议NDP(NeighborDiscoveryProtocol) 邻居发现协议ND(NeighborDiscoveryProtocol)是IPv6协议一个重 要的组成部分，它实现了路由器和前缀发现、地址解析、下一跳地址 确定、重定向、邻居不可达检测、重复地址检测等功能。因此，攻击 者往往利用它来发送错误的路由器宣告、错误的重定向消息等，让 IP数据流向不确定的方向，进而可以达到拒绝服务、拦截和修改数 据的目的。 邻居发现协议通过规定跳限制域最大域255来防止链路外的攻击。但 对链路内攻击却无法阻止，因为内攻击者可以利用IPv6无状态地址 自动配置，很方便地接入同一链路进行攻击。如下图所示：如果甲想 要知道乙的MAC地址，就要发送NS(NeighborSolication)给多有的 节点，攻击者接收到此请求，就会发送NA响应甲，即可达到中间人 攻击。 IETF 在 2002 年 成 立 了 安 全 邻 居 发 现 协 议 工 作 组 SEND(SecureNeighborDiscovery)以来，研究和解决邻居发现协议中 的安全问题，并通过了RFC3971安全邻居发现协议SEND。 3、广播放大攻击（Smurf） Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的，这 种攻击方法结合使用了IP欺骗和ICMP回复方法，使大量网络传输充 斥目标系统，引起目标系统拒绝为正常系统服务。广播放大攻击通过 使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping) 数据包