IPv6协议引入安全新问题浅析.pdfVIP

IPv6协议引入的安全新问题浅析 发 开 与 究 研 曾 睿 中国联合网络通信有限公司北京市分公司 北京 100038 摘　要　IPv6协议虽然在某些方面增强了安全性，但同时也引入了新的安全风险，因此网络安全威胁在 IPv6时代依旧存在。通过从IPv6地址、报文格式和相关协议等方面分析了IPv6可能带来的安全新问题， 总结部分文献提出的防护措施，针对性的推荐了一些安全建议。 关键词 IPv6；网络安全；ICMPv6；NDP；PMTU；DHCPv6 试验发现获得的一般是链路本地地址，通过替换网络地 引言 址前缀即可得到所有主机的全球单播地址，即将链路本 不少文献提到IPv6协议在安全性方面有所增强， 地地址前缀(FE80::/64)替换成该子网的全球单播地址 但事物都具有两面性，尤其是新生事物，难免存在负面 前缀(与攻击者控制终端IP地址的全球单播地址前缀相 问题：IPv6定义了新的IP报文格式，其中包括多种扩展 同)，即可得到子网内每个主机的全球单播地址，便可 报头，是否会面临新的安全风险？IPv6定义了多种类型 实施远程攻击。如果仅在本子网内发起攻击，可直接将 的IPv6地址，使用多播地址替代广播地址，由于部分多 被攻击主机的链路本地地址作为目的地址。Ping方式嗅 播地址为公开地址，是否会引发DoS/DDoS攻击？IPv6 探试验的结果如图1所示。 引入了新的ICMPv6协议、邻居发现协议、DHCPv6协 议，是否为黑客提供了更多伪造数据包的机会？ 1 IPv6地址引入的风险 在IPv6环境下，每个终端设备均可拥有一个全球单 播地址，在全球范围内实现真正的端到端通信，同时也 让终端设备和用户更容易暴露于互联网，大大增加了潜 图1 ping链路本地多播地址后的抓包结果截图 在安全风险。虽然IPv6比IPv4的地址空间要多得多，使 图1中fe80::20d:60ff:fe3b:f7e2为攻击者控制主 得网络攻击的“前奏”—— IP地址扫描变得非常费时 机的IPv6链路本地单播地址，当攻击者主机发出Echo 费力，而近乎不可能。但这仅限于远程攻击而言，即攻 request报文后，本子网范围内的所有主机都回复了 击目标与攻击者控制的终端不在同一本地子网中。对于 Echo reply报文。除此之外，还可以利用文献[1]中的 同一子网环境，攻击者能通过多种网络嗅探方法，非常 其他多播地址达到嗅探的目的。如果发送的不是Ping的 容易地找到本子网中所有存活的主机。 ICMP报文，而是攻击报文的话，则所有的组播组内的 对于本地主机扫描可以通过ping组播地址来实现， 主机或者路由器都会收到攻击报文，从而受到攻击；还 比如先ping一下FF02::1(链路本地所有IPv6节点多播 可将被攻击主机的地址作为攻击包源地址、将FF02::1 组地址)，然后抓包查看返回的ICMPv6的echo reply报 作为目的地址，实现众多主机同时回复数据包至被攻击 文的源地址，即可知道所有本地IPv6节点的地址。通过 主机，形成DDoS攻击。 12 信息通信技术 因此在IPv6环境下必须对各类IPv6地址有效管理， 由报头的数据包,将DMZ区服务器作为中转，以绕过边 特别是