ipv6协议引入的安全新问题浅析 analysis on the new network security issues arising from ipv6 protocol.pdfVIP

IPv6协议引入的安全新问题浅析 研 l曾 睿 究 l中国联合网络通信有限公司北京市分公司北京100038 与 开 发 摘要IPv6协议虽然在某些方面增强了安全性，但同时也引入了新的安全风险，因此网络安全威胁在 IPv6时代依旧存在。通过从IPv6地址、报文格式和相关协议等方面分析了IPv6可能带来的安全新问题， 总结部分文献提出的防护措施，针对性的推荐了一些安全建议。 试验发现获得的一般是链路本地地址，通过替换网络地 引言 址前缀即可得到所有主机的全球单播地址，即将链路本 不少文献提至1]IPv6协议住安全性方面有所增强，地地址前缀(FE80：：／64)替换成该子网的全球单播地址 但事物都具有两面性，尤其是新生事物，难免存在负面 前缀(与攻击者控制终端IP地址的全球单播地址前缀相 问题：IPv6定义了新的IP报文格式，其中包括多种扩展同)，即可得到子网内每个主机的全球单播地址，便可 报头，是否会面临新的安全风险?IPv6定义了多种类型实施远程攻击。如果仅在本子网内发起攻击，可直接将 的IPv6地址，使用多播地址替代广播地址，由于部分多被攻击主机的链路本地地址作为目的地址。Ping方式嗅 播地址为公开地址，是否会引发DoS／DDoS攻击?IPv6探试验的结果如图1所示。 引入了新的ICMPv6协议，邻居发现协议、DHCPv6协 议，是否为黑客提供了更多伪造数据包的机会? 1 IPv6地址引入的风险 在IPv6环境下，每个终端设备均可拥有一个全球单 播地址，在全球范围内实现真正的端到端通信，同时也 圉1 ping链路本地多播地址后的抓包结果戤图 让终端设备和用户更容易暴露于互联网，大大增加了潜 在安全风险。虽然IPv6kP,IPv4的地址空间要多得多，使 得网络攻击的“前奏”——IP地址扫描变得非常费时 机的IPv6链路本地单播地址，当攻击者主机发出Echo 费力，而近乎不r曰r能。但这仅限于远程攻击而言，即攻 request报文后，本子网范围内的所有主机都回复了 Echo 击目标与攻击者控制的终端不在同一本地子网中。对于 reply报文。除此之外，还可以利用文献[1冲的 同一子网环境，攻击者能通过多种网络嗅探方法，非常 其他多播地址达到嗅探的目的。如果发送的不是Ping的 容易地找到本子网中所有存活的主机。 ICMP报文，而是攻击报文的话，则所有的组播组内的 对于本地主机扫描可以通过ping组播地址来实现， 主机或者路由器都会收到攻击报文，从而受到攻击；还 比如先ping一下FF02：：l(链路本地所有IPv6节点多播可将被攻击主机的地址作为攻击包源地址，将FF02：：l 组地址)，然后抓包查看返回的ICMPv6的echoreply报作为目的地址，实现众多主机同时回复数据包至被攻击 文的源地址，即可知道所有本地IPv6节点的地址。通过主机，形成DDoS攻击。 12I信息通信技术 万方数据 因此在IPv6环境下必须对各类|Pv6地址有效管理，由报头的数据包，将DMZ区服务器作为中转，以绕过边 特别是在IPv6组播地址和组播组管理上，应制定相应的 界安全设备(如防火墙)直接对内部主机发起攻击。其原 安全措施。比如可通过DHCPv6分配主机地址，另外采理说明如图2所示Ⅲ。 用MLD协议(组播侦听者发现协议，是IPv6的组播组管 理协议，属于ICMPv6的子协议，协议机制与IGMP基 本相同)的第二版乜1(安全性比第一版口1更强)。 2IPv6报文格式引入的风险 IPv6报文的报头可能包括两部分，一部分是基本