IPv6 安全性分析.docVIP

1. IPv6基础介绍 3 1.1 头结构 4 1.2 IPv6头结构特点及与IPv4头结构比较 6 1.2.1 扩展地址 7 1.2.2 简化的包头 7 1.2.3 对扩展和选项支持的改进 8 1.2.4 流 10 1.2.5 身份验证和保密 11 1.2.6 分段 12 1.3 ICMPv6 15 2 IPv6在安全上的改进 18 2.1 巨大的地址空间 18 2.2 地址分配及寻址模式 19 2.3 内置IPSEC协议和端对端的安全实现 20 2.4 分片机制的改变 21 2.5 广播地址的取消 21 2.6 IPv6对NAT的限制 22 3. IPv6面临的独特威胁 23 3.1 真实MAC地址信息的泄露 24 3.2 过渡技术导致的弱点 24 3.3 DoS/DDoS威胁 26 3.4 ICMPv6协议脆弱性 26 3.4.1 消息伪造 26 3.4.2恶意篡改 27 3.4.3 DoS攻击 27 3.4.4 对上层协议的攻击 27 3.5邻居发现协议脆弱性（NDP） 27 3.6重复地址检测协议脆弱性分析 29 3.7 路由发现协议脆弱性分析 29 3.8重定向协议分析 30 3.9 ICMPv6 echo request/reply报文的安全脆弱性分析 31 3.10隐秘通道 32 3.11 其他威胁 32 4 IPv6对其余各层协议的影响 33 4.1 应用层 34 4.2 传输层 34 4.3 链路层 35 5 对现有安全技术和设备的影响 36 5.1 防火墙 36 5.2 漏洞扫描 38 5.3 入侵检测技术 39 图表目录 图表 1 IPv6头结构 5 图表 2 IPv4与v6头结构对比 7 图表 3 ICMPv6格式 16 1. IPv6基础介绍 随着Internet的快速发展人们越来越意识到IPv4协议在设计上存在着巨大的缺陷，这些缺陷已经严重制约了Internet的使用和发展。尤其在地址资源、管理和安全等方面体现出的问题，已经无法通过简单的对协议的修订来予以解决。尤其是在地址资源方面，IPv4所能提供的地址空间早已濒临耗尽。虽然一些相关技术如NAT、CIDR（Classless Inter-Domain Routing）的提出部分缓解并延缓了这一过程，但是无法从根本上解决这一问题。 全新版本IP协议IPv6（也叫IP-NG：下一代IP）继承了IPv4的很多特点，同时针对其内在的问题对协议进行了大量修改，并提供了诸多符合Internet发展趋势的服务功能。目前，IPv6主要部分已经开发完成并得到了相关厂商和用户的广泛支持，部分厂商已于多年前就能提供可支持IPv6协议的设备，一些用户也进行了成功的部署和应用，IPv6已经不再只是实验室中的技术。但是IPv6仍然存在很多问题没有解决，协议还在持续开发改进之中。 IPv6从设计之始就把提供足够的地址资源作为主要目标之一。相对于仅有32位地址空间的IPv4，IPv6的地址空间扩展到了128位，保证了在可预见的未来地址资源不会再次成为制约Internet发展的瓶颈。 从IPv4的发展进程中积累的经验可知，巨大的地址空间同时也意味着路由表的急剧增长，这样就需要对网络基础设施建设增加投入，也对有效管理提出了更高要求。IPv6为了避免这些问题，提出了多种新技术来提高地址分配的效率和路由性能，包括新的寻址模型，地址分配规则、移动网络技术和自动配置技术等[23]。限于篇幅，本文不在这里详细介绍这些技术，有兴趣的读者可以查找相关资料。 1.1 头结构 图表 1 IPv6头结构 在I P v 4中，所有包头以3 2位为单位，即基本的长度单位是4个字节。在I P v 6中，包头以6 4位为单位，且包头的总长度是4 0字节。I P v 6协议为对其包头定义了以下字段（如图表1）： ? 版本。长度为4位，对于I P v 6，该字段必须为6。 ? 类别。长度为8位，指明为该包提供了某种“区分服务”。RFC 1883中最初定义该字段只有4位，并命名为“优先级字段”，后来该字段的名字改为“类别”，在最新的I P v 6I n t e r n e t草案中，称之为“业务流类别”。该字段的定义独立于I P v 6，目前尚未在任何R F C中定义。该字段的默认值是全0。 ? 流标签。长度为2 0位，用于标识属于同一业务流的包。一个节点可以同时作为多个业务流的发送源。流标签和源节点地址唯一标识了一个业务流。在RFC 1883中这个字段最初被设计为2 4位，但当类别字段的长度增加到8位后，流标签字段被迫减小长度来作补偿。 ? 净荷长度。长度为1 6位，其中包括包净荷的字节长度，即I P v 6头后的包中包含的字节数。这意味着在计算净荷长度时包含了I P v 6扩展头的长度。 ? 下一个头。这个