IPv6特有安全脆弱性研究.docVIP

IPv6特有安全脆弱性研究 　　摘要：本文对下一代互联网络协议IPv6 特有的安全脆弱性进行了研究，使广大读者对IPv6协议安全性有更为清晰的认识。 　　关键词：Internet、IPv4、IPv6 　　 　　1.引言 　　 　　现在的互联网是在Ipv4协议的基础上运行。随着Internet在过去几年的快速增长，IPv4主要存在两个方面的问题：Ipv4的地址严重匾乏和路由表急剧膨胀。为了解决IPv4存在的这两个问题，提出了IPv6协议[6]。与IPv4比较，IPv6彻底解决了地址空间缺乏和路由表急剧膨胀等问题，而且还为IP协议注入新的内容，使之提供安全保障，支持主机移动等功能。普遍认为IPv6因有IPSec而比IPv4更安全。但在实际部署IPv6网络时，由于技术能力不够和现有安全基础设施不足等原因，使得IPv6网络往往没有采用任何安全措施。而且，其网络传输数据包的基本机制也与IPv4相同，所以现有的IPv6网络并不比IPv4网络安全。其安全问题值得深入研究。本文以下就IPv6特有的安全脆弱性进行了研究。 　　 　　2.IPv6特有的安全脆弱性 　　 　　2.1扫描和探测 由于IPv6网络子网大小是64bits或者更大，这使得IPv4网络中传统的扫描和探测技术在IPv6网络中不再适用。但是IPv6网络中由于地址太长不便记忆，管理人员往往会给一些服务器配置比较特殊的IPv6地址，或者使用动态DNS，或者将双栈机器IPv4地址的最后一个字节简单映射成IPv6地址的最后一个字节等。这些都给扫描和探测带来了方便。 　　一个IPv6节点中有很多关键的数据结构(如邻居缓存、目的缓存、前缀列表、默认路由器列表等[1]，攻击者利用这些信息可以了解到网络中存在其他网络设备，也可以利用这些信息实施攻击。比如攻击者可以宣告错误的网络前缀、路由器信息等，从而使得网络不能正常工作，或将网络流量导向错误的地方。 　　IPv6中还引入了许多熟知的组播和任播(Anycast)[3]地址，这些地址往往会配置给IPv6网络中的一些关键设备，它们给攻击者提供了明确的攻击目标。比如子网路由器任播地址代表某链路上一组路由器中的某一台；移动IPv6[5]中的家乡代理任播地址代表家乡网络中能够充当家乡代理的某一台路由器。熟知的组播地址有：所有节点地址ff01：：1和ff02：：1，所有路由器地址ff01：：2，ff02：：2和ff05：：2，请求节点地址FF02：：1：FFXX：XXXX等。 　　2.2无状态地址自动配置 IPv6相比IPv4的一个重要优点是IPv6支持无状态地址自动配置(Stateless Address Autoconfiguration)[2]。这虽然给合法网络用户使用lPv6网络带来了方便，但也引入了安全隐患。非授权的用户可以更容易地接入和使用网络，特别是在无线环境中，如果没有数据链路层的认证和访问控制，一个配有无线网卡的非法用户甚至不受物理网线连接的限制就可以轻松地接入和访问IPv6网络。无状态地址自动配置中的冲突地址检测机制也给拒绝服务攻击带来可能：恶意攻击者只要回复对临时地址进行的邻居请求，请求者就会认为地址冲突而放弃使用该临时地址。 　　2.3ICMPv6 和PMTU ICMPv6[3]是IPv6的重要组成部分，它包括了IPv4中ICMP和ARP的功能。所以要使IPv6正常工作就不能像在IPv4中那样为了安全考虑而完全禁止ICMP。不幸的是，ICMPv6会引入和遭受多种攻击。例如ICMPv6可被利用来产生拒绝服务攻击，只需不停产生错误的IP包即可。其消息的消息头和内容若没有IPSec的保护很容易被窜改。利用它可以冒充其他节点产生恶意消息(目的不可达、超时、参数错误等)来影响正常通信。比如：攻击者冒充源节点到目的节点路径中的某路由器发送伪造的目的不可达ICMPv6消息给源节点，源节点收到这样的消息后将停止向目的节点发送IP包。 　　利用ICMPv6还可以产生反射攻击。比如：攻击者伪造大量的Echo请求包发给目标靶机，这些包的源IPv6地址不是攻击者本身的地址而是受害者的某个全球单播地址；目标靶机收到Echo请求后都会将Echo响应发往受害者，这样的反射流将会消耗受害者或受害者所在网络的带宽和处理资源，如果反射流足够大将会造成拒绝服务攻击。 　　IPv6中通过路径MTU发现163机制使得IP包的分段和重组只在源节点和目的节点进行，IPv6中的中间节点不再像IPv4中那样进行分段，这提高了中间节点的转发效率。但在进行PMTU发现时，若不对收到的包太大消息进行合法性检查，将可能引入拒绝服务攻击或使得网络性能下降。如果伪造的包太大消息中指示的PMTU太小，将导致网络性能严重下降；相反，如果伪造的包太大消息中指示的PMT