网络攻防学习笔记 Day25

如果 IPv6 报文中出现了类型为 50 和 51 的扩展首部，则表示对该 IP 报文启用了的 AH 协议和 ESP 协议保护。

从 IPv4 向 IPv6 过渡采用逐步演进的方法，IETF 推荐的过渡方案主要有：双协议栈（Dual Stack）、隧道（Tunneling）和网络地址转换等机制。IPv6 的加密和认证需要 PKI 的支持。

因特网就把路由选择协议划分为两大类：内部路由选择协议（Interior Gateway Protocol,IGP）和外部路由选择协议（External Gateway Protocol,EGP）。内部路由选择协议负责一个自治系统内的路由选择，而外部路由选择协议则负责自治系统间的路由选择。

在 IPv4 网络中，路由安全主要依靠路由协议本身提供的安全机制来保障，如认证和加密机制。而在 IPv6 网络中，路由安全则主要依靠 IPsec 协议提供的认证和加密服务来保障。

两个相邻路由器在同一个网络上都有自己的接口。RIP 协议规定，对不相邻的路由器就不交换信息。

RIP 协议定义了两类报文：更新报文和请求报文。更新报文用于路由表的分发，请求报文用于路由器发现网上其他运行 RIP 协议的路由器。RIP 协议报文使用 UDP 协议进行传送。

对于不安全的 RIP 协议，中小型网络通常可采取的防范措施包括：

①将路由器的某些接口配置为被动接口，配置为被动接口后，该接口停止向它所在的网络广播路由更新报文，但是允许它接收来自其他路由器的更新报文；

②配置路由器的访问控制列表，只允许某些源 IP 地址的路由更新报文进入列表。

RIPng 为 IPv6 环境下运行的 RIP 协议，采用和 RIPv2 完全不同的安全机制。RIPng 使用和 RIPv1 相似的报文格式，充分利用 IPv6 中 IPsec 提供的安全机制，包括 AH 认证、ESP 加密以及伪报头校验等，保证了 RIPng 路由协议交换路由信息的安全。