七种常见的 IPv6 网络攻击
随着互联网技术得到广泛应用,无论是对于哪一种网络协议,IPv4 也好,IPv6 也好,它都会存在很多的网络安全问题。大规模的网络攻击比较隐秘,而我们很难发现。对于一些具体的攻击,单纯从技术角度来说能够阻止黑客进行攻击。但事实上,当对相关边界安全进行部署的时候,可能会使得系统的运营或者管理引发风险,那么在这个基础上构建的这些应用系统,实际上可能还会存在更多的问题。关于 IPv6 的常见的攻击如下:
1、RH0 攻击
互联网采用基于存储转发的路由协议,对于 IPv6 情况下,网络上所有的节点都要能够对数据包进行存储和转发。转发是基于路由头部的 IPv6 协议信息,IPv6 的首部主要分成两种类型,一种是类型 0,一种是类型 2。类型 0 类似于 IPv4 的源路由。类型 2 主要适用于移动互联网的环境。流量到达目的地之前,转发的协议信息有可能会被用作中间人攻击的一种方式,把数据包发到另外一个恶意地点,或者对数据包进行篡改或放置病毒木马等。
2、分片攻击
为了实现互联网的高性能以及高可靠的数据传输,所有比较大的数据包都会被进行分片再进行传输,就是把大的数据包切成小的数据包。那么每一个数据包可能都包含本层次协议的内容,但是如果包含在本分片里面的这种信息得不到保护,并且不能对所有大的数据包进行完整检测,分片攻击就有可能通过精心构造分别隐含在每一个分片中。而当这些被恶意分散到每一个分片中的攻击到达主机终端的时候,会被重新组装起来,组装以后,这些被分片的恶意代码就会被重新组装成一个完整的代码,从而导致攻击行为发生,造成严重后果。对于 DDoS 这种场景,攻击者还可以采用迫使主机终端等待分片的方式来构造 DDoS。
3、泛洪攻击
泛洪攻击作为正常通信的一种方式,在 IP 地址解析的时候,会发挥比较基础的作用。例如在把 IP 地址解析为 MAC 地址的时候,就会用到 IPv6 的广播方式。这种方式在 IPv4 网络环境下就已经被广泛使用。在广播的这种情况下,通常是使用多播地址等方式对网络进行划分,防止出现广播泛滥的问题。在 IPv6 情况下,虽然不使用广播作为基本的通信方式,但是 IPv6 有比较强的多播特性,而这种多播的地址就有可能被用到泛洪攻击上面。这种攻击对局域网的影响比较大,涉及两种:一种是影响本地局域网;另一种是影响远程的局域网。
这两种泛洪攻击分别叫作 Smurf6 和 Rsmurf6,Smurf6 是正向的方式,主要影响局域网上的主机。Rsmurf6 主要影响远程的主机。对于局域网的主机而言,如果向多播地址发送 ICMPv6 的请求响应包,那么会造成源节点不停响应请求,而这些节点就会受到 DDoS。对 Rsmurf6 而言,由于发送的是针对多播地址的应答包,因此目的局域网成为受害网络。
4、无状态地址自动配置
在 IPv6 环境下,为了方便主机配置,IPv6 设计了一种无状态地址自动配置的机制。这种机制会传输 ICMPv6 的协议信息,主要包括以下内容。
路由器的链路地址。
IPv6 地址的前 64b,即路由器的链路地址。
用户对路由器可达性的监测数据,即关联寿命。
MTU(最大传输单元)。
额外表示。
虽然无状态地址自动配置方便管理主机配置,但是这种机制由于没有采用认证,攻击者就可以用这种方式进行欺骗。这个消息如果被攻击者用作路由器伪装攻击者,就可以把路由信息以这种方式发布出去,其他的节点会通过路由转发,把这个数据包发到攻击者的主机。在这种情况下,如果把地址解析到对应的虚假 MAC 地址上,那么所有解析到这些地址的数据包都会丢失。
5、邻居发现问题
IPv6 的 NDP 协议类似于 IPv4 的 ARP 协议,主要用作地址解析,那么在 IPv4 的情况下,这种邻居发现的机制有可能会被利用,例如中间人攻击对数据进行篡改,包括植入病毒木马等,在 IPv6 的情况下,NDP 协议的这种缺陷和 ARP 的攻击是非常类似的。
6、重复地址检测
IPv6 的网络环境下,每一个主机都要对本机地址是否与其他节点地址冲突进行检测,这个在 IPv6 里面叫作重复地址检测(Duplicate Address Detection,DAD)。其中一种方式是当地址发生变化的时候,可以向网络进行通知。还有一种方式,是在自己的地址发生变化的时候还要启动协议,再对地址进行解析,如果出现地址冲突,就收不到这种应答。如果存在,它就不会再使用这个地址进行通信,IP 的攻击类似,由于 NDP 没有经过认证,很容易导致 DDoS。
7、重定向问题
为了优化网络的传输性能以及数据包的传输路径,在 IPv6 的环境下,经常会用到地址的重定向,主要是为了向一台主机说明这里有一条更好的路由可以选择。假设在信息传输的时候,主机使用路由器,但是并没有发现路由器 R1 到对应位置最好的路由。这时,当发送数据时,并且在接收到数据的过程中,会使用默认的路由器,这里并不是路由器 R1。在这个过程中,如果发现了 R1(假设 R1 是更好的路由),我们会将带有最佳路由信息以及发现的情况都重定向发送到主机。这时,主机可以安装更准确的路由,并且在发送数据包到 R1 的过程中,寻找最短路由。而在这个过程中,ICMPv6 的保护机制会防止消息在重定向中被伪造。这个保护过程很简单,就是让消息带有重定向数据包的副本。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/8a2d6068ee1de35bb25e065c8】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论