为应对传统SLAAC地址的保密性问题,IETF提出了RFC 4941“IPv6自动配置无状态地址的保密性扩展”;它通常称为“临时地址”。RFC 4941标准化的方案主要通过以下方式实现: • 临时地址是使用随机IID不断重复生成的IPv6地址。 • 这些临时地址包含传统的SLAAC地址。也就是说,实现RFC 4941的节点不仅包含临时地址,也包含传统(固定的)SLAAC地址。
• 临时地址将用于外出连接,而传统的SLAAC地址用于进入连接。也就是说,只有当需要地址不会时,才能使用传统的SLAAC地址。 但是,临时地址也有许多缺点。它们也无法避免地址扫描攻击,它们并不能完全对抗主机跟……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
为应对传统SLAAC地址的保密性问题,IETF提出了RFC 4941“IPv6自动配置无状态地址的保密性扩展”;它通常称为“临时地址”。RFC 4941标准化的方案主要通过以下方式实现:
• 临时地址是使用随机IID不断重复生成的IPv6地址。
• 这些临时地址包含传统的SLAAC地址。也就是说,实现RFC 4941的节点不仅包含临时地址,也包含传统(固定的)SLAAC地址。
• 临时地址将用于外出连接,而传统的SLAAC地址用于进入连接。也就是说,只有当需要地址不会时,才能使用传统的SLAAC地址。
但是,临时地址也有许多缺点。它们也无法避免地址扫描攻击,它们并不能完全对抗主机跟踪,而且通常会增加网络操作复杂性。而且,在使用传统SLAAS地址的时候会同时使用临时地址(而不是替换),所以临时地址几乎无法抵抗地址扫描攻击。
对于主机跟踪,临时地址不能彻底解决这些问题。例如,假设有一个攻击者知道受攻击节点的传统SLAAC地址所使用IID,那么这个攻击者也就知道了所攻击节点可能连接的目标网络。在这种情况下,攻击者就可以利用网络前缀和所攻击节点使用的不变IID,主动让受攻击的节点连接各个目标网络。
这里的关键概念是,只要IID在网络保持不变,攻击者就可能利用它发起主机跟踪攻击。启用临时地址只能对抗被动主机跟踪攻击(例如,通过连接攻击者所操控服务器的受攻击节点发起的攻击)。然而,主动主机跟踪攻击(攻击者向目标发送侦测数据包)仍然无法避免。
对抗主动主机跟踪
SI6 Networks的IPv6工具套件scan6工具是一个专门用于发起主动IPv6主机跟踪的IPv6地址扫描工具。它提供了许多选项,可以指定攻击节点可能连接的网络和所使用的固定接口ID。
例如,假设有一个攻击者知道一个传统SLAAC地址为a00:27ff:fe89:7878的节点IID,那么这个节点可能只能连接网络2001:db8:1::/64和2001:db8:2::/64。这时,攻击者就可以用scan6执行以下命令:
# sudo scan6 -i eth0 -d 2001:db8:1::/64 -d 2001:db8:2::/64 -W a00:27ff:fe89:7878 -l -z 60 -t -v
这样scan6就可以每隔60秒钟攻击IPv6地址2001:db8:1::a00:27ff:fe89:7878和2001:db8:2::a00:27ff:fe89:7878。正如之前所提到的,即使目标节点使用临时地址,这种攻击也可能生效,因为临时地址也包含传统SLAAC地址。
scan6工具还可以从各个文件获取目标IID和目标网络前缀。例如,这个工具可以执行以下命令:
# sudo scan6 -i eth0 -m PREFIXES-TXT -w IIDS.TXT -l -z 60 -t -v
在这种情况中,scan6工具将从文件PREFIXES.TXT获取目标IPv6前缀,从文件IIDS.TXT获取目标节点的IID。
可能的解决方法
显然,临时地址可以对抗关联一个网络内部节点活动,因为它们会让远程攻击者很难将许多通信实例关联到同一个节点。
完全消除主机跟踪攻击则要求禁止节点使用在多个网络中保持不变的IID。有一篇IETF提案“一种通过IPv6无状态自动配置(SLAAC)生成固定加强保密地址的方法”专门处理这个问题。它包括:
• 产生的IPv6地址将在网络中保持不变(例如,在连接同一个网络时,主机总能获得相同的地址),所以网络操作不会受到负面影响。
• 当主机从一个网络切换到另一个网络时,它的IPv6地址会发生变化(从而对抗主机跟踪攻击)。
这个标准预计将在今年年底完成。虽然有许多供应商表示有意支持这种方法,但是这种方法仍然需要一定时间才能广泛部署,解决IPv6寻址安全和保密问题。
相关推荐
-
IP地址0.0.0.0能做什么?
IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……
-
无视IPv6连接?后果自负!
如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。
-
IPv6扩展报头:是好是坏?
IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。
-
如何避免IPv6“友邻发现”威胁?
IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。