IPv6扩展报头:是好是坏?

日期: 2015-11-08 作者:Fernando Gont翻译:张程程 来源:TechTarget中国 英文

IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。这种强度的过滤并不太好,这不仅阻碍了IPv6协议的后续发展,也影响了其基本功能的使用,诸如IPsec,甚或IPv6分片。 虽然从用户角度来看这也是不可取的,不过这样的过滤也确实是降低安全隐患和操作影响的实用之法,包括普通网络设备和设置。为什么会这样?有安全和操作层面的考虑,另有一些因素解释了为什么运营商在IPv6包含有扩展报头丢包时依旧能理直气壮。

IPv6扩展报头带来的安全影响 IPv6扩展报头的安全影响概括如下: · 逃避安全控制· 由于实施错误的拒绝服务· 由于处理需求产生的拒绝服务· ……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。这种强度的过滤并不太好,这不仅阻碍了IPv6协议的后续发展,也影响了其基本功能的使用,诸如IPsec,甚或IPv6分片。

虽然从用户角度来看这也是不可取的,不过这样的过滤也确实是降低安全隐患和操作影响的实用之法,包括普通网络设备和设置。为什么会这样?有安全和操作层面的考虑,另有一些因素解释了为什么运营商在IPv6包含有扩展报头丢包时依旧能理直气壮。

IPv6扩展报头带来的安全影响

IPv6扩展报头的安全影响概括如下:

· 逃避安全控制
· 由于实施错误的拒绝服务
· 由于处理需求产生的拒绝服务
· 每个扩展报头特有的问题

IPv6扩展报头也有操作层面的影响,不过还好是通过当下的实施可以克服的困难。

除了一些产品无法恰当处理IPv6扩展报头问题,安全产品本身的缺陷会允许逃避安全控制。处理这些扩展报头相对复杂,也会导致实施错误,从而引发拒绝服务(DoS)攻击。

此外,一些路由器部署只能处理慢路径上带有扩展报头的数据包,这样一来,带有扩展报头的IPv6数据包也可能引起处理需求带来的DoS攻击。最后,每个IPv6扩展报头本身有自己的安全问题,例如,分段报头能够引起资源耗尽式攻击,同时,一些路由报头类型(如已弃用的0型)能够引发放大式攻击。

IPv6扩展报头操作层面的影响

IPv6扩展报头也有操作方面的影响,一些常见的丢包原因如下:

· 强制执行基础设施访问控制列表(ACL)
· DDoS管理以及用户的过滤需求
· 可能无法执行等价路径(ECMP)路由以及基于散列的负载分享
· 包转发引擎的限制

基础设施ACL是为了滤掉一些为基础设施认定为不需要的数据包,这些数据包于操作无益的,且能够被用于实施对路由控制平台的攻击。用户DDoS保护过滤从本质上来讲与之类似,第四层ACL通常需要尽可能部署在网络边缘,其目的是为了保护用户边缘。

在ECMP负载分享情况下,路由器需要制定相关策略,确定每个输出包使用的链接。大多数转发引擎通过计算一个简单的哈希函数来实现,计算需要使用IPv6源和目标地址以及一些四层的信息,像是源和目标传输协议端口号。然而,使用扩展报头会组织转发设备查出传输协议端口号。

最后,我们注意到绝大多数现代路由器使用专用硬件来实施,已经在其内部结构中决定如何转发数据包。这样的实施只会将有限的数据包考虑在内。因此,当一台现代路由上的硬件转发引擎由于关键信息与前述专有实施限定不匹配而无法做出转发决定时,路由器则通常会丢弃数据包。

作者

Fernando Gont
Fernando Gont

来自SI6 Networks的互联网安全和工程顾问

翻译

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

相关推荐

  • IP地址0.0.0.0能做什么?

    IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……

  • 无视IPv6连接?后果自负!

    如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。

  • 如何避免IPv6“友邻发现”威胁?

    IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。

  • IP网络安全的基石——IPSec协议

    IPSec(IP Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。