專家視角:典型的IPv6網(wǎng)絡掃描技術(shù)與校園網(wǎng)安全

責任編輯:hli

作者:中國教育網(wǎng)絡

2012-08-27 15:59:33

摘自:博客

攻擊者可以通過發(fā)送包含虛假MAC地址的鄰居請求(NS)報文或鄰居通告(NA)報文更新被攻擊者的鄰居緩存,導致被攻擊者將報文轉(zhuǎn)發(fā)到虛假MAC地址。

在IPv6中IPSec是一個必須組成部分,使得網(wǎng)絡層的安全性得到了增強,但IPv6并未要求強制實施IPSec協(xié)議,而且IPSec對PKI基礎設施的依賴、可擴展問題和效率問題,使得IPSec在實際IPv6 網(wǎng)絡環(huán)境中極少部署。

由于IP網(wǎng)絡根本的數(shù)據(jù)傳輸機制沒有改變,IPv6網(wǎng)絡面臨著許多與IPv4 網(wǎng)絡相同的攻擊,例如報頭處理和分片攻擊、地址欺騙、地址解釋和DHCP 攻擊、蠕蟲和病毒攻擊等。同時由于協(xié)議自身的特性,IPv6還存在許多新的安全威脅,例如IPv6的網(wǎng)絡偵察、第三層地址欺騙與地址的隱私擴展、ICMPv6相關(guān)安全攻擊、IPv6擴展頭部的安全、隧道的安全等。隨著IPv6在校園網(wǎng)中的廣泛部署,IPv6 網(wǎng)絡的安全問題日益突出。

IPv6網(wǎng)絡安全新威脅主要分為兩類,如圖1 所示,一類是IPv6協(xié)議棧實現(xiàn)上的漏洞產(chǎn)生的威脅,例如蘋果Mac OS X 操作系統(tǒng)的IPv6套接字選項拒絕服務攻擊漏洞(CVE-2010-1132),Linux 內(nèi)核IPv6分片標識遠程拒絕服務攻擊漏洞(CVE-2011-2699),攻擊者可以利用這些漏洞發(fā)起攻擊,針對這類安全威脅, 用戶應及時升級和更新系統(tǒng);另一類是IPv6協(xié)議特有的新威脅,例如IPv6的網(wǎng)絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等,下面進行介紹幾種典型的IPv6 網(wǎng)絡安全威脅。

IPv6的網(wǎng)絡偵察

網(wǎng)絡偵察往往是攻擊的第一步,但是巨大的IPv6地址空間使得傳統(tǒng)的網(wǎng)絡地址段ping掃描在IPv6網(wǎng)絡中是非常困難的。然而這并不能說明在IPv6 網(wǎng)絡中無法進行掃描攻擊,攻擊者可以通過利用安全性較差路由器上的ND 緩沖、DNS、易于記憶的地址(如::1, ::IPv4等)和采集數(shù)據(jù)包分析等方式實施攻擊,另外IPv6組播機制使得某些掃描變得更容易,如所有路由器、所有DHCP服務器。典型的IPv6網(wǎng)絡掃描技術(shù)包括以下幾種:

1. 搜集IPv6前綴信息

攻擊者通過觀察路由信息,例如捕獲路由器定期發(fā)送的RA報文或者偽造一個RS報文發(fā)送給所有路由器然后觀察路由器回復的RA 報文;或從互聯(lián)網(wǎng)注冊機構(gòu)分配地址空間的信息可以學習到一些IPv6 前綴信息。

2. DNS查詢

通過DNS公告的服務器可以很容易通過DNS查詢得到對應的IPv6地址。而且如果管理者使用順序的方式為主機分配地址,那么只發(fā)布一個服務器地址就可能威脅到其他主機。

3. 應用日志文件分析

攻擊者通過分析日志文件,可以獲得IPv6地址,例如WEB站點的日志文件,P2P 連接的日志文件。

4. 隧道地址分析

攻擊者通過分析網(wǎng)絡使用的過渡方法(如6 t o4 隧道、ISATAP 隧道、Teredo隧道或是其他技術(shù))確定目標節(jié)點的地址。例如有些操作系統(tǒng)的6to4 實現(xiàn)缺省使用的地址為2002:V4ADDR::V4ADDR,如果攻擊者發(fā)現(xiàn)目標機的IPv4地址,就有可能分析對應的IPv6地址。

5. 虛假路由通告

攻擊機通過向目標網(wǎng)絡發(fā)送目標地址為節(jié)點組播地址(FF02::1)的虛假路由通告報文,攻擊者通過分析地址重復檢測(DAD)的組播報文,可獲得目標網(wǎng)絡活動主機的IPv6地址。

IPv6的鄰接點欺騙攻擊

IPv6的鄰居發(fā)現(xiàn)協(xié)議(ND)使ND協(xié)議集成了以前IPv4中一些協(xié)議的功能,如IPv4地址解釋協(xié)議(ARP)、ICMP路由發(fā)現(xiàn)功能和ICMP重定向功能,并增加了一些新的功能,如網(wǎng)絡前綴地址發(fā)現(xiàn)、鏈路參數(shù)發(fā)現(xiàn)和地址自動配置等。ND協(xié)議主要的安全威脅可以分為以下三種類型:拒絕服務攻擊(DoS)、地址欺騙攻擊和路由器欺騙攻擊。ND協(xié)議安全威脅主要有:

1. 鄰居請求和通告欺騙。攻擊者可以通過發(fā)送包含虛假MAC地址的鄰居請求(NS)報文或鄰居通告(NA)報文更新被攻擊者的鄰居緩存,導致被攻擊者將報文轉(zhuǎn)發(fā)到虛假MAC地址。

2. 地址重復檢測的拒絕服務攻擊。攻擊者通過發(fā)送虛假的NA消息,響應子網(wǎng)內(nèi)所有的重復地址發(fā)現(xiàn)的NS請求報文,使被攻擊節(jié)點無法獲得地址,進而實現(xiàn)重復地址發(fā)現(xiàn)的拒絕服務攻擊。

3. 鄰居不可達發(fā)現(xiàn)欺騙。攻擊者持續(xù)發(fā)送虛假的NA鄰居通告報文來響應目標節(jié)點的鄰居探測NS 報文。

4. 路由器通告欺騙。攻擊者發(fā)送虛假的路由器通告報文響應目標節(jié)點的路由器請求報文,以欺騙目標節(jié)點選擇虛假的路由器作為缺省路由器。

5. 虛假路由參數(shù)欺騙。攻擊者通過發(fā)送包含惡意參數(shù)的虛假路由器報文來控制或破壞目標節(jié)點的通信。

6. 虛假的重定向消息。攻擊者假冒鏈路上的路由器做源地址發(fā)送虛假的重定向消息給目標節(jié)點。

IPv6隧道的攻擊

在IPv4和IPv6共存的過渡階段,現(xiàn)提出了多種隧道機制,各種各樣隧道機制的引入為網(wǎng)絡環(huán)境增添了新的復雜性,同時也帶來了一些新的安全隱患。對隧道機制的加入而產(chǎn)生安全的威脅主要有:

1.通過隧道避開安全檢測。隧道機制的加入給很多已存在的安全措施帶來了新的挑戰(zhàn),包括繞過訪問控制列表以及基于網(wǎng)絡的源路由控制等。

2.隧道機制新特性帶來的新威脅。如Teredo隧道會在NAT設備上開放一個端口以方便遠程訪問隧道客戶端,但也為攻擊者提供了可以利用的入口;來自ISATAP網(wǎng)絡外部的欺騙攻擊,攻擊者可將大量的協(xié)議類型為41的虛假數(shù)據(jù)包注入ISATAP網(wǎng)絡;6to4機制本身設計成會接受和試圖解封裝所有的IPv4包,這會讓欺騙攻擊更容易發(fā)生。

3.隧道地址帶來的新威脅。由于很多隧道機制使用一組固定范圍的地址,例如6to4隧道有自己特殊的地址前綴,這使得猜測隧道地址變得相對容易。

4.針對隧道端點服務器的攻擊。隧道端點的服務器是隧道機制中的重要安全環(huán)節(jié),如果攻擊者修改隧道服務器的配置或進行DOS 攻擊,將帶來一系列安全問題。

IPv4/v6雙協(xié)議棧的安全威脅

雙協(xié)議棧是一種重要IPv6過渡方法,許多操作系統(tǒng)缺省支持雙協(xié)議棧,這也使得雙協(xié)議棧主機不但同時面臨IPv4和IPv6兩個邏輯通道的安全威脅,也面臨雙協(xié)議的混合攻擊。在沒有部署IPv6的IPv4網(wǎng)絡中,由于部分操作系統(tǒng)缺省啟動了IPv6自動地址配置功能,使得IPv4子網(wǎng)內(nèi)也存在隱蔽的IPv6鏈路,攻擊者可以利用此IPv6鏈路在子網(wǎng)內(nèi)實施各種攻擊。

IPv6雖然增強了網(wǎng)絡的安全特性,但由于實施復雜等原因,IPSec在當前的IPv6網(wǎng)絡中并未得到廣泛使用,IPv6的網(wǎng)絡安全問題日益突出,本文針對IPv6的新特性,介紹了IPv6的網(wǎng)絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等典型的IPv6 網(wǎng)絡安全新威脅,以便人們在設計、部署和維護IPv6 網(wǎng)絡中,運用正確的網(wǎng)絡安全配置和策略,提高IPv6 網(wǎng)絡的安全。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號