IPv6防火墻對安全的影響

責任編輯:hli

2012-02-07 10:34:35

摘自:CIO時代網

組合擴展頭和分片可能妨礙數據包檢測。即,數據包的第一個分片可能包含很多IPv6選項,以致上層協(xié)議頭可能屬于另一個分片,而不是第一個分片。

IPv6頭信息鏈結構的靈活性優(yōu)于IPv4,因為它不限制數據包可以包含的數量。然而,這種靈活性也是有代價的。

任何需要獲取上層信息(如TCP端口號)的系統(tǒng),都需要處理整個IPv6頭信息鏈。而且,由于當前的協(xié)議標準支持任意數量的擴展頭,包括同一種擴展頭的多個實例,因此它會對防火墻等設備造成多種影響:

防火墻需要解析多個擴展頭,才能夠執(zhí)行深度數據包檢測(DPI),它可能會降低WAN性能,引發(fā)拒絕服務(DoS)攻擊,或者防火墻被繞過。

組合擴展頭和分片可能妨礙數據包檢測。

正如前面介紹的,由于當前的協(xié)議規(guī)范支持任意數量的擴展頭,包括同一種擴展頭類型的多個實例,因此防火墻必須能夠細致地處理包括異常的多IPv6擴展頭信息的數據包。而這可能被一些攻擊者利用,他們可能故意在數據包中加入大量的擴展頭,使防火墻在處理上述數據包時浪費過多資源。最終,這可能會引起防火墻性能下降,或者造成防火墻本身出現DoS問題。此外,有一些性能不佳的防火墻在應用過濾策略時,可能無法處理整個IPv6頭信息鏈,從而可能讓一些攻擊者利用擴展頭威脅相應的防火墻。

IPv6分片也可能被惡意利用,方法與IPv4的類似。例如,為了破壞防火墻的過濾策略,攻擊者可能會發(fā)送一些重疊的分片,從而影響目標主機的分片重組過程。在IPv6中,這個問題更為嚴重,因為多個IPv6擴展頭和分片的組合可能產生一些錯誤分片,盡管它們的數據包大小是“正常的”,但是它們丟失了一些實施過濾策略通常需要的基本信息,如TCP端口號。即,數據包的第一個分片可能包含很多IPv6選項,以致上層協(xié)議頭可能屬于另一個分片,而不是第一個分片。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號