IPv6协议及安全浅谈
在IPv4网络中,NAT有无可取代的作用,通过NAT技术,内网主机实现了互联网访问的需求。在IPv6过渡技术中,NAT技术也有一席之地。NAT64一般与DNS64协同工作,不需要在IPv6客户端或IPv4服务器端做任何修改,实现不同网络之间互访。 NAT64:如名字所示,NAT64是一种网络地址与协议转换技术,通过地址翻译,实现IPv6节点访问IPv4网络。与NAT一样,NAT64也支持静态映射,实现IPv4网络主动发起连接访问IPv6网络。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换。 DNS64:DNS64服务器本身也是是双栈主机,当IPv6主机向DNS64服务器查询域名时,如果所查询的域名没有AAAA记录,,则DNS64会将A记录(IPv4地址)合成到AAAA记录(IPv6地址)中,然后返回合成的AAAA记录用户给IPv6侧用户。 注:以下内容引用:http://bbs.ruijie.com.cn/thread-33426-1-1.html NAT64和DNS64的流程如下:
5、IPv6 安全 就IPv6安全性而已,尽管在设计之初就引入了安全的设计理念,如认证、加密扩展头部,结构化的地址规划等。但是IPv6本身设计上也不断进行更新,不同时期的实现都有所差异。如下图,类似NDP就有过几次变化。 (图片来源:https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Schaefer-Workshop-Slides.pdf) 针对IPv6协议、IPv6应用、过渡阶段使用的技术等方面,安全研究人员不断发现了相关的安全脆弱。目前在 CVE 漏洞库中已有 300 余个与 IPv6 相关的安全漏洞被发布,也有专门针对IPv6安全的工具套件,如: thc-ipv6 SI6 Networks' IPv6 Toolkit Chiron scapy6 ip6sic ERNWfuzzing toolkit LOKI 下面参考学习网上各类大神研究成果,为大家做一下分享。 5.1、链路安全 IPv6使用NDP维护链路信息,本质和ARP一样,在局域网中通过没有认证的的交互过程,学习相关的链路信息。因此和ARP一样,面临着网络欺骗、DoS攻击等安全威胁。来自thc-ipv6的工具套件可针对NDP实现多种攻击。 网络欺骗
下面使用thc-ipv6工具,模拟一个RA通告欺骗,让内网主机自动配置我们虚假的IPv6前缀: 1.在kali中启用RA欺骗,如下图: 2.同网段的windows 2008,一开始只有本地链路ipv6地址,后面自动获取了2001开头的IPv6地址,如下图: 在thc-ipv6中,用于链路层欺骗的工具非常多,有NS、NA、DHCP等,通过了解前面介绍的NDP协议,大家可以自己进行测试。 拒绝服务
下面模拟DAD拒绝服务攻击: 1.启动一个RA前缀分配,让同网段的主机可以获取地址前缀自动配置; 2.启动一个DAD攻击,如下图: (编辑:惠州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |