IPv6协议及安全浅谈

在IPv4网络中，NAT有无可取代的作用，通过NAT技术，内网主机实现了互联网访问的需求。在IPv6过渡技术中，NAT技术也有一席之地。NAT64一般与DNS64协同工作，不需要在IPv6客户端或IPv4服务器端做任何修改，实现不同网络之间互访。

NAT64：如名字所示，NAT64是一种网络地址与协议转换技术，通过地址翻译，实现IPv6节点访问IPv4网络。与NAT一样，NAT64也支持静态映射，实现IPv4网络主动发起连接访问IPv6网络。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换。

DNS64：DNS64服务器本身也是是双栈主机，当IPv6主机向DNS64服务器查询域名时，如果所查询的域名没有AAAA记录，，则DNS64会将A记录(IPv4地址)合成到AAAA记录(IPv6地址)中，然后返回合成的AAAA记录用户给IPv6侧用户。

注：以下内容引用：http://bbs.ruijie.com.cn/thread-33426-1-1.html

NAT64和DNS64的流程如下：

1. IPv6主机发起到DNS64 server的IPv6域名解析请求(主机配置的DNS地址是DNS64)，解析域名为www.abc.com;
2. DNS64触发到DNS server中查询IPv6地址;
3. 若能查询到则返回域名对应的IPv6地址，若查询不到，则返回空;
4. DNS64再次触发到DNS server中查询IPv4地址;
5. DNS server返回www.abc.com的IPv4记录(192.168.1.1);
6. DNS64合成IPv6地址(64::FF9B::192.168.1.1)，并返回给IPv6主机;
7. IPv6主机发起目的地址为64::FF9B::192.168.1.1的IPv6数据包;由于NAT64在IPv6域内通告配置的IPv6 Prefix，因此这个数据包转发到NAT64设备上;
8. NAT64执行地址转换和协议转换，目的地址转换为192.168.1.1，源地址根据地址状态转换(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域内路由到IPv4 server;
9. IPv4数据包返回，目的地址为172.16.1.1;
10. NAT64根据已有记录进行转换，目的地址转换为3ffe:100:200:1::1，源地址为加了IPv6前缀的IPv4 server地址64::FF9B::192.168.1.1，发送到IPv6主机，流程结束。

5、IPv6 安全

就IPv6安全性而已，尽管在设计之初就引入了安全的设计理念，如认证、加密扩展头部，结构化的地址规划等。但是IPv6本身设计上也不断进行更新，不同时期的实现都有所差异。如下图，类似NDP就有过几次变化。

(图片来源：https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Schaefer-Workshop-Slides.pdf)

针对IPv6协议、IPv6应用、过渡阶段使用的技术等方面，安全研究人员不断发现了相关的安全脆弱。目前在 CVE 漏洞库中已有 300 余个与 IPv6 相关的安全漏洞被发布，也有专门针对IPv6安全的工具套件，如： thc-ipv6 SI6 Networks' IPv6 Toolkit Chiron scapy6 ip6sic ERNWfuzzing toolkit LOKI 下面参考学习网上各类大神研究成果，为大家做一下分享。

5.1、链路安全

IPv6使用NDP维护链路信息，本质和ARP一样，在局域网中通过没有认证的的交互过程，学习相关的链路信息。因此和ARP一样，面临着网络欺骗、DoS攻击等安全威胁。来自thc-ipv6的工具套件可针对NDP实现多种攻击。

网络欺骗

1. 针对前面NDP协议所介绍的NS、NA、RS、RA，包括DHCP等过程，均是没有认证来源，意味着攻击者可以在网络中实施欺骗，从而将流量引导到攻击主机中。
2. 通过伪造DHCP服务器，可以分发攻击者自己DNS服务器，让主机的应用访问解析到攻击者服务器。
3. 发送虚假重定向，引导流量到攻击者主机。

下面使用thc-ipv6工具，模拟一个RA通告欺骗，让内网主机自动配置我们虚假的IPv6前缀：

1.在kali中启用RA欺骗，如下图：

2.同网段的windows 2008，一开始只有本地链路ipv6地址，后面自动获取了2001开头的IPv6地址，如下图：

在thc-ipv6中，用于链路层欺骗的工具非常多，有NS、NA、DHCP等，通过了解前面介绍的NDP协议，大家可以自己进行测试。

拒绝服务

1. 攻击者可在DAD过程不断响应NA包，让主机认为地址有冲突，一直获取不到地址，让主机无法接入网络。
2. 攻击者通过伪造大量的NS/RS报文，发送给网关，填充虚假记录导致网关的表项溢出，造成网关无法提供正常的服务，进而导致DoS。
3. 攻击者可以模拟大量用户发送DHCPv6请求报文，占用服务器大量的地址资源，导致合法终端没有地址资源可以分配。
4. 通过伪造DHCP请求报文，消耗网络地址，使其他终端无法获得地址。
5. CVE-2010-4669：在windows xp、2003、vista、2008和7中，由于IPv6实现的问题，发送大量的不同源地址的RA消息(可使atk6-flood_router6)，会导致系统CPU飙升(此项未测试)

下面模拟DAD拒绝服务攻击：

1.启动一个RA前缀分配，让同网段的主机可以获取地址前缀自动配置;

2.启动一个DAD攻击，如下图：

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!