加入收藏 | 设为首页 | 会员中心 | 我要投稿 惠州站长网 (https://www.0752zz.com.cn/)- 办公协同、云通信、物联设备、操作系统、高性能计算!
当前位置: 首页 > 教程 > 正文

IPv6协议及安全浅谈

发布时间:2019-04-03 20:59:17 所属栏目:教程 来源:IPv6头跳
导读:副标题#e# 1、前言 在我国,IPv6一直在稳步发展,早已不是多年前只在实验环境中存在的场景了,很多互联网大厂、高校都用上了IPv6,部分地址宽带用户也使用了IPv6。就在前些日子,安全研究员Dirk-jan Mollema发表基于委派攻击并结合NTLM Relaying,实现对同

在IPv4网络中,NAT有无可取代的作用,通过NAT技术,内网主机实现了互联网访问的需求。在IPv6过渡技术中,NAT技术也有一席之地。NAT64一般与DNS64协同工作,不需要在IPv6客户端或IPv4服务器端做任何修改,实现不同网络之间互访。

NAT64:如名字所示,NAT64是一种网络地址与协议转换技术,通过地址翻译,实现IPv6节点访问IPv4网络。与NAT一样,NAT64也支持静态映射,实现IPv4网络主动发起连接访问IPv6网络。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换。

DNS64:DNS64服务器本身也是是双栈主机,当IPv6主机向DNS64服务器查询域名时,如果所查询的域名没有AAAA记录,,则DNS64会将A记录(IPv4地址)合成到AAAA记录(IPv6地址)中,然后返回合成的AAAA记录用户给IPv6侧用户。

注:以下内容引用:http://bbs.ruijie.com.cn/thread-33426-1-1.html

NAT64和DNS64的流程如下:

  1. IPv6主机发起到DNS64 server的IPv6域名解析请求(主机配置的DNS地址是DNS64),解析域名为www.abc.com;
  2. DNS64触发到DNS server中查询IPv6地址;
  3. 若能查询到则返回域名对应的IPv6地址,若查询不到,则返回空;
  4. DNS64再次触发到DNS server中查询IPv4地址;
  5. DNS server返回www.abc.com的IPv4记录(192.168.1.1);
  6. DNS64合成IPv6地址(64::FF9B::192.168.1.1),并返回给IPv6主机;
  7. IPv6主机发起目的地址为64::FF9B::192.168.1.1的IPv6数据包;由于NAT64在IPv6域内通告配置的IPv6 Prefix,因此这个数据包转发到NAT64设备上;
  8. NAT64执行地址转换和协议转换,目的地址转换为192.168.1.1,源地址根据地址状态转换(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域内路由到IPv4 server;
  9. IPv4数据包返回,目的地址为172.16.1.1;
  10. NAT64根据已有记录进行转换,目的地址转换为3ffe:100:200:1::1,源地址为加了IPv6前缀的IPv4 server地址64::FF9B::192.168.1.1,发送到IPv6主机,流程结束。

5、IPv6 安全

就IPv6安全性而已,尽管在设计之初就引入了安全的设计理念,如认证、加密扩展头部,结构化的地址规划等。但是IPv6本身设计上也不断进行更新,不同时期的实现都有所差异。如下图,类似NDP就有过几次变化。

(图片来源:https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Schaefer-Workshop-Slides.pdf)

针对IPv6协议、IPv6应用、过渡阶段使用的技术等方面,安全研究人员不断发现了相关的安全脆弱。目前在 CVE 漏洞库中已有 300 余个与 IPv6 相关的安全漏洞被发布,也有专门针对IPv6安全的工具套件,如: thc-ipv6 SI6 Networks' IPv6 Toolkit Chiron scapy6 ip6sic ERNWfuzzing toolkit LOKI 下面参考学习网上各类大神研究成果,为大家做一下分享。

5.1、链路安全

IPv6使用NDP维护链路信息,本质和ARP一样,在局域网中通过没有认证的的交互过程,学习相关的链路信息。因此和ARP一样,面临着网络欺骗、DoS攻击等安全威胁。来自thc-ipv6的工具套件可针对NDP实现多种攻击。

网络欺骗

  1. 针对前面NDP协议所介绍的NS、NA、RS、RA,包括DHCP等过程,均是没有认证来源,意味着攻击者可以在网络中实施欺骗,从而将流量引导到攻击主机中。
  2. 通过伪造DHCP服务器,可以分发攻击者自己DNS服务器,让主机的应用访问解析到攻击者服务器。
  3. 发送虚假重定向,引导流量到攻击者主机。

下面使用thc-ipv6工具,模拟一个RA通告欺骗,让内网主机自动配置我们虚假的IPv6前缀:

1.在kali中启用RA欺骗,如下图:

2.同网段的windows 2008,一开始只有本地链路ipv6地址,后面自动获取了2001开头的IPv6地址,如下图:

在thc-ipv6中,用于链路层欺骗的工具非常多,有NS、NA、DHCP等,通过了解前面介绍的NDP协议,大家可以自己进行测试。

拒绝服务

  1. 攻击者可在DAD过程不断响应NA包,让主机认为地址有冲突,一直获取不到地址,让主机无法接入网络。
  2. 攻击者通过伪造大量的NS/RS报文,发送给网关,填充虚假记录导致网关的表项溢出,造成网关无法提供正常的服务,进而导致DoS。
  3. 攻击者可以模拟大量用户发送DHCPv6请求报文,占用服务器大量的地址资源,导致合法终端没有地址资源可以分配。
  4. 通过伪造DHCP请求报文,消耗网络地址,使其他终端无法获得地址。
  5. CVE-2010-4669:在windows xp、2003、vista、2008和7中,由于IPv6实现的问题,发送大量的不同源地址的RA消息(可使atk6-flood_router6),会导致系统CPU飙升(此项未测试)

下面模拟DAD拒绝服务攻击:

1.启动一个RA前缀分配,让同网段的主机可以获取地址前缀自动配置;

2.启动一个DAD攻击,如下图:

(编辑:惠州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读