|
在2012年6月6日全球IPv6啟動日����,很多公司都為其產(chǎn)品和服務(wù)啟用了IPv6協(xié)議��,這也讓我們有機會驗證IPv6安全性的誤解���。人們普遍認為����,因為IPv6增加的地址空間���,從攻擊者的角度來看�����,IPv6主機掃描攻擊將需要花很多時間和精力�����,使得攻擊幾乎不可能��。然而����,事實并不是這樣。
通過分析IPv6地址在互聯(lián)網(wǎng)上進行配置的方式����,本文將提供關(guān)于IPv6攻擊可行性的真實情況分析。
IPv6不可戰(zhàn)勝的神話
IPv6比IPv4有更大的地址空間�����。標準IPv6子網(wǎng)(在理論上)可以容納大約1.844 * 1019主機��,因此其主機密度要比IPv4子網(wǎng)低得多(即����,子網(wǎng)中主機數(shù)與可用IP地址數(shù)量的比率較低)。
因為IPv6地址空間數(shù)量如此巨大��,很多人認為IPv6將使?jié)撛诘墓粽吆茈y對IPv6網(wǎng)絡(luò)執(zhí)行主機掃描攻擊��。有些人估計對單個IPv6子網(wǎng)的主機掃描攻擊可能需要5千萬年���!
在IPv4互聯(lián)網(wǎng)中的主機掃描攻擊
在深入分析IPv6主機掃描攻擊的細節(jié)之前�,讓我們來看看在IPv4互聯(lián)網(wǎng)中���,主機掃描攻擊是如何執(zhí)行的���。IPv4的地址空間數(shù)量有限,整個IPv4地址空間(在理論上)由232 個地址組成����,IPv4子網(wǎng)通常有256個地址。因此����,在典型的IPv4子網(wǎng)中,主機密度相對較高�。IPv4主機掃描攻擊通常是按照以下方式執(zhí)行的:
◆選定一個目標地址范圍
◆發(fā)送一個測試數(shù)據(jù)包到該范圍內(nèi)的每一個地址
◆每個響應(yīng)的地址都被認為是“可用的”
由于典型的IPv4子網(wǎng)的搜索空間比較小(通常是256個地址)�����,并且這種子網(wǎng)的主機密度很高,對于大多數(shù)攻擊者而言��,在目標網(wǎng)絡(luò)中按順序嘗試每個可能的地址已經(jīng)足以發(fā)動攻擊����。
在IPv6互聯(lián)網(wǎng)中的主機掃描攻擊
有兩個因素使IPv6的主機掃描攻擊比IPv4的攻擊更加困難:
◆典型的IPv6子網(wǎng)比IPv4子網(wǎng)更大(IPv6為264個地址,而IPv4為28 個地址) ��。
◆IPv6子網(wǎng)的主機密度比IPv4子網(wǎng)主機密度低得多
由于這兩個因素��,在目標IPv6子網(wǎng)中���,按順序試探每一個地址是不可行的�,無論是從數(shù)據(jù)包/帶寬的角度來看��,還是從執(zhí)行攻擊需要的時間來看�����。
擊破IPv6安全神話
然而�,IPv6主機掃描攻擊并非如此繁瑣和費時。我們需要認識到�,IPv6主機地址并不是隨機分布在這相應(yīng)的256個子網(wǎng)地址空間中���,這意味著攻擊者在試圖確定“可行”節(jié)點時��,實際上并不需要掃過整個子網(wǎng)地址空間�。了解IPv6地址生成或者配置的方式,就明白了這種地址分配是非隨機的��。
IPv6地址選擇
下圖顯示了IPv6全球單播地址��。
IPv6全球單播地址�,顧名思義,是用于互聯(lián)網(wǎng)通訊的IPv6地址(而不是����,比方說,僅用于本地子網(wǎng)內(nèi)通訊的本地地址)���。它類似于IPv4:全球路由前綴通常由上游供應(yīng)商分配�,本地網(wǎng)絡(luò)管理員將組織網(wǎng)絡(luò)分成多個邏輯子網(wǎng)�����,而接口ID(IID)用來確定該子網(wǎng)中的特定網(wǎng)絡(luò)接口���。
在選擇接口ID(IPv6地址的低階64位)時有很多選擇�����,包括:
◆嵌入MAC地址
◆采用低字節(jié)地址
◆嵌入IPv4地址
◆使用“繁復”的地址
◆使用隱私或臨時地址
◆依賴于過渡技術(shù)或共存技術(shù)
不幸的是���,這些選項都減小了潛在的搜索空間�����,使IPv6主機掃描攻擊變得更容易實現(xiàn)����。以下部分解釋了具體的原因:
嵌入式MAC地址
大多數(shù)IPv6主機是根據(jù)非營利組織互聯(lián)網(wǎng)協(xié)會(Internet Society)開發(fā)的無狀態(tài)地址自動分配(SLAAC)來生成它們的地址�。SLAAC獲取MAC地址,在中間插入一個16位數(shù)字���,這讓(在以太網(wǎng)的情況中)接口ID(還是地址的低階64位)使用下面的語法:
在這種情況下���,接口ID至少有16位是都知道的。接口ID的其余位(從底層以太網(wǎng)地址借來的位)也是按照特定的模式�����。
因此,在規(guī)劃IPv6主機掃描攻擊時�����,攻擊者可能已經(jīng)知道了目標企業(yè)購買網(wǎng)絡(luò)設(shè)備的供應(yīng)商的情況��。攻擊者可以據(jù)此減少搜索空間到只有這些OUI(企業(yè)唯一標識符)���,也就是分配到該供應(yīng)商的標識符。然后他們可以進一步縮小搜索空間���,因為以太網(wǎng)地址的低階24位通常是根據(jù)制造的網(wǎng)絡(luò)接口卡按順序分配的���。例如,如果企業(yè)從相同供應(yīng)商購買了400個系統(tǒng)��,這些系統(tǒng)可能有連續(xù)的以太網(wǎng)地址(并且連續(xù)的IPv6地址)�����。只要攻擊者(通過嘗試隨機地址)發(fā)現(xiàn)目標網(wǎng)絡(luò)中的一個節(jié)點����,就可以根據(jù)嘗試連續(xù)地址��,得到其他節(jié)點���。
虛擬化技術(shù)是一個有趣的特殊情況,因為大多數(shù)虛擬化產(chǎn)品對虛擬機的網(wǎng)絡(luò)接口卡采用了特定的IEEE OUI����,也就是說,當攻擊者瞄準虛擬機時�,搜索空間將被縮小為虛擬技術(shù)采用的已知的OUI。
這些情況都說明了只需要知道或者發(fā)現(xiàn)一些地址�����,攻擊者就能夠縮小他的搜索范圍�,使IPv6主機掃描攻擊成為可能。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
