激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補(bǔ)償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        巨大的IPv6地址空間其實(shí)增加了IPv6攻擊

        發(fā)布時(shí)間:  2012/9/15 18:24:43
        聯(lián)系請(qǐng)致電:15378720700 河南億恩科技有限公司,專注IDC服務(wù)13年,華中地區(qū)最大IDC服務(wù)商。
        BGP新機(jī)房優(yōu)惠活動(dòng)正在進(jìn)行中。。。期待您的加入。

        在2012年6月6日全球IPv6啟動(dòng)日,很多公司都為其產(chǎn)品和服務(wù)啟用了IPv6協(xié)議,這也讓我們有機(jī)會(huì)驗(yàn)證IPv6安全性的誤解。人們普遍認(rèn)為,因?yàn)镮Pv6增加的地址空間,從攻擊者的角度來看,IPv6主機(jī)掃描攻擊將需要花很多時(shí)間和精力,使得攻擊幾乎不可能。然而,事實(shí)并不是這樣。通過分析IPv6地址在互聯(lián)網(wǎng)上進(jìn)行配置的方式,本文將介紹IPv6攻擊可行性的真實(shí)情況分析。

        IPv6不可戰(zhàn)勝的神話

        IPv6比IPv4有更大的地址空間。標(biāo)準(zhǔn)IPv6子網(wǎng)(在理論上)可以容納大約1.844 * 1019 個(gè)主機(jī),因此其主機(jī)密度要比IPv4子網(wǎng)低得多(即,子網(wǎng)中主機(jī)數(shù)與可用IP地址數(shù)量的比率較低)。

        因?yàn)镮Pv6地址空間數(shù)量如此巨大,很多人認(rèn)為IPv6將使?jié)撛诘墓粽吆茈y對(duì)IPv6網(wǎng)絡(luò)執(zhí)行主機(jī)掃描攻擊。有些人估計(jì)對(duì)單個(gè)IPv6子網(wǎng)的主機(jī)掃描攻擊可能需要5千萬年!

        在IPv4互聯(lián)網(wǎng)中的主機(jī)掃描攻擊

        在深入分析IPv6主機(jī)掃描攻擊的細(xì)節(jié)之前,讓我們來看看在IPv4互聯(lián)網(wǎng)中,主機(jī)掃描攻擊是如何執(zhí)行的。IPv4的地址空間數(shù)量有限,整個(gè) IPv4地址空間(在理論上)由 232 個(gè)地址組成,IPv4子網(wǎng)通常有256個(gè)地址。因此,在典型的IPv4子網(wǎng)中,主機(jī)密度相對(duì)較高。IPv4主機(jī)掃描攻擊通常是按照以下方式執(zhí)行的:

        • 選定一個(gè)目標(biāo)地址范圍

        • 發(fā)送一個(gè)測試數(shù)據(jù)包到該范圍內(nèi)的每一個(gè)地址

        • 每個(gè)響應(yīng)的地址都被認(rèn)為是“可用的”

        由于典型的IPv4子網(wǎng)的搜索空間比較小(通常是256個(gè)地址),并且這種子網(wǎng)的主機(jī)密度很高,對(duì)于大多數(shù)攻擊者而言,在目標(biāo)網(wǎng)絡(luò)中按順序嘗試每個(gè)可能的地址已經(jīng)足以發(fā)動(dòng)攻擊。

        在IPv6互聯(lián)網(wǎng)中的主機(jī)掃描攻擊

        有兩個(gè)因素使IPv6的主機(jī)掃描攻擊比IPv4的攻擊更加困難:

        • 典型的IPv6子網(wǎng)比IPv4子網(wǎng)更大(IPv6為264 個(gè)地址,而IPv4為256個(gè)地址) 。

        • IPv6子網(wǎng)的主機(jī)密度比IPv4子網(wǎng)主機(jī)密度低得多

        由于這兩個(gè)因素,在目標(biāo)IPv6子網(wǎng)中,按順序試探每一個(gè)地址是不可行的,無論是從數(shù)據(jù)包/帶寬的角度來看,還是從執(zhí)行攻擊需要的時(shí)間來看。

        擊破IPv6安全神話

        然而,IPv6主機(jī)掃描攻擊并非如此繁瑣和費(fèi)時(shí)。我們需要認(rèn)識(shí)到,IPv6主機(jī)地址并不是隨機(jī)分布在這相應(yīng)的256個(gè)子網(wǎng)地址空間中,這意味著攻擊者在試圖確定“可行”節(jié)點(diǎn)時(shí),實(shí)際上并不需要掃過整個(gè)子網(wǎng)地址空間。了解IPv6地址生成或者配置的方式,就明白了這種地址分配是非隨機(jī)的。

        IPv6地址選擇

        下圖顯示了IPv6全球單播地址。

         

        巨大的IPv6地址空間其實(shí)增加了IPv6攻擊

        IPv6全球單播地址,顧名思義,是用于互聯(lián)網(wǎng)通訊的IPv6地址(而不是,比方說,僅用于本地子網(wǎng)內(nèi)通訊的本地地址)。它類似于IPv4:全球路由前綴通常由上游供應(yīng)商分配,本地網(wǎng)絡(luò)管理員將組織網(wǎng)絡(luò)分成多個(gè)邏輯子網(wǎng),而接口ID(IID)用來確定該子網(wǎng)中的特定網(wǎng)絡(luò)接口。

        在選擇接口ID(IPv6地址的低階64位)時(shí)有很多選擇,包括:

        • 嵌入MAC地址

        • 采用低字節(jié)地址

        • 嵌入IPv4地址

        • 使用“繁復(fù)”的地址

        • 使用隱私或臨時(shí)地址

        • 依賴于過渡技術(shù)或共存技術(shù)

        不幸的是,這些因素都減小了潛在的搜索空間,使IPv6主機(jī)掃描攻擊變得更容易實(shí)現(xiàn)。以下部分解釋了具體的原因:

        嵌入式MAC地址

        大多數(shù)IPv6主機(jī)是根據(jù)非營利組織互聯(lián)網(wǎng)協(xié)會(huì)(Internet Society)開發(fā)的無狀態(tài)地址自動(dòng)分配(SLAAC)來生成它們的地址。SLAAC獲取MAC地址,在中間插入一個(gè)16位數(shù)字,在以太網(wǎng)的中,這讓接口ID(還是地址的低階64位)使用下面的語法:

         

        巨大的IPv6地址空間其實(shí)增加了IPv6攻擊

        在這種情況下,接口ID至少有16位是都知道的。接口ID的其余位(從底層以太網(wǎng)地址借來的位)也是按照特定的模式。

        因此,在規(guī)劃IPv6主機(jī)掃描攻擊時(shí),攻擊者可能已經(jīng)知道了目標(biāo)企業(yè)購買網(wǎng)絡(luò)設(shè)備的供應(yīng)商的情況。攻擊者可以據(jù)此減少搜索空間到只有這些 OUI(企業(yè)唯一標(biāo)識(shí)符),也就是分配到該供應(yīng)商的標(biāo)識(shí)符。然后他們可以進(jìn)一步縮小搜索空間,因?yàn)橐蕴W(wǎng)地址的低階24位通常是根據(jù)制造的網(wǎng)絡(luò)接口卡按順序分配的。例如,如果企業(yè)從相應(yīng)供應(yīng)商購買了400個(gè)系統(tǒng),這些系統(tǒng)可能有連續(xù)的以太網(wǎng)地址(并且連續(xù)的IPv6地址)。只要攻擊者通過嘗試隨機(jī)地址發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn),就可以根據(jù)嘗試連續(xù)地址,得到其他節(jié)點(diǎn)。

        虛擬化技術(shù)是一個(gè)有趣的特殊情況,因?yàn)榇蠖鄶?shù)虛擬化產(chǎn)品對(duì)虛擬機(jī)的網(wǎng)絡(luò)接口卡采用了特定的IEEE OUI,也就是說,當(dāng)攻擊者瞄準(zhǔn)虛擬機(jī)時(shí),搜索空間將被縮小為虛擬技術(shù)采用的已知的OUI。

        這些情況都說明了只需要知道或者發(fā)現(xiàn)一些地址,攻擊者就能夠縮小他的搜索范圍,使IPv6主機(jī)掃描攻擊成為可能。

        低字節(jié)地址

        低字節(jié)地址是接口ID全是0的IPv6地址,除了最后8或16位(例如2001:db8::1、2001:db8::2等)。這些地址通常是手動(dòng)配置的(通常用于基礎(chǔ)設(shè)施),但是也可能是使用了一些動(dòng)態(tài)主機(jī)配置協(xié)議版本6(DHCPv6)服務(wù)器,這些服務(wù)器會(huì)從特定地址范圍按順序分配IPv6地址。當(dāng)采用低字節(jié)地址時(shí),IPv6地址搜索空間被縮小到(最多)216個(gè)地址,這使IPv6主機(jī)掃描攻擊變得更為可行。

        嵌入式IPv4地址

        互聯(lián)網(wǎng)工程任務(wù)組(IETF)規(guī)范允許IPv6地址以“2001:db8::W.X.Y.Z”的形式來表達(dá),而IPv4地址的形式為 “W.X.Y.Z”。這種生成地址的形式通常出現(xiàn)在基礎(chǔ)設(shè)施設(shè)備中,因?yàn)槿绻撛O(shè)備的IPv4地址是已知的,就更容易“記住”設(shè)備的IPv6地址。其余的地址都是已知的或者可猜測出,所以采用嵌入式IPv4地址的網(wǎng)絡(luò)將有助于攻擊者將IPv6地址搜索空間縮小到與IPv4網(wǎng)絡(luò)相同的搜索空間。

        “繁復(fù)”的地址

        IPv6地址采用十六進(jìn)制(而不是小數(shù))符號(hào),這在手動(dòng)配置地址時(shí),增加一些創(chuàng)意。例如,F(xiàn)acebook的域名映射到IPv6地址是 “2a03:2880:2110:3f02:face:b00c::”。確定這些“繁復(fù)”的地址的搜索空間并不簡單,當(dāng)然,與整個(gè)264個(gè)IPv6空間相比時(shí),搜索空間還是有所減少了。曾經(jīng)有針對(duì)“繁復(fù)”地址的基于字典的IPv6主機(jī)掃描攻擊。

        隱私/臨時(shí)地址

        為了響應(yīng)主機(jī)跟蹤問題,IETF在RFC 4941中標(biāo)準(zhǔn)化了“無狀態(tài)地址自動(dòng)配置的隱私擴(kuò)展”。在本質(zhì)上,RFC 4941規(guī)定接口ID應(yīng)該是隨機(jī)的,會(huì)隨著時(shí)間的變化而變化,以創(chuàng)建一個(gè)不可預(yù)見的地址。

        然而,RFC 4941規(guī)定除了傳統(tǒng)SLAAC地址外還要生成臨時(shí)地址(而不是替代它們),臨時(shí)地址用于出站通訊,而傳統(tǒng)SLAAC地址用于服務(wù)器功能(例如入站通訊)。因此,這些地址并不能緩解主機(jī)掃描攻擊,因?yàn)樵诓捎门R時(shí)地址的主機(jī)上仍然配置了可預(yù)測的SLAAC地址(但OpenBSD除外,OpenBSD在啟用隱私地址時(shí),禁用了傳統(tǒng)SLAAC地址)。

        過渡/共存技術(shù)

        有很多IPv4到IPv6的過渡技術(shù)或者共存技術(shù)(例如6to4和Teredo)為IPv6全球單播地址指定了特殊語法,在大多數(shù)情況下是在 IPv6中嵌入IPv4地址,作為IPv6的地址的一部分。由于有很多這方面的技術(shù),本文將不深入到具體細(xì)節(jié),但需要注意這些地址遵循特定的模式,所以能減小IPv6地址搜索范圍。

        如何緩解IPv6主機(jī)掃描攻擊

        緩解IPv6主機(jī)掃描攻擊最聰明的辦法是從IPv6地址刪除任何明顯的模式。IETF的6man工作組目前正在研究一種生成IPv6地址的方法,它有以下特點(diǎn):

        • 產(chǎn)生的接口ID不容易被預(yù)測出

        • 產(chǎn)生的接口ID在每個(gè)子網(wǎng)內(nèi)是穩(wěn)定的,但是當(dāng)主機(jī)從一個(gè)網(wǎng)絡(luò)移動(dòng)到另一個(gè)網(wǎng)絡(luò)時(shí),接口ID會(huì)跟著變化

        • 產(chǎn)生的接口ID獨(dú)立于底層鏈路層地址

        為了確保IPv6部署的安全性,IETF必須完成此標(biāo)準(zhǔn)化工作,并且更重要的是,需要供應(yīng)商部署它。一旦這些工作都到位了,這些不可預(yù)測的地址將讓攻擊者的IPv6主機(jī)掃描攻擊更難以執(zhí)行。

        其他緩解IPv6主機(jī)掃描攻擊的措施包括使用基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(IPS):當(dāng)在本地子網(wǎng)接收到大量針對(duì)不同IPv6地址的探測數(shù)據(jù)包時(shí) (尤其是當(dāng)很多目標(biāo)地址不存在時(shí)),可以從特定來源地址阻止入站數(shù)據(jù)包,來應(yīng)對(duì)主機(jī)掃描攻擊活動(dòng)。另一種方法是為基于DHCPv6和手動(dòng)配置的系統(tǒng)配置不可預(yù)測的地址。雖然windows系統(tǒng)生成不可預(yù)測地址,所有其他端點(diǎn)(包括基于思科和Linux的設(shè)備)還需要一些額外的配置,既可以啟用DHCPv6 服務(wù)器來發(fā)布不可預(yù)測地址,也可以手動(dòng)配置系統(tǒng),這樣他們就可以使用不可預(yù)測地址。很顯然,DHCPv6的方法應(yīng)該是首選方法,因?yàn)樗菀讛U(kuò)展。然而,并不是所有DHCPv6軟件都有這個(gè)功能,因此可能唯一的方法應(yīng)該是手動(dòng)配置每個(gè)系統(tǒng)的IPv6地址(當(dāng)然這個(gè)工作會(huì)非常痛苦)。

        讀了本文關(guān)于IPv6地址在互聯(lián)網(wǎng)上的分配方式的分析,大家應(yīng)該提高認(rèn)識(shí):雖然IPv6的主機(jī)掃描攻擊在很大程度上受到了阻止,但I(xiàn)ETF和供應(yīng)商仍然有很多工作要做,以增加IPv6主機(jī)掃描攻擊的難度。


        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
      10. 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號(hào)
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
          0
         
         
         
         

        0371-60135900
        7*24小時(shí)客服服務(wù)熱線