SLAAC(無狀態(tài)地址自動配置)攻擊 0day Windows網絡配置截取漏洞

如果大家看過太空堡壘卡拉狄加這部美劇，回想一下吧，它清楚地告訴我們，六這個數字可不是省油的燈。看起來很美，但在大家忙忙碌碌、按部就班地工作時，它卻悄悄將身形隱藏在其目標之下。沒人意識到出了什么狀況，直到后果已經嚴重到無法挽回。

互聯網上也有類似的六號現象，IPv6（新一代的IPng-IP）。眼下最新的操作系統(tǒng)通過它來進行數據傳輸，一般情況下它都可以算是默認配置了，但普及速度相對來說仍然非常緩慢。原因種種，不勝枚舉，目前的情況是它尚處于休眠期，等待著機會一鳴驚人，進而一舉推翻IPv4并徹底統(tǒng)治網絡。

本文介紹的是一項關于IPv6概念層面的有趣應用。我會在接下來的內容中向大家展示，一個攻擊者如何對IPv6覆蓋之下的純IPv4網絡進行攻擊，而借助這一點，中間人攻擊（簡稱MITM）將能夠順利對IPv4的網絡數據流展開侵襲。

這種新的無狀態(tài)自動地址分配（簡稱SLAAC）攻擊，如果大家接受這種稱呼，正是根據其產生過程而得名。

IPv6背景知識介紹

除了增加IP地址數量之外，IPv6在很多關鍵性的處理領域與IPv4可以說采用了完全不同的機制。本文并不打算對IPv6進行過多的探討，但我會把與網絡攻擊有關的主要特點向大家做出說明。

首先，IPv6沒有使用ARP--而代替其功能的是一組稱為相鄰計算機發(fā)現協(xié)議（neighbour discovery protocols）的工具，當我們執(zhí)行ICMPv6時，它允許億恩科技主機發(fā)現本地連接中的其它物理地址。此外，具備無線功能的路由器也可以通過本地連接上的路由通告（Router Advertisement，簡稱RA）中的信息來探知其它計算機，借以實現同樣的功能。

當一臺應用IPv6的億恩科技主機接收到路由通告時，它可以通過一系列處理為其創(chuàng)建一個進程，并為其分配一個有效的IPv6路由地址，這一過程即被稱為"無狀態(tài)地址自動配置（簡稱SLAAC）"。億恩科技主機將根據路由通告所使用的源地址為其設置默認網關。

通過對這種自動的億恩科技主機地址分配機制的分析，我們可以看到，SLAAC的執(zhí)行原理更像是IPv4中的DHCP的處理方式。然而，單單SLAAC本身的話，是無法為接入的億恩科技主機提供所有必要的配置參數信息（例如DNS億恩科技服務器等詳細內容）的，DHCPv6仍需要借助其它工具的幫助，才能正確填寫所有的匹配資料。事實證明，它所需要的數據可以由路由通告中的信息提供，SLAAC和DHCPv6相結合的話可以為IPv6實現DHCP能為IPv4所做的全部配置工作，但那又是另一回事，不在本文的討論范圍中。

操作原理

這種概念層面上的證明，我只在Windows 7系統(tǒng)的億恩科技主機上實踐過，但理論上應該適用于任何安裝并默認執(zhí)行IPv6以管理其網絡數據傳輸的操作系統(tǒng)。讓我們從一幅網絡目標示意圖開始思考：

這幅圖其實相當直觀，整個流程都是IPv4處理方式，邊界路由器所在執(zhí)行的也是常見的網址解析（簡稱NAT）及防火墻任務。對于這種方式，我們也可以假設，如果各種安全（服務器租用找：51033397）措施都是針對IPv4中間人攻擊，例如ARP欺騙，這類危害所部署的。

現在我們要做的是引入一個物理路由器，向目標網絡發(fā)送惡意接收請求。惡意接收請求具有兩個網絡端口--惡意信息所針對的只是IPv6端口，而網絡連接則只通過IPv4端口。我們的目的正是通過發(fā)送惡意接收請求，在IPv6所覆蓋的網絡下創(chuàng)建一個寄生的端口。這個端口可以由我們完全控制，具體情況如下圖所示：

惡意接收請求將向本地網絡發(fā)送路由通告，這將導致億恩科技主機為其創(chuàng)建IPv6路由功能所匹配的IP地址。它還配備了DHCPv6服務來為我們提供DNS億恩科技服務器信息，而這一切都在我們的控制之下（惡意的DNS億恩科技服務器如上圖所示）。我們還無法做到的是將IPv6所管理的網絡直接通過IPv6連接到互聯網--惡意接收請求只能通過目標計算機上的IPv4來接入互聯網。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]