你的IPv6地址组件是否易受攻击?(上)

日期: 2015-02-15 作者:Fernando Gont翻译:邹铮 来源:TechTarget中国 英文

本文中专家Fernando Gont介绍了如何检测你的IPv6地址组件是否易受到攻击。 IPv6“友邻发现”(ND)是IPv6协议栈的核心部分,它被用于IPv6地址解析和IPv6无状态地址自动配置等。在本文中,探讨了IPv6的不同组件将如何受到基于ND的攻击。 在部署IPv6无状态地址自动配置(SLAAC)时都需要IPv6节点。

在SLAAC中,本地路由器将IPv6网络配置信息提供给本地主机,而本地主机利用这一信息来建立起IPv6连接,这包括IPv6地址的配置等。与动态主机配置协议版本6不同,这里没有地址“租用”。相反地,主机会自己自动配置(或“租用”)IPv6地址。SLAAC采用路由器请求和路……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

本文中专家Fernando Gont介绍了如何检测你的IPv6地址组件是否易受到攻击。

IPv6“友邻发现”(ND)是IPv6协议栈的核心部分,它被用于IPv6地址解析和IPv6无状态地址自动配置等。在本文中,探讨了IPv6的不同组件将如何受到基于ND的攻击。

在部署IPv6无状态地址自动配置(SLAAC)时都需要IPv6节点。在SLAAC中,本地路由器将IPv6网络配置信息提供给本地主机,而本地主机利用这一信息来建立起IPv6连接,这包括IPv6地址的配置等。与动态主机配置协议版本6不同,这里没有地址“租用”。相反地,主机会自己自动配置(或“租用”)IPv6地址。SLAAC采用路由器请求和路由器通告消息来请求和传达IPv6网络及IPv6地址管理配置信息。自动配置过程的运作大致如下:

1. 主机配置链路本地地址;
2. 主机检查地址是否唯一,即主机对(暂时)地址执行重复地址检测(DAD);
3. 主机发送路由器请求消息;
4. 在接收路由器通告(RA)后,主机为接收的路由器通告中的每个前缀配置一个或多个暂时IPv6地址;
5. 主机检查地址是否唯一,即对暂时地址执行DAD;
6. 如果地址是唯一的,它通常会成为“首选”地址,可以积极用于网络通信。

在本质上,这意味着一个节点首先配置一个链路本地IPv6地址,然后基于RA消息中的前缀信息配置一个或多个全局IPv6地址。RA消息可能获取其他网络配置信息,例如到特定网络的IPv6路径、递归域名系统服务器的IPv6地址以及采用的最大传输单元(即最大数据包大小)。

有些IPv6部署未能对RA消息中的信息执行验证检查,或者未能执行对相应数据结构的大小限制。

例如,有些部署会对RA消息中的每个前缀配置一个地址,而不会对它们配置的IPv6地址的最大数量进行任何限制。因此,攻击者可以对具有多个RA消息(包含多个自动配置前缀)的受害者采用洪水式攻击,受害者将自动配置很多IPv6地址,最终将会崩溃或停止响应。

为了帮助了解这种攻击的基础,IT管理员可以利用SI6 Networks的IPv6工具包中的ra6工具来执行这种攻击,如下:
ra6 -i eth0 --flood-prefixes 10 -d ff02::1 -l -z 1 -v

这个命令将会向所有本地节点发送一个RA消息,每秒包含10个(随机)前缀。这将导致每个节点为每个随机前缀配置一个IPv6地址。

在Unix系统中,ifconfig命令可以部署在任何受害者的节点来检查已经自动配置的IPv6地址。

图1 ifconfig命令可以用来探测自动配置的地址

当然,在现实世界攻击中,RA消息将以更高的速率发送,例如每秒至少100。然而,由于这种攻击可能让所有本地节点崩溃,本例中采用了更保守的数据包速率来执行攻击。

请继续阅读《你的IPv6地址组件是否易受攻击?(下)》

作者

Fernando Gont
Fernando Gont

来自SI6 Networks的互联网安全和工程顾问

翻译

邹铮
邹铮

相关推荐