ipv6协议引入的安全新问题浅析.pdf

信息通信技术12IPv6协议引入的安全新问题浅析摘 要 IPv6协议虽然在某些方面增强了安全性，但同时也引入了新的安全风险，因此网络安全威胁在IPv6时代依旧存在通过从IPv6地址、报文格式和相关协议等方面分析了IPv6可能带来的安全新问题，总结部分文献提出的防护措施，针对性的推荐了一些安全建议曾 睿 中国联合网络通信有限公司北京市分公司 北京 100038关键词 IPv6；网络安全；ICMPv6；NDP；PMTU；DHCPv6引言不少文献提到IPv6协议在安全性方面有所增强，但事物都具有两面性，尤其是新生事物，难免存在负面问题：IPv6定义了新的IP报文格式，其中包括多种扩展报头，是否会面临新的安全风险？IPv6定义了多种类型的IPv6地址，使用多播地址替代广播地址，由于部分多播地址为公开地址，是否会引发DoS/DDoS攻击？IPv6引入了新的ICMPv6协议、邻居发现协议、DHCPv6协议，是否为黑客提供了更多伪造数据包的机会？1 IPv6地址引入的风险在IPv6环境下，每个终端设备均可拥有一个全球单播地址，在全球范围内实现真正的端到端通信，同时也让终端设备和用户更容易暴露于互联网，大大增加了潜在安全风险。

虽然IPv6比IPv4的地址空间要多得多，使得网络攻击的“前奏”—— IP地址扫描变得非常费时费力，而近乎不可能但这仅限于远程攻击而言，即攻击目标与攻击者控制的终端不在同一本地子网中对于同一子网环境，攻击者能通过多种网络嗅探方法，非常容易地找到本子网中所有存活的主机对于本地主机扫描可以通过ping组播地址来实现，比如先ping一下FF02::1(链路本地所有IPv6节点多播组地址)，然后抓包查看返回的ICMPv6的echo reply报文的源地址，即可知道所有本地IPv6节点的地址通过试验发现获得的一般是链路本地地址，通过替换网络地址前缀即可得到所有主机的全球单播地址，即将链路本地地址前缀(FE80::/64)替换成该子网的全球单播地址前缀(与攻击者控制终端IP地址的全球单播地址前缀相同)，即可得到子网内每个主机的全球单播地址，便可实施远程攻击如果仅在本子网内发起攻击，可直接将被攻击主机的链路本地地址作为目的地址Ping方式嗅探试验的结果如图1所示图1中fe80::20d:60ff:fe3b:f7e2为攻击者控制主机的IPv6链路本地单播地址，当攻击者主机发出Echo request报文后，本子网范围内的所有主机都回复了Echo reply报文。

除此之外，还可以利用文献[1]中的其他多播地址达到嗅探的目的如果发送的不是Ping的ICMP报文，而是攻击报文的话，则所有的组播组内的主机或者路由器都会收到攻击报文，从而受到攻击；还可将被攻击主机的地址作为攻击包源地址、将FF02::1作为目的地址，实现众多主机同时回复数据包至被攻击主机，形成DDoS攻击研究与开发图1 ping链路本地多播地址后的抓包结果截图2009 0413因此在IPv6环境下必须对各类IPv6地址有效管理，特别是在IPv6组播地址和组播组管理上，应制定相应的安全措施比如可通过DHCPv6分配主机地址，另外采用MLD协议(组播侦听者发现协议，是IPv6的组播组管理协议，属于ICMPv6的子协议，协议机制与IGMP基本相同)的第二版[2](安全性比第一版[3]更强)2 IPv6报文格式引入的风险IPv6报文的报头可能包括两部分，一部分是基本报头(固定长度)，另一部分是扩展报头(可选且有多种扩展报头)黑客完全可以自行定制畸形(违背IPv6标准报文格式)或者特定格式的恶意数据包来攻击路由器和主机，可能出现的安全问题有：1) 大量畸形的IPv6数据包可能会极大地耗费网络节点的处理能力，从而造成DoS攻击；畸形数据包还可能导致针对网络节点的缓冲区溢出攻击(案例：2005年某月Juniper的路由器，在启用IPv6协议栈的情况下，收到特定格式的恶意数据包，导致路由器直接瘫痪)。

2) 通过错误设置扩展报头中的下一报头(Next Header)或者报头长度字段的值，使其错误地标识下一个扩展报头的类型和长度，这有可能导致网络设备处理故障3) 路由设备可能在忽略或者丢弃错误的数据包(基本/扩展报头内容错误、扩展报头顺序错误等)时，同时发送一个ICMPv6报文将错误信息通告数据源黑客可能利用此种机制故意制造大量错误报文，增加路由设备的处理负担，并且增加网络拥塞的可能性，形成DoS或者DDoS攻击4) 逐跳选项报头是一种特殊的扩展报头，因为所有转发含此扩展报头的数据包的中间路由设备，均会处理选项报头中的选项内容如果将攻击信息设置到选项内容中，那么此数据包转发路径上所有路由设备都将受此攻击，因此是一种具有放大效应的攻击方式5) 利用IPv6扩展报头中的路由选项报头的安全漏洞(路由选项报头中的中间节点地址列表规定了该数据包被转发的路径),可能出现外部攻击者故意构造带有路由报头的数据包,将DMZ区服务器作为中转，以绕过边界安全设备(如防火墙)直接对内部主机发起攻击其原理说明如图2所示[4]上述问题的安全防护措施为：1) 对IPv6数据包的格式进行预检查和预处理，丢弃对不符合安全格式要求(需要在实践中逐步完善检查规则)的数据包。

如出现安全问题及时安装补丁程序2) 路由设备可以采用静默的方式，丢弃部分错误数据包即有选择性的关闭某些ICMP错误报文的回送，以降低路由设备的负担3) 路由设备必须慎重处理带有逐跳选项报头的IPv6数据包建议在没有此种需求的协议和业务的网络环境中，中间路由设备应直接丢弃或者忽略此种数据包，以避免发生大范围的攻击情况4) 防火墙不仅仅检查IPv6数据包报头中的源和目的地址，而且检查数据包是否带有路由选项报头，如果有，则需要依次取出路由选项报头中的中间节点IP地址，形成多个“源－中间节点”或者“中间节点－中间节点”IPv6地址对，再考察每个地址对是否也符合防火墙中已部署的安全策略(一般是ACL的方式)，若符合条件才转发数据包，否则作为恶意数据包丢弃5) 主机应该直接丢弃处于转发状态的带有路由选项头的IPv6数据包，不应该参与数据包的路由转发(否则会造成内网安全隐患)为达到更高级别的安全，防火墙和路由器应该根据不同的应用场景采取严格的控制策略来处理带有路由选项报头的IPv6数据包尤其是当路由选项报头中出现多播地址时(RFC 2460不允许多播地址出现在类型0的路由选项头中、也不允许出现在携带类型0路由选项头的IPv6数据包的目的地址字段中)，Research Network Security; ICMPv6; NDP; PMTU; DHCPv6作者简历曾 睿2007年于北京邮电大学获得计算机科学与技术专业硕士学位,北京通信信息协会IPv6专业委员会会员,已公开发表论文4篇,参与完成发明专利申请5篇(2篇已公开),主要研究方向是IPv6网络、IP网络安全，现就职于中国联通北京分公司，从事移动网核心网的工程建设工作。