面對(duì)網(wǎng)絡(luò)的快速更新，我們也迎來了IPv6協(xié)議的天下，但是在這個(gè)過度敏感的時(shí)期，IPv6協(xié)議存在的問題也很多，這也是它到目前為止還不能普及的原因?，F(xiàn)在我們就來分析一下有關(guān)于IPv6協(xié)議容易受到的攻擊類型，看看它的抵抗力是如何的。

IPv6協(xié)議因其特有的脆弱性,易于受到多方面的攻擊:

1､利用DNS攻擊

新一代互聯(lián)網(wǎng)協(xié)議IPv6離不開DNS(域名系統(tǒng))｡IPv6網(wǎng)絡(luò)中的DNS服務(wù)器,是一個(gè)容易被黑客作為攻擊對(duì)象的關(guān)鍵主機(jī)｡由于IPv6的地址空間太大,很多IPv6的網(wǎng)絡(luò)都會(huì)使用動(dòng)態(tài)的DNS服務(wù)｡一旦攻擊者攻占了這臺(tái)動(dòng)態(tài)DNS服務(wù)器,就可以得到大量在線IPv6的主機(jī)地址｡因?yàn)镮Pv6的地址是128位,不好記憶｡網(wǎng)絡(luò)管理員可能會(huì)使用好記的IPv6地址,這些地址可能會(huì)被編輯成類似字典的東西,攻擊者很有可能根據(jù)這些特征猜到IPv6主機(jī)｡此外,攻擊者可以利用這些信息掌握網(wǎng)絡(luò)中其它網(wǎng)絡(luò)通信設(shè)備,并利用這些信息實(shí)施攻擊｡比如,攻擊者可以宣告錯(cuò)誤的網(wǎng)絡(luò)前綴､路由信息等,從而使網(wǎng)絡(luò)不能正常工作,或?qū)⒕W(wǎng)絡(luò)流量導(dǎo)向錯(cuò)誤的地方｡因此,網(wǎng)絡(luò)管理員在對(duì)主機(jī)賦予IPv6地址時(shí),應(yīng)該盡量對(duì)自己的IPv6地址進(jìn)行隨機(jī)化,使用不容易記憶的地址,能在一定程度上減少主機(jī)被黑客發(fā)現(xiàn)的機(jī)會(huì)｡對(duì)于關(guān)鍵主機(jī)的安全需要特別重視,否則,黑客就會(huì)著手攻擊整個(gè)網(wǎng)絡(luò)｡

2､鄰居發(fā)現(xiàn)協(xié)議NDP(NeighborDiscoveryProtocol)

鄰居發(fā)現(xiàn)協(xié)議ND(NeighborDiscoveryProtocol)是IPv6協(xié)議一個(gè)重要的組成部分,它實(shí)現(xiàn)了路由器和前綴發(fā)現(xiàn)､地址解析､下一跳地址確定､重定向､鄰居不可達(dá)檢測(cè)､重復(fù)地址檢測(cè)等功能｡因此,攻擊者往往利用它來發(fā)送錯(cuò)誤的路由器宣告､錯(cuò)誤的重定向消息等,讓IP數(shù)據(jù)流向不確定的方向,進(jìn)而可以達(dá)到拒絕服務(wù)､攔截和修改數(shù)據(jù)的目的｡

鄰居發(fā)現(xiàn)協(xié)議通過規(guī)定跳限制域最大域255來防止鏈路外的攻擊｡但對(duì)鏈路內(nèi)攻擊卻無法阻止,因?yàn)閮?nèi)攻擊者可以利用IPv6協(xié)議無狀態(tài)地址自動(dòng)配置,很方便地接入同一鏈路進(jìn)行攻擊｡如下圖所示:如果甲想要知道乙的MAC地址,就要發(fā)送NS(NeighborSolication)給多有的節(jié)點(diǎn),攻擊者接收到此請(qǐng)求,就會(huì)發(fā)送NA響應(yīng)甲,即可達(dá)到中間人攻擊｡

IETF在2002年成立了安全鄰居發(fā)現(xiàn)協(xié)議工作組SEND(SecureNeighborDiscovery)以來,研究和解決鄰居發(fā)現(xiàn)協(xié)議中的安全問題,并通過了RFC3971安全鄰居發(fā)現(xiàn)協(xié)議SEND｡

3､廣播放大攻擊(Smurf)

Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“Smurf"來命名的,這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法,使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng),引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)服務(wù)｡廣播放大攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包,淹沒受害主機(jī),最終導(dǎo)致該網(wǎng)絡(luò)所有主機(jī)都對(duì)ICMP應(yīng)答請(qǐng)求做出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞｡還有更嚴(yán)重的問題是,Smurf將源地址改為第三方的受害者,最終導(dǎo)致第三方崩潰｡攻擊者為了達(dá)到目的,通常會(huì)偽造大量的echo請(qǐng)求包給目標(biāo)A和B,這些包的源IPv6協(xié)議地址不是攻擊者本身的地址,而是受害者某個(gè)全球單播地址,目標(biāo)收到echo請(qǐng)求后都會(huì)將echo響應(yīng)發(fā)往受害者,這樣的反射流將會(huì)大量消耗受害者或者受害者所在網(wǎng)絡(luò)的帶寬和處理資源｡如下圖所示:

RFC2463規(guī)定不會(huì)對(duì)組播或鏈路廣播地址回復(fù)｡為了防止廣播放大攻擊,就要對(duì)IPv6組播地址進(jìn)行ingress過濾(RFC2267,RFC2827)和升級(jí)系統(tǒng)支持RFC2463｡

4､數(shù)據(jù)包頭更改和分片技術(shù)

攻擊者可以增加無限的IPv6擴(kuò)展包頭,來探測(cè)和攻擊分片技術(shù)｡當(dāng)需要傳輸?shù)腎P數(shù)據(jù)包超過鏈路所能支持的最大傳輸單元(mtu)時(shí),一個(gè)原始IP數(shù)據(jù)包將被拆分成多個(gè)分片包;當(dāng)屬于同一個(gè)原始IP數(shù)據(jù)包的分片包到達(dá)目的節(jié)點(diǎn)之后,由目的節(jié)點(diǎn)完成分片包的重組｡由于IPv6比較特殊,中間的網(wǎng)絡(luò)設(shè)備不參與分片和組裝,IPv6的分片操作只能在源節(jié)點(diǎn)進(jìn)行｡所以,為了減少受到攻擊的幾率,我們應(yīng)該對(duì)網(wǎng)絡(luò)設(shè)備的分片､不需要的擴(kuò)展包頭､小于128字節(jié)的數(shù)據(jù)包等進(jìn)行提前過濾｡

5､蠕蟲和病毒

蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,在傳播性､潛伏性､不可預(yù)見性､針對(duì)性､隱蔽性､破壞性等方面具有病毒的一些共性,同時(shí)具有文件寄生(有的只存在于內(nèi)存中)､對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等一些個(gè)性特征｡蠕蟲病毒以其快速､多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害｡網(wǎng)絡(luò)的發(fā)展使蠕蟲可以在很短時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò),造成網(wǎng)絡(luò)癱瘓,可見其破壞性不是一般病毒所能與之相提并論的,這造就了一個(gè)談毒色變的的網(wǎng)絡(luò)世界!傳統(tǒng)的蠕蟲和病毒在IPv6中沒有太大變化,但由于IPv6地址空間巨大,難以逐一掃描,蠕蟲和病毒的傳播會(huì)比較困難,針對(duì)TCP/IP(e.g.Slammertypes)不再有效｡但是E-MailWorms將繼續(xù)存在,而MessengerandP2PWorms也將來臨,因此,防范病毒不但要從管理上著力,還要從技術(shù)措施上著手,安裝蠕蟲和病毒檢測(cè)系統(tǒng)是必不可少的｡

凡涉及網(wǎng)絡(luò)上信息的保密性､可用性､真實(shí)性等,都是網(wǎng)絡(luò)安全研究的領(lǐng)域｡盡管IPv6協(xié)議在網(wǎng)絡(luò)安全上做了多項(xiàng)改進(jìn),但是其引入也帶來新的安全問題｡目前,多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層,因此,保護(hù)網(wǎng)絡(luò)信息安全,除了技術(shù)改進(jìn),還需配合認(rèn)證體系､加密體系､密鑰分發(fā)體系､可信計(jì)算體系等多種手段｡在完善IPv6網(wǎng)絡(luò)的安全問題上,我們還有很長(zhǎng)的路要走｡

隨著技術(shù)的不斷進(jìn)步,電臺(tái)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)也將逐步引入IPv6進(jìn)行試驗(yàn)｡在時(shí)機(jī)成熟的條件下,將會(huì)考慮在部分網(wǎng)絡(luò)中試運(yùn)行IPv6｡如果在IPv6網(wǎng)絡(luò)廣播安全性及性能上有較大提高,就可能大范圍鋪開新的IP協(xié)議的使用｡這不但是技術(shù)上的一次突破,也將在安全性上得到較好的完善,從而保證網(wǎng)絡(luò)廣播系統(tǒng)的各種網(wǎng)絡(luò)穩(wěn)定安全運(yùn)行｡