【51CTO.com 獨(dú)家譯稿】默認(rèn)設(shè)置下的IPv6漏洞導(dǎo)致Windows系統(tǒng)計(jì)算機(jī)遭受入侵

如果大家看過(guò)太空堡壘卡拉狄加這部美劇，回想一下吧，它清楚地告訴我們，“六”這個(gè)數(shù)字可不是省油的燈。看起來(lái)很美，但在大家忙忙碌碌、按部就班地工作時(shí)，它卻悄悄將身形隱藏在其目標(biāo)之下。沒(méi)人意識(shí)到出了什么狀況，直到后果已經(jīng)嚴(yán)重到無(wú)法挽回。

互聯(lián)網(wǎng)上也有類似的六號(hào)現(xiàn)象，IPv6（新一代的IPng-IP）。眼下最新的操作系統(tǒng)通過(guò)它來(lái)進(jìn)行數(shù)據(jù)傳輸，一般情況下它都可以算是默認(rèn)配置了，但普及速度相對(duì)來(lái)說(shuō)仍然非常緩慢。原因種種，不勝枚舉，目前的情況是它尚處于休眠期，等待著機(jī)會(huì)一鳴驚人，進(jìn)而一舉推翻IPv4并徹底統(tǒng)治網(wǎng)絡(luò)。

本文介紹的是一項(xiàng)關(guān)于IPv6概念層面的有趣應(yīng)用。我會(huì)在接下來(lái)的內(nèi)容中向大家展示，一個(gè)攻擊者如何對(duì)IPv6覆蓋之下的純IPv4網(wǎng)絡(luò)進(jìn)行攻擊，而借助這一點(diǎn)，中間人攻擊（簡(jiǎn)稱MITM）將能夠順利對(duì)IPv4的網(wǎng)絡(luò)數(shù)據(jù)流展開(kāi)侵襲。

這種新的無(wú)狀態(tài)自動(dòng)地址分配（簡(jiǎn)稱SLAAC）攻擊，如果大家接受這種稱呼，正是根據(jù)其產(chǎn)生過(guò)程而得名。

IPv6背景知識(shí)介紹

除了增加IP地址數(shù)量之外，IPv6在很多關(guān)鍵性的處理領(lǐng)域與IPv4可以說(shuō)采用了完全不同的機(jī)制。本文并不打算對(duì)IPv6進(jìn)行過(guò)多的探討，但我會(huì)把與網(wǎng)絡(luò)攻擊有關(guān)的主要特點(diǎn)向大家做出說(shuō)明。

首先，IPv6沒(méi)有使用ARP--而代替其功能的是一組稱為相鄰計(jì)算機(jī)發(fā)現(xiàn)協(xié)議（neighbour discovery protocols）的工具，當(dāng)我們執(zhí)行ICMPv6時(shí)，它允許主機(jī)發(fā)現(xiàn)本地連接中的其它物理地址。此外，具備無(wú)線功能的路由器也可以通過(guò)本地連接上的路由通告（Router Advertisement，簡(jiǎn)稱RA）中的信息來(lái)探知其它計(jì)算機(jī)，借以實(shí)現(xiàn)同樣的功能。

當(dāng)一臺(tái)應(yīng)用IPv6的主機(jī)接收到路由通告時(shí)，它可以通過(guò)一系列處理為其創(chuàng)建一個(gè)進(jìn)程，并為其分配一個(gè)有效的IPv6路由地址，這一過(guò)程即被稱為"無(wú)狀態(tài)地址自動(dòng)配置（簡(jiǎn)稱SLAAC）"。主機(jī)將根據(jù)路由通告所使用的源地址為其設(shè)置默認(rèn)網(wǎng)關(guān)。

通過(guò)對(duì)這種自動(dòng)的主機(jī)地址分配機(jī)制的分析，我們可以看到，SLAAC的執(zhí)行原理更像是IPv4中的DHCP的處理方式。然而，單單SLAAC本身的話，是無(wú)法為接入的主機(jī)提供所有必要的配置參數(shù)信息（例如DNS服務(wù)器等詳細(xì)內(nèi)容）的，DHCPv6仍需要借助其它工具的幫助，才能正確填寫(xiě)所有的匹配資料。事實(shí)證明，它所需要的數(shù)據(jù)可以由路由通告中的信息提供，SLAAC和DHCPv6相結(jié)合的話可以為IPv6實(shí)現(xiàn)DHCP能為IPv4所做的全部配置工作，但那又是另一回事，不在本文的討論范圍中。

操作原理

這種概念層面上的證明，我只在Windows 7系統(tǒng)的主機(jī)上實(shí)踐過(guò)，但理論上應(yīng)該適用于任何安裝并默認(rèn)執(zhí)行IPv6以管理其網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)牟僮飨到y(tǒng)。讓我們從一幅網(wǎng)絡(luò)目標(biāo)示意圖開(kāi)始思考：

這幅圖其實(shí)相當(dāng)直觀，整個(gè)流程都是IPv4處理方式，邊界路由器所在執(zhí)行的也是常見(jiàn)的網(wǎng)址解析（簡(jiǎn)稱NAT）及防火墻任務(wù)。對(duì)于這種方式，我們也可以假設(shè)，如果各種安全措施都是針對(duì)IPv4中間人攻擊，例如ARP欺騙，這類危害所部署的。

現(xiàn)在我們要做的是引入一個(gè)物理路由器，向目標(biāo)網(wǎng)絡(luò)發(fā)送惡意接收請(qǐng)求。惡意接收請(qǐng)求具有兩個(gè)網(wǎng)絡(luò)端口--惡意信息所針對(duì)的只是IPv6端口，而網(wǎng)絡(luò)連接則只通過(guò)IPv4端口。我們的目的正是通過(guò)發(fā)送惡意接收請(qǐng)求，在IPv6所覆蓋的網(wǎng)絡(luò)下創(chuàng)建一個(gè)寄生的端口。這個(gè)端口可以由我們完全控制，具體情況如下圖所示：

惡意接收請(qǐng)求將向本地網(wǎng)絡(luò)發(fā)送路由通告，這將導(dǎo)致主機(jī)為其創(chuàng)建IPv6路由功能所匹配的IP地址。它還配備了DHCPv6服務(wù)來(lái)為我們提供DNS服務(wù)器信息，而這一切都在我們的控制之下（惡意的DNS服務(wù)器如上圖所示）。我們還無(wú)法做到的是將IPv6所管理的網(wǎng)絡(luò)直接通過(guò)IPv6連接到互聯(lián)網(wǎng)--惡意接收請(qǐng)求只能通過(guò)目標(biāo)計(jì)算機(jī)上的IPv4來(lái)接入互聯(lián)網(wǎng)。#p#

所謂Special Sauce

通過(guò)引入惡意接收請(qǐng)求所造成的影響目前來(lái)看還算是良性的。感謝惡意接收請(qǐng)求所提供的路由通告信息，所有目標(biāo)主機(jī)都在其IPv4的可經(jīng)路由發(fā)送的地址之外，同時(shí)提供了IPv6的地址，并且包含DNS服務(wù)器信息。但這些還遠(yuǎn)遠(yuǎn)不夠，要進(jìn)行實(shí)用性操作，我們還需要在攻擊中加入其它內(nèi)容，以使其取得更大的進(jìn)展。

這種稱為"Special Sauce（特別醬料）"的工具屬于附帶協(xié)議轉(zhuǎn)換器的網(wǎng)絡(luò)地址轉(zhuǎn)換器（以幫助IPv6與IPv4節(jié)點(diǎn)間互相連通，簡(jiǎn)稱NAT-PT）。NAT-PT方案已經(jīng)在實(shí)際應(yīng)用中被攻擊得千瘡百孔、不成人形。它是由互聯(lián)網(wǎng)工程任務(wù)組（簡(jiǎn)稱IETF）所研發(fā)，用現(xiàn)在的眼光來(lái)看，它已經(jīng)被徹底丟進(jìn)了歷史的垃圾桶。但無(wú)論如何，盡管它既過(guò)時(shí)又亂七八糟，但并不代表它毫無(wú)可取之處。

NAT-PT是眾多IPv4到IPv6過(guò)渡機(jī)制中的一款，用來(lái)解決從舊有處理方式到新型方案的過(guò)渡問(wèn)題。它的作用是將應(yīng)用IPv6的主機(jī)與應(yīng)用IPv4的主機(jī)之間的數(shù)據(jù)交互進(jìn)行處理，即將IPv6地址轉(zhuǎn)換為IPv4形式，反之亦然。單擊此處可以查看其運(yùn)作原理的書(shū)面說(shuō)明。這正是NAT-PT的功能，允許我們通過(guò)攻擊IPv6端口來(lái)將惡意接收請(qǐng)求傳輸?shù)接靡赃B接互聯(lián)網(wǎng)的IPv4端口上。

要使用NAT-PT，我們首先需要定義一個(gè)非鏈接的/96前綴；它可以是任何通過(guò)經(jīng)由路由器發(fā)出的，你樂(lè)于采用的前綴形式。任何被NAT-PT所發(fā)現(xiàn)的目標(biāo)地址，其所匹配的前綴名稱若是可以由IPv6的地址所解析，即會(huì)根據(jù)其末尾的三十二位字節(jié)內(nèi)容轉(zhuǎn)化為相應(yīng)的IPv4地址。

舉例說(shuō)明，我可能會(huì)告知自己的NAT-PT，我所選用的前綴名為2001:6f8:608:ace::/96。我們通過(guò)DHCPv6為IPv6所提供的DNS服務(wù)器地址是2001:6f8:608:ace::c0a8:5802--這個(gè)地址與指定的前綴是完全匹配的，因此如果NAT-PT根據(jù)其最后三十二位字節(jié)檢索到了數(shù)據(jù)傳輸指向（即c0a8:5802），相應(yīng)內(nèi)容將會(huì)被提取并發(fā)送到真正的DNS服務(wù)器的IPv4地址192.168.88.2并進(jìn)行轉(zhuǎn)換。

以Special Sauce為起點(diǎn)進(jìn)一步嘗試

我們離成功只有一步之遙。有NAT-PT保駕護(hù)航，惡意接收請(qǐng)求現(xiàn)在已經(jīng)搭建了一道由IPv6目標(biāo)端口到IPv4互聯(lián)網(wǎng)端口的橋梁。如果我們能夠使通過(guò)IPv6的數(shù)據(jù)流同樣通過(guò)惡意請(qǐng)求（而不是通過(guò)合法途徑發(fā)送到IPv4的邊界路由器），我們就能夠享受自己的SLAAC攻擊所帶來(lái)的樂(lè)趣了。事實(shí)證明，這一步驟實(shí)行起來(lái)其實(shí)也非常容易。 

感謝惡意接收請(qǐng)求，我們的目標(biāo)端口同時(shí)具備IPv4及IPv6地址；它們是"重疊的"，即同時(shí)存在的。只要可能，具備這種重疊特性的主機(jī)會(huì)更傾向于使用本地的IPv6地址，因此可以說(shuō)我們的計(jì)劃已經(jīng)成功了一半。而在最后的嘗試中，指引我們走完剩下的路途并最終到達(dá)終點(diǎn)的伙伴是DNS。

具備重疊特性的目標(biāo)端口既有一個(gè)IPv4的DNS服務(wù)器（由DHCP服務(wù)器合法提供）又有一個(gè)IPv6的DNS服務(wù)器（由惡意接收請(qǐng)求通過(guò)DHCPv6服務(wù)器提供）。當(dāng)目標(biāo)端口中的某一個(gè)試圖查詢谷歌網(wǎng)站時(shí)，它會(huì)向其IPv6的DNS服務(wù)器發(fā)出一個(gè)DNS查詢指令，即A（IPv4）以及AAAA（IPv6）。如果IPv6的DNS服務(wù)器能夠足夠迅速地返回查詢結(jié)果，那么目標(biāo)端口將會(huì)優(yōu)先采納IPv6所提供的地址，而不是IPv4。而我們所要做的，正是利用這種機(jī)制，將來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)流轉(zhuǎn)移到惡意接收請(qǐng)求那邊。而實(shí)現(xiàn)這一計(jì)劃的前提是，我們IPv6的DNS服務(wù)器響應(yīng)速度一定要快--否則過(guò)長(zhǎng)的響應(yīng)返回時(shí)間會(huì)令目標(biāo)端口轉(zhuǎn)而使用IPv4的DNS服務(wù)器作為替代，這樣一來(lái)讓數(shù)據(jù)流通過(guò)惡意接收請(qǐng)求的計(jì)劃也就破產(chǎn)了。

但我們要如何才能確保任何指定的DNS查詢都能通過(guò)IPv6地址加以響應(yīng)？

NAT-PT自有一套妙招，該方案通常包含一組應(yīng)用層面的網(wǎng)關(guān)（簡(jiǎn)稱ALGs），它的作用是在應(yīng)用層面對(duì)IP地址的通信協(xié)議進(jìn)行檢查。DNS即是一個(gè)協(xié)議內(nèi)容基于ALG的實(shí)例，同文件傳輸協(xié)議（簡(jiǎn)稱FTP）一樣。通過(guò)下面的內(nèi)容，讓我們一起來(lái)看看IPv6如何與NAT-PT協(xié)同合作，而DNS ALG又是如何玩弄它的欺騙把戲的：

#p#

需要注意的事項(xiàng)：

◆目標(biāo)端口DNS服務(wù)器的地址必須與惡意接收請(qǐng)求上的NAT-PT前綴名稱相匹配，也就是說(shuō)最后三十二位字節(jié)的內(nèi)容必須包含DNS服務(wù)器的IPv4地址。

◆NAT-PT能夠?qū)Pv6及IPv4分別作為數(shù)據(jù)源及目的地進(jìn)行轉(zhuǎn)換，且此轉(zhuǎn)換過(guò)程可逆。

◆DNS ALG會(huì)將目標(biāo)端口的IPv6 地址的AAAA查詢轉(zhuǎn)換為IPv4地址的A查詢，此過(guò)程同樣可逆。

◆DNS ALG也會(huì)將IPv4地址的響應(yīng)轉(zhuǎn)換為IPv6地址類型，以與NAT-PT的前綴名稱相匹配。

而目前關(guān)于目標(biāo)端口，www.google.com 通過(guò)IPv6段位2001:6f8:608:ace::d155:8f63已經(jīng)可以連接了。這樣一來(lái)IPv4就完全無(wú)法發(fā)揮作用了，而目標(biāo)端口將以如下圖所示的方式連接到谷歌網(wǎng)站：

這樣一來(lái)，惡意接收請(qǐng)求如今已經(jīng)取得目標(biāo)端口與谷歌網(wǎng)站之間的中間人身份。

讓我們總結(jié)一下迄今為止所做的工作：

◆我們沒(méi)有對(duì)IPv4網(wǎng)絡(luò)機(jī)制的目標(biāo)端口進(jìn)行攻擊或執(zhí)行控制，而這正是要對(duì)通過(guò)IPv4端口的數(shù)據(jù)流實(shí)施中間人攻擊的前提。我們甚至不需要從DHCP服務(wù)器處獲取IPv4地址。

◆我們沒(méi)有對(duì)現(xiàn)有的IPv6網(wǎng)絡(luò)進(jìn)行攻擊，因?yàn)樵谖覀冞M(jìn)行本次測(cè)試之前，目標(biāo)計(jì)算機(jī)是沒(méi)有IPv6地址的。

◆我們沒(méi)有對(duì)任何目標(biāo)主機(jī)進(jìn)行攻擊（至少目前來(lái)說(shuō)還沒(méi)有）。每臺(tái)計(jì)算機(jī)都是根據(jù)其自身設(shè)定來(lái)優(yōu)先選擇IPv6而非IPv4的。

◆我們確實(shí)設(shè)法消除了目標(biāo)主機(jī)使用IPv4機(jī)制的潛在可能性，使其在處理網(wǎng)絡(luò)數(shù)據(jù)流時(shí)只使用IPv6機(jī)制。

攻擊活動(dòng)同樣有充分的理由被偷偷執(zhí)行，因?yàn)椋?/p>

◆我們正在設(shè)定一條新的互聯(lián)網(wǎng)訪問(wèn)通路。任何與IPv4網(wǎng)絡(luò)邊界協(xié)議相沖突或受監(jiān)控的行為都會(huì)失效，并進(jìn)而導(dǎo)致攻擊失敗。

◆這種可能性依然存在，即目標(biāo)端口的安全系統(tǒng)（例如主機(jī)防火墻、網(wǎng)絡(luò)主入侵預(yù)防系統(tǒng)（簡(jiǎn)稱HIPS）、安全信息與事件管理（簡(jiǎn)稱SIEM）工具箱等等）會(huì)無(wú)法處理IPv6下的數(shù)據(jù)流。IPv6對(duì)這類安全保障體系的支持遠(yuǎn)不及IPv4。

◆因?yàn)槟繕?biāo)端口"沒(méi)有用到IPv6"，因此利用IPv6的特性進(jìn)行攻擊也就成了紙上談兵了。

◆如果上述情況真的出現(xiàn)了，有一種辦法可以幫我們處理，并且既不需要專業(yè)培訓(xùn)、也不要求太多的IPv6使用經(jīng)驗(yàn)。

惡意接收請(qǐng)求的建立

惡意接收請(qǐng)求的執(zhí)行并不復(fù)雜。必需的工具包只有三個(gè)，即radvd，dhcp6s以及naptd。要啟動(dòng)及運(yùn)行這些工具，我們需要建立自己的網(wǎng)絡(luò)端口。在下面的這個(gè)例子中，eth0是面向互聯(lián)網(wǎng)的IPv4端口，而我將假設(shè)它可以從DHCP服務(wù)器處獲得一個(gè)合法的地址。eth1則是使用IPv6的端口，具體配置方案如下：

#p#

我們還需要確保IPv6的轉(zhuǎn)發(fā)功能處于啟用狀態(tài)：

好的，現(xiàn)在我們就可以安裝上面提到的那些IPv6小工具啦。

radvd

這個(gè)工具包負(fù)責(zé)向我們的目標(biāo)主機(jī)發(fā)送路由通告，點(diǎn)擊這里獲取。配置文件可謂相當(dāng)簡(jiǎn)單：

最重要的部分是前綴連接以及AdvOtherConfigFlag的設(shè)置。將這一項(xiàng)設(shè)為"開(kāi)啟"狀態(tài)，會(huì)向路由通告中發(fā)送O標(biāo)記。這個(gè)O標(biāo)記的作用是通知客戶端，使其盡量與DHCPv6相連通，以完成下一步的設(shè)定。根據(jù)說(shuō)明文檔的提示啟動(dòng)radvd，然后轉(zhuǎn)到…

dhcp6s

我從這里下載到了WIDE DHCPv6。我們打算通過(guò)DHCPv6所實(shí)現(xiàn)的操作內(nèi)容其實(shí)很少，因此配置文件也就只有如下所示的短短兩行：

設(shè)置完成，運(yùn)行工具，然后轉(zhuǎn)到…

naptd

點(diǎn)擊這里獲取該工具。根據(jù)其自帶的詳盡說(shuō)明文本，我們只需要如下圖所示來(lái)配置iptables以及ip6tables：

接下來(lái)我們運(yùn)行 napt-confmaker。我依照默認(rèn)的答案認(rèn)真回答了幾乎所有的問(wèn)題，除了端口選擇以及NAT-PT前綴名稱。

到這里，準(zhǔn)備工作已經(jīng)基本完成，一旦naptd開(kāi)始運(yùn)作，我們所精心布置的陷阱就要發(fā)揮作用了。

攻擊

下圖向我們展示了在被惡意接收請(qǐng)求寄生的IPv6端口連通互聯(lián)網(wǎng)之前，目標(biāo)主機(jī)的ip配置文件的輸出結(jié)果：

#p#

本地連接狀態(tài)中所顯示出的IPv6地址，表明主機(jī)目前已經(jīng)在采用IPv6機(jī)制了。一旦我們連接到惡意接收請(qǐng)求所在的eth1端口，目標(biāo)主機(jī)就會(huì)收到路由通告，并從中為自身獲取一個(gè)IPv6地址，然后是向DHCPv6發(fā)送查詢請(qǐng)求以進(jìn)一步進(jìn)行配置。而幾乎在同一時(shí)間，ip配置文件的輸出結(jié)果已經(jīng)改變成如下圖所示：

這下可憐的目標(biāo)主機(jī)徹底完蛋了：

◆它具備自己的可經(jīng)路由發(fā)送的IPv6地址

◆它具備IPv6的默認(rèn)網(wǎng)關(guān)，而該網(wǎng)關(guān)實(shí)際上正是惡意接收連接eth1端口的本地連接地址，而并非我們之前手動(dòng)為其分配的地址。

◆它具備一個(gè)與IPv6的DNS服務(wù)器地址相匹配的NAT-PT前綴名（由naptd所使用），而這正是我們的惡意DNS服務(wù)器所要進(jìn)行的IPv4地址類型轉(zhuǎn)換的關(guān)鍵。

我們已經(jīng)成功使目標(biāo)主機(jī)優(yōu)先采用IPv6所接入的網(wǎng)絡(luò)數(shù)據(jù)而不是IPv4。在實(shí)現(xiàn)這一目標(biāo)的過(guò)程中，我們沒(méi)有用到任何口令或采取任何黑客及暴力手段。我們所要做的只是引導(dǎo)，將目標(biāo)一步步指向預(yù)期的方向。

運(yùn)行動(dòng)態(tài)

當(dāng)目標(biāo)主機(jī)瀏覽谷歌網(wǎng)站時(shí)，惡意接收請(qǐng)求的IPv6 eth1端口將接收到如下信息 (下載地址單擊此處)：

在這里我們可以看到通過(guò)IPv6發(fā)往惡意DNS服務(wù)器的DNS查詢指令；IPv4的A型及IPv6的AAAA型查詢指令都被發(fā)出了，而響應(yīng)也分別返回。注意，返回的IPv6地址能夠與我們的NAT-PT前綴相匹配，表明其中包含一個(gè)嵌入的IPv4地址。而目標(biāo)主機(jī)一定會(huì)選擇IPv6返回的信息而非IPv4；惡意接收請(qǐng)求在這里則扮演了中間攻擊者的角色。#p#

惡意接收請(qǐng)求在IPv4的eth0端口上所進(jìn)行的相同轉(zhuǎn)換過(guò)程則如下圖所示(下載地址單擊此處)：

請(qǐng)注意，所有的IP地址都是IPv4形式的，而所有的DNS查詢指令都以A的形式加以記錄，而非A與AAAA的組合形式，這就是eth1端口所反饋的情況。

進(jìn)一步發(fā)動(dòng)攻勢(shì)

要發(fā)動(dòng)進(jìn)一步的攻勢(shì)，我們有以下幾種選擇：

◆鑒于這一攻擊需要進(jìn)行硬件植入，我們采取這套方案的可能性非常非常小，但具體內(nèi)容仍然值得一提。Gumstix是一款很理想的執(zhí)行平臺(tái)；它體積小巧，運(yùn)行于Linux環(huán)境下，并且在硬件支持方面有許多備選方案。一款OveroEarth，一款Tobi加上一塊USB型的3G網(wǎng)卡以及以太網(wǎng)接口，這個(gè)精致的硬件平臺(tái)組合就能為我們提供與目標(biāo)網(wǎng)絡(luò)連接的全部前提條件。我之前已經(jīng)用過(guò)Gumstix；一旦大家將這套運(yùn)行環(huán)境建立起來(lái)，廣大的網(wǎng)絡(luò)世界可謂盡在掌握。

◆由于惡意DNS服務(wù)器是由我們控制的，因此我們可以通過(guò)設(shè)置使其返回任何指定的IP地址，正如前面對(duì)谷歌網(wǎng)站所做的一樣。通過(guò)這種手段，我們能夠制造許多釣魚(yú)的機(jī)會(huì)。

◆就目前的狀態(tài)看，惡意接收請(qǐng)求會(huì)以中間人攻擊的形式對(duì)全部DNS查詢指令的返回網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行侵襲，這還不夠精確。如果我們能夠讓惡意DNS有選擇性地只對(duì)某些網(wǎng)站返回地址，那么攻擊的效果就會(huì)好得多了。這種想法可以通過(guò)一種協(xié)議來(lái)實(shí)現(xiàn)，即我們使惡意DNS服務(wù)器忽略掉那些我們不感興趣的DNS查詢指令，這樣被忽略的目標(biāo)端口信息會(huì)轉(zhuǎn)接入其IPv4服務(wù)端，而該過(guò)程中的網(wǎng)絡(luò)數(shù)據(jù)也是以正常路徑進(jìn)行傳輸?shù)摹?/p>

◆由于我們扮演的是中間攻擊者的角色，因此我們絕對(duì)有機(jī)會(huì)侵入客戶端與服務(wù)器之間的往來(lái)數(shù)據(jù)流。具體方法是，我們通過(guò)將新的https://鏈接更改為過(guò)時(shí)的http://鏈接等形式來(lái)向網(wǎng)頁(yè)應(yīng)用框架（即iframes）注入惡意信息。

◆當(dāng)然，上述只是一些我想到的辦法。無(wú)限的拓展性現(xiàn)在就把握在大家手中，想怎么做就看你的啦。

如何抵御惡意接收請(qǐng)求

這種攻擊很可能出現(xiàn)，因?yàn)槲覀兡軌驅(qū)阂庑畔⒆⑷氲綉?yīng)用IPv6的主機(jī)的路由通告中——這類攻擊與其它類似的攻擊之間的主要區(qū)別在于，我們不需要試圖改變現(xiàn)有的IPv6網(wǎng)絡(luò)；我們所要做的只是建立一條新的合法傳輸路線。不過(guò)，我們的惡意路由通告是攻擊得以成功展開(kāi)的關(guān)鍵。一旦傳輸路線被封堵，這類攻擊將無(wú)法實(shí)現(xiàn)。

在大部分情況下，惡意路由通告最多只能算是一種"侵犯"行為，基本上跟開(kāi)啟Windows中的網(wǎng)絡(luò)連接共享功能所造成的后果差不多。然而，對(duì)于IETF組織來(lái)說(shuō)，這種情形已經(jīng)相當(dāng)嚴(yán)重了，因此他們發(fā)布了單擊此處及此處進(jìn)行查看。

如果RFC6104文件中的內(nèi)容無(wú)法使我們成功阻止攻擊的發(fā)生，也許將它檢測(cè)定位也可以算是比較積極的備選應(yīng)對(duì)方案。NDPMon正是這么一款相當(dāng)于IPv6中的ArpWatch的工具，其設(shè)計(jì)目的在于幫助我們偵測(cè)來(lái)自網(wǎng)上鄰居或是路由器端的可疑數(shù)據(jù)流。

無(wú)論如何，無(wú)論是RFC6104還是NDPMon都無(wú)法有效地幫助我們抵御SLAAC類型的攻擊。為什么在部署應(yīng)對(duì)IPv6所帶來(lái)的各種安全問(wèn)題的同時(shí)，就沒(méi)有人站出來(lái)建議"不使用"IPv6機(jī)制呢？SLAAC攻擊的目標(biāo)只能是由IPv6管理的IPv4網(wǎng)絡(luò)，而無(wú)法作用原生的IPv6型或雙協(xié)議型網(wǎng)絡(luò)。由此可見(jiàn)，最簡(jiǎn)單有效的防御手段，就是在所有的主機(jī)上禁用IPv6機(jī)制（只要沒(méi)有特殊的業(yè)務(wù)方面要求）：

這種解決方案完全契合了"網(wǎng)絡(luò)防御"一文中所提到的"最小化"安全保障成本這一概念，雖然它對(duì)于盡快普及IPv6機(jī)制產(chǎn)生了些許不利的影響。不過(guò)管它呢，我們都了解哪種方法最適合自己。

原文鏈接：http://resources.infosecinstitute.com/slaac-attack/

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. IPv6或誘發(fā)垃圾郵件和病毒爆發(fā)
2. BreakingPoint推出全新方案替代IPv4/IPv6雙堆棧協(xié)議測(cè)試
3. 淺析IPv6的安全威脅
4. Hillstone山石網(wǎng)科喜獲IPv6 Ready認(rèn)證