论文部分内容阅读
摘要:随着Internet 的发展,在各国下一代互联网的发展规划中,IPv6逐步替代IPv4已成为必然的趋势。本文将在分析IPv6发展现状的基础上,对IPv6协议自身的脆弱性(漏洞)及相应的攻击威胁进行初步的整理分析。
关键词:IPv6;安全性;漏洞;威胁
中图分类号:TN929.5 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
随着Internet的发展,IPv4已经暴露出了许多问题:IPv4地址空间不足、骨干路由器维护的路由表表项数量过大、不易进行自动配置和重新编址、安全问题日益突出等等,而其中最重要的问题就是IP地址资源的短缺[H3C-07]。而且由于IPv4地址的分配极不均衡,除美国等极少数国家外,其他地区或国家都已经在面临IP地址严重不足的问题,并严重制约了这些地区企业信息化的快速发展。
1 IPv6网络服务及应用的快速发展趋势
面对IPv6的巨大应用前景,许多互联网企业都积极主动地参与到IPv6的建设中。根据“全球IPv6启动日新闻发布会”上披露的统计数据[ISOC-12]、Sandvine 公司[Sandvine-12] 公布的IPv6监测数据以及Arbor公司关于IPv6启动日的IPv6流量监控分析结果[ARBOR-12]来看,备受瞩目的全球IPv6启动日活动取得了预期的成功:不仅推动了IPv6 web流量的增长,还推动了IPv6电子邮件、视频、社交网络等应用流量的爆发式增长。
2 IPv6协议的安全性分析
2.1 IPv6自身安全机制的影响
通过强制采用IPv6自身的安全机制(IPsec、AH与ESP),在IPv6网络中将能够获得比IPv4网络更高的安全性。因为IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这有助于实现IP层的通信安全。但这种IP层数据加密的方式对基于网络数据包分析的网络安全设备有很大的影响[LHS-12],使得网络安全设备无法对抓取的网络数据进行深度的解析,从而使其安全功能失效。
2.2 IPv6实现和配置上的脆弱性
和IPv4协议一样,系统、网络与应用在实现对IPv6协议的支持时,不同的系统开发商因软件开发能力的不同,在IPv6协议软件开发、各种算法实现甚至协议本身依然会引入各种可能的安全漏洞,并可能会引发严重的安全威胁。同时,因IPv6地址和配置的复杂度更高,在大规模部署中也可能因考虑不周而造成配置上错误,从而引入安全威胁。
2.3 过渡技术带来的安全性问题
由于基于IPv4协议的互联网已经存在发展了数十年之久,基于IPv4的互联网是一个庞大的系统,其设备和应用系统向IPv6升级迁移的经济代价无疑是非常巨大的;因此IPv4到IPv6的迁移将是长期的,IPv4网络与IPv6网络也必将共存很长的一段时间。为实现从IPv4到IPv6的平滑过渡,IETF开发出对应的过渡技术[LXX]:双协议栈技术、隧道技术以及协议翻译技术。
2.4 非IP层攻击的威胁依然存在
IPv6协议和IPv4协议一样工作在网络层,传输数据报的基本机制没有发生改变,IPv4网络中除IP层以外的其他6层中出现的攻击在IPv6网络中依然会存在。
2.5 IPv6地址空间变大的影响
相对于IPv4来说,IPv6地址空间非常巨大,这增大了传统扫描和蠕虫类攻击的难度。但网络中众所周知的网络地址为攻击者提供了明确的攻击目标。对于这些网络关键节点来说,如何抵御DDOS攻击是一个艰巨的任务。
3 IPv6 网络环境中的攻击手段
对于攻击者来说,确定攻击目标系统是其攻击活动的第一步,虽然IPv6 巨大的地址空间为攻击者通过传统的扫描技术确定目标主机造成了极大的困难,但通过研究IPv6 地址的使用范围和构成特点,依然可以进行有目的、有针对性的扫描[LHS-12],目前已有一些值得研究的开源的网络探测类工具:Nmap[Nmap]、Scan6[Scan6]、CHScanner[CHScanner]等,这类开源工具已能够支持IPv6 协议,并具备一定的系统定位与扫描能力。显然,对他们的实现原理进行分析并提供针对性的防范措施,将有助于IPv6 环境下安全防护能力的提升。在通过各种方法找到攻击目标之后,攻击者将采用各种手段对目标系统进行攻击,常见的攻击手段包括拒绝服务、绕过限制、通信劫持和代码执行等。目前已有一些开源性的工具能够利用IPv6与ICMPv6的固有弱点或系统实现时引入的安全性漏洞,对目标主机实施中间人攻击和拒绝服务攻击[THC-IPv6]。
4 总结
互联网应用的发展与IPv4 地址资源的耗尽,促使世界许多国家在2012 年加快了IPv6 网络及应用的建设与部署。虽然IPv6相对于IPv4 来说增强了自身的安全机制,但一个新协议的引入必然会引入新的安全问题,对已有的网络安全技术体系造成影响,并可能对在售的安全产品提出新的改进需求。在此背景下,本文中对IPv6协议的安全性、IPv6 的自身漏洞及相应的攻击威胁进行了初步的探讨,并重点对IPv6的相关漏洞进行了归类与统计分析。
参考文献:
[1]Zhou Qiu-xia,Liang Qi-wen.Design and implementationcampus network intrusion detection system[J].JournalChongqing Instituteof Technolog,2007,21(12):122-125.
[2]RFC4862:IPv6Stateless Address Autoconfiguration,2007.
[3]RFC4443:Internet ControlMessageProtocol (ICMPv6) for thInternet Protocol Version 6 (IPv6) Specification,2006.
[4]RFC 5095:Deprecation of Type0 Routing Headers in IPv6.2007.
[5]李振强,赵晓宇,马严,等.IPV6 技术揭密[M].北京:人民邮电出版社,2007.
[作者简介]
易文平(1984-),江西宜春人,宜春学院助教,学士,主要从事计算机教学与研究。
关键词:IPv6;安全性;漏洞;威胁
中图分类号:TN929.5 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
随着Internet的发展,IPv4已经暴露出了许多问题:IPv4地址空间不足、骨干路由器维护的路由表表项数量过大、不易进行自动配置和重新编址、安全问题日益突出等等,而其中最重要的问题就是IP地址资源的短缺[H3C-07]。而且由于IPv4地址的分配极不均衡,除美国等极少数国家外,其他地区或国家都已经在面临IP地址严重不足的问题,并严重制约了这些地区企业信息化的快速发展。
1 IPv6网络服务及应用的快速发展趋势
面对IPv6的巨大应用前景,许多互联网企业都积极主动地参与到IPv6的建设中。根据“全球IPv6启动日新闻发布会”上披露的统计数据[ISOC-12]、Sandvine 公司[Sandvine-12] 公布的IPv6监测数据以及Arbor公司关于IPv6启动日的IPv6流量监控分析结果[ARBOR-12]来看,备受瞩目的全球IPv6启动日活动取得了预期的成功:不仅推动了IPv6 web流量的增长,还推动了IPv6电子邮件、视频、社交网络等应用流量的爆发式增长。
2 IPv6协议的安全性分析
2.1 IPv6自身安全机制的影响
通过强制采用IPv6自身的安全机制(IPsec、AH与ESP),在IPv6网络中将能够获得比IPv4网络更高的安全性。因为IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这有助于实现IP层的通信安全。但这种IP层数据加密的方式对基于网络数据包分析的网络安全设备有很大的影响[LHS-12],使得网络安全设备无法对抓取的网络数据进行深度的解析,从而使其安全功能失效。
2.2 IPv6实现和配置上的脆弱性
和IPv4协议一样,系统、网络与应用在实现对IPv6协议的支持时,不同的系统开发商因软件开发能力的不同,在IPv6协议软件开发、各种算法实现甚至协议本身依然会引入各种可能的安全漏洞,并可能会引发严重的安全威胁。同时,因IPv6地址和配置的复杂度更高,在大规模部署中也可能因考虑不周而造成配置上错误,从而引入安全威胁。
2.3 过渡技术带来的安全性问题
由于基于IPv4协议的互联网已经存在发展了数十年之久,基于IPv4的互联网是一个庞大的系统,其设备和应用系统向IPv6升级迁移的经济代价无疑是非常巨大的;因此IPv4到IPv6的迁移将是长期的,IPv4网络与IPv6网络也必将共存很长的一段时间。为实现从IPv4到IPv6的平滑过渡,IETF开发出对应的过渡技术[LXX]:双协议栈技术、隧道技术以及协议翻译技术。
2.4 非IP层攻击的威胁依然存在
IPv6协议和IPv4协议一样工作在网络层,传输数据报的基本机制没有发生改变,IPv4网络中除IP层以外的其他6层中出现的攻击在IPv6网络中依然会存在。
2.5 IPv6地址空间变大的影响
相对于IPv4来说,IPv6地址空间非常巨大,这增大了传统扫描和蠕虫类攻击的难度。但网络中众所周知的网络地址为攻击者提供了明确的攻击目标。对于这些网络关键节点来说,如何抵御DDOS攻击是一个艰巨的任务。
3 IPv6 网络环境中的攻击手段
对于攻击者来说,确定攻击目标系统是其攻击活动的第一步,虽然IPv6 巨大的地址空间为攻击者通过传统的扫描技术确定目标主机造成了极大的困难,但通过研究IPv6 地址的使用范围和构成特点,依然可以进行有目的、有针对性的扫描[LHS-12],目前已有一些值得研究的开源的网络探测类工具:Nmap[Nmap]、Scan6[Scan6]、CHScanner[CHScanner]等,这类开源工具已能够支持IPv6 协议,并具备一定的系统定位与扫描能力。显然,对他们的实现原理进行分析并提供针对性的防范措施,将有助于IPv6 环境下安全防护能力的提升。在通过各种方法找到攻击目标之后,攻击者将采用各种手段对目标系统进行攻击,常见的攻击手段包括拒绝服务、绕过限制、通信劫持和代码执行等。目前已有一些开源性的工具能够利用IPv6与ICMPv6的固有弱点或系统实现时引入的安全性漏洞,对目标主机实施中间人攻击和拒绝服务攻击[THC-IPv6]。
4 总结
互联网应用的发展与IPv4 地址资源的耗尽,促使世界许多国家在2012 年加快了IPv6 网络及应用的建设与部署。虽然IPv6相对于IPv4 来说增强了自身的安全机制,但一个新协议的引入必然会引入新的安全问题,对已有的网络安全技术体系造成影响,并可能对在售的安全产品提出新的改进需求。在此背景下,本文中对IPv6协议的安全性、IPv6 的自身漏洞及相应的攻击威胁进行了初步的探讨,并重点对IPv6的相关漏洞进行了归类与统计分析。
参考文献:
[1]Zhou Qiu-xia,Liang Qi-wen.Design and implementationcampus network intrusion detection system[J].JournalChongqing Instituteof Technolog,2007,21(12):122-125.
[2]RFC4862:IPv6Stateless Address Autoconfiguration,2007.
[3]RFC4443:Internet ControlMessageProtocol (ICMPv6) for thInternet Protocol Version 6 (IPv6) Specification,2006.
[4]RFC 5095:Deprecation of Type0 Routing Headers in IPv6.2007.
[5]李振强,赵晓宇,马严,等.IPV6 技术揭密[M].北京:人民邮电出版社,2007.
[作者简介]
易文平(1984-),江西宜春人,宜春学院助教,学士,主要从事计算机教学与研究。