《IPv6安全》——2.4 三层和四层欺骗

2.4 三层和四层欺骗

IPv6安全
和IPv4一样,您可产生没有一个合法源地址的精心伪造的IPv6数据包。如果黑客执行单向(盲)攻击或试图利用信任关系执行攻击,就能够使用这种技术。在IPv4网络中,通常情况是禁止数据包的源路由,因为其允许攻击者接收返回流量。在IPv6网络中,因为IPv6的层次化寻址方式,所以将限制这种攻击。

由组织机构的Internet服务提供商(ISP)向组织机构分配IPv6地址块,所以当组织机构发出Internet流量时,仅使用那些被分配的地址块。如果从那个组织机构发出的数据包不是源自其被分配的地址块,则应该丢弃那些数据包。如果组织机构接收到的数据包具有与其被分配的地址块不同的目的地址,则这些数据包就是无效数据包,应该被丢弃。一种有案可查的最佳实践(BCP38/RFC 2827)是针对IPv4网络执行进入/出过滤。虽然针对IPv6过滤当前没有有案可查的最佳实践,但逻辑上相同类型的过滤将是有益处的。而且针对IPv6进行入口过滤是比较容易的,原因其寻址结构是层次化的。人们也应该实现IPv6多播源地址数据包的入口过滤,原因是正常情况下不应该出现这类数据包。

注释

一些极大型的组织机构可有与提供商无关的(PI)的IPv6前缀。为了更灵活,他们通常具有通过多个ISP到Internet的多条连接;这被称作多宿连接。在这种情形中,ISP的进入/出过滤设置是比较复杂的,但仍然应该可以完成。
如果一个IP数据包进入到一个接口,该接口不是用来向那个源地址发回一个数据包的接口,那么这就是IP数据包具有一个伪造源地址的另一个标志。那将意味着该数据包来自于一个不正确的载体,其源也许是不合法的。因此,路由器必须比较进入数据包的源地址,以便验证数据包到达正确的接口。如果单播数据包不是来自于相同的反向路径,则应该过滤这个数据包。

您能够产生具有欺骗源地址的精心伪造的IPv6数据包,并将它们发送到网络上。例2-30显示,您可使用Scapy6产生这些数据包。在这种情形中,Scapy6脚本产生一条源于“spoofsrc”并发送到“dest”的一个ICMPv6回声请求数据包。攻击者位于VLAN 11(2001:DB8:11:0/64)的一台主机上,但发出来自VLAN 12(2001:db8:22:0/64)的数据包。当在VLAN 22(2001:DB8:22.0/64)上的主机接收到这条数据包时,那台主机向它认为发送该数据包的主机发出一条回声应答。在VLAN 12上的未知主机之后就接收到它没有预料到的一个回声应答数据包。在这种情形中,那台VLAN 12主机向VLAN 22上的主机发送一个ICMPv6参数问题数据包。在本章前面的图2-3给出了这种网络拓扑的一个例子。

例2-30 Scapy6精心伪造具有欺骗源地址的数据包

这个测试是成功的,原因是当在目的主机上使用嗅探器时,数据包解码显示,在VLAN 22上的节点dest接收到数据包,并向VLAN 12上的节点spoofsrc地址发回一个回声应答数据包。

为了防止这些类型的地址欺骗攻击,您可使用进入/出过滤,并使用称为单播反向路径转发(单播RPF)检查的一项技术。在一台Cisco路由器中,单播RPF检查Cisco快速转发(CEF)表,基于路由表(转发信息库[FIB])中的信息验证流量应该从哪里发出。路由器将源地址与其FIB(路由表)进行比较,查看向那个子网发回流量时将使用哪个接口。比较两个接口:从路由表中确定的接口和数据包接收到的接口,如果这两个接口不同,则数据包就没有通过RPF检查。如果在FIB中朝向源的路径不匹配数据包的到达接口,则路由器就识别出了一个问题。之后就丢弃数据包,原因是该数据包一定是从不能返回到源的一个接口上接收到的,至此路由器得出结论,即该数据包一定具有一个欺骗的源地址。

在这个例子中,将单播RPF命令添加到路由器的接口,帮助捕获Scapy6欺骗数据包。例2-31是如何设置单播RPF过滤的一个Cisco配置示例。首先,在路由器上激活CEF,之后将反向路径命令应用到被路由的接口。

例2-31 接口上的单播反向路径过滤

当产生欺骗的数据包时,由接口上的单播RPF命令阻止这些数据包。如例2-32中的一条show命令,可确认路由器阻塞了这个数据包。存在几条命令可显示数据包是因为单播RPF检查失败而被丢弃。丢弃是在VLAN 20上发生的,原因是这是导引回到VLAN 11上的攻击者的路径,是由该攻击者发出的欺骗数据包。因此,单播RPF措施在最接近源处丢弃数据包。

例2-32 查看CEF VFR数据包计数统计信息

例 2-33 给出一个单播 RPF ACL 的另一个例子,该 ACL 产生前缀2001:db8: 100:100::/64的一个例外。这意味着对于源自2001:db8:100:100::/64前缀的数据包,将不执行RPF检查。

例2-33 单播RPF例外访问表

在一台Cisco路由器内部可执行两种不同类型的单播RPF检查。

严格模式比照当前有效的路由表(FIB)检查进入数据包。如果在一个接口不同于由FIB确定的路径上接收到数据包,则丢弃该数据包。
松散模式(只要存在)仅检查到达数据包的源地址是否出现在路由表中,而不将接收接口与路由表中的接口加以比较。一些Cisco设备不支持松散模式(例如Cisco 12000系列和Catalyst 6500系列)。但是,具有超级管理器32s或720s的Cisco 6500交换机以硬件方式支持单播RPF。
随着时间推移,预计仅支持严格模式的ipv6 verify unicast reverse-path [access-list**name]命令将被淘汰,而倾向于采用新的参数,从而允许对单播RPF的更细粒度的控制。较新的命令语法如下。

为配置严格模式单播RPF,使用如下接口命令。

为配置松散模式单播RPF,使用如下接口命令。

allow-default参数用于匹配默认路由的查找。其他参数allow-self-ping允许路由器ping在其接口上配置的辅助地址。

时间: 2024-11-05 22:03:27

《IPv6安全》——2.4 三层和四层欺骗的相关文章

《IPv6安全》——第2章 IPv6协议安全弱点 - 副本

第2章 IPv6协议安全弱点 - 副本 IPv6安全 本章讲解如下主题. IPv6协议首部:回顾IPv6首部.ICMPv6和多播. 扩展首部的各项威胁:IPv6首部的安全隐含意义. 勘察IPv6网络:寻找可被攻击的IPv6节点. 三层和四层欺骗:精心构造数据包威胁. 第2章 IPv6协议安全弱点 Internet工程任务组(IETF)定义了在构造一个可互操作协议时,实现人员必须遵循的IPv6协议规范.在某些方面,某些规范可能是二义性的和不完全的,或在撰写规范时没有考虑到一些安全隐含意义.因此,在

《IPv6安全》——导读

前言 IPv6安全Internet协议版本6(IPv6)是用于Internet的通信协议(IPv4)的下一版本.IPv6是一种已经出现了许多年的协议,但还没有替代IPv4.IPv4诞生时,它存在一些当时没有预料到的限制.因为IPv6克服了这些限制中的许多限制,所以它是IPv4的唯一可用(viable)的长期替代协议. 虽然向IPv6的迁移已经开始,但仍然处在迁移的早期阶段.许多国际组织机构已经有了IPv6网络,美国联邦机构正在进行向IPv6的迁移工作,而其他国家正在思考IPv6对他们意味着什么.

《IPv6安全》——2.2 扩展首部威胁

2.2 扩展首部威胁 IPv6安全 本节将简单介绍扩展头部,读者可以从中学习到与扩展头部相关的弱点,以用来缓解针对该弱点所开展的攻击的技术. 2.2.1 扩展首部综述 IPv6使用扩展首部(在RFC 2460中定义),给出数据包的传输层信息(TCP或UDP)或扩展协议的功能.扩展首部是以IPv6首部内部的下一首部(NH)字段加以识别的.这个字段类似于IPv4数据包中的协议字段.在IPv6首部内部,第48-55比特(8比特)形成下一首部字段,它用以识别IPv6首部后面的首部.该可选字段指明,在数据

C#做三层结构erp 如何提高速度

问题描述 感觉C#做CS结构erp速度永远赶不上delphi,再加上三层结构担心将来用户增多时会引起表锁死之类的问题,有没有好的办法解决这个问题(Developer.Express.NET.WindowsForms.Component.Collection.v8.2.for.Visual.Studio.2008),系统在设计上采用三层构架(客户端+Remogin(webService)+SQLServer2005).自定义打印报表调用delphi开发DLL库(报表组件为RMReport3.66)

讲述二层交换机安全全攻略

许多的二层交换机能够处理基于从二层到四层的数据包流,这样大大提高了交换机的服务质量和网络安全策略,而其中局域网和企业内部网络当中的安全性更是成为焦点.作为网络中应用最为广泛的交换机,如何能开发其安全特性以有效的保护对网络的访问,一些组织和厂商也 纷纷提出自己的安全策略. 例如现在通过多层交换机特性来提高网络的安全和对带宽的控制已经相当的普遍.二层的以太网在大多数的商业和其他的组织中是局域网访问的最重要的网络, 所以二层交换机的厂商不断的增强交换机的智能性.这种智能交换机可以以IP地址查找数据包,

扬扬的J2EE学习笔记(一)概述

j2ee|笔记 扬扬今天开始学习J2EE啦! 目标:尽可能在最短时间内,把J2EE体系结构相关了解个大概,以后再慢慢往深处学习. 加油!加油!!加油!!!一.分布式的多层应用程序 图1 分布式的多层应用程序 J2EE平台使用多层分布式的应用模式.应用逻辑根据其功能分成多个组件,各种不同的应用组件构成分布在不同的依赖于层的机器上的J2EE程序.位于不同层的组件有: ☆ 运行在客户机上的客户层组件 ☆ 运行在J2EE服务器上的网络层 ☆ 运行在J2EE服务器上的逻辑层 ☆ 运行在

如何写出优秀的ASP应用文章

什么是ASP Active Server Page,简称ASP,是: l连接网友界面(HTML)和商业逻辑(Business Logic): l提供一致的.容易使用的.有状态保持的.基于WEB的客户端: l为那些需要事务处理的WEB 应用提供应用程序环境. ASP不是: l 实现商业逻辑(Business Logic)的地方:商业逻辑应该通过COM+.MTS或者数据库来实现. ASP的使用者应该有下面的教训: l 开发应用程序,而不是开发一个一个的孤立ASP页面: l 对输入和输出进行缓存: l

如何写出优秀的ASP应用 (1)

   怎样创建鲁棒性.正确性.可维护性和性能俱佳的ASP应用程序?要做什么?不做什么?本文以提纲的形式,给出了主要的Check-Points(检查点).      什么是ASP      Active Server Page,简称ASP,是:      . 连接网友界面(HTML)和商业逻辑(Business Logic):   . 提供一致的.容易使用的.有状态保持的.基于Web的客户端:   . 为那些需要事务处理的WEB 应用提供应用程序环境.      ASP不是:      . 实现商

作为设计的利器 设计师的黄金分割

文章描述:作为设计的利器 设计师的黄金分割. 设计师在设计的时候,总会遇到这样那样的问题,和人PK不断,修改不断.界面区域多大合适呢?ICON多大?颜色区间多少?为什么这么定义?什么是普世的美?很多UIer都说,50%靠设计,50%靠交流,那么在交流的时候如何说服别人呢?ADS定位.用户群.用户环境.调研都可以作为参考的依据,在这里再向大家介绍一下我们身边存在的黄金分割,希望作为设计的利器,或创作或PK. 一.植物 "黄金角度"生物学家发现植物种类繁多.叶子形态各异,但是叶子在茎上的排