第2章 IPv6协议安全弱点 - 副本
IPv6安全
本章讲解如下主题。
IPv6协议首部:回顾IPv6首部、ICMPv6和多播。
扩展首部的各项威胁:IPv6首部的安全隐含意义。
勘察IPv6网络:寻找可被攻击的IPv6节点。
三层和四层欺骗:精心构造数据包威胁。
第2章 IPv6协议安全弱点
Internet工程任务组(IETF)定义了在构造一个可互操作协议时,实现人员必须遵循的IPv6协议规范。在某些方面,某些规范可能是二义性的和不完全的,或在撰写规范时没有考虑到一些安全隐含意义。因此,在软件被开发和部署后,就可能出现不可预见的安全问题。例如,满足IETF RFC中详细说明的规范的数据包,当在一个网络上被发送或接收时,可能有不良后果。虽然按照规范一些数据包是合法的,但它们也许没有遵循通信进行的实际逻辑。这些话题超出了位置(LAN或WAN)限制,但可适用于多种类型的网络(企业或服务提供商)。黑客和安全研究人员们深入探索研究了规范和实践部署之间的这些细微差别。IETF有时会修订协议,但在一些情形中,IETF将之留给IP系统的部署人员,由他们修正规范的缺陷。
多数这样的弱点涉及IPv6数据包首部内部的字段。IPv6首部定义了协议,因此它成为诸多安全研究的焦点。当网络硬件和软件的实现暴露出IPv6协议中的这些弱点时,就出现了安全问题。当以开放系统互连(OSI)协议栈考察IPv6时,以IPv6替换IPv4本质上仅改变了网络层。网络层上下的协议层未必会受到IPv6引入的影响。但是,因为IPv6与网络层上下协议层交互的方式,就可能出现由于IPv6引入导致的新威胁。因为IPv6首部内部的各项字段影响该协议的安全,所以IPv6首部是本章的讨论焦点。
本章首先回顾IPv6首部和由Internet控制消息协议版本6(ICMPv6)及多播提供的关键功能,然后讲解与IPv6扩展首部有关的安全问题。本章详细回顾了每种扩展首部类型,并详细描述了每种扩展首部类型的安全对策。之后本章回顾了攻击者如何实施对IPv6网络的破坏。最后,本章讨论如何使用欺骗地址和上层信息伪造数据包。