目前隨著網際網路應用的不斷加深,在全球範圍內ipv4位址都呈現出逐漸枯竭的狀況,而面向ipv6位址過渡的呼聲變得越來越強。不過,對於現在網路裝置來說,ipv6準備好了嗎?
ipv6易受碎片攻擊 威脅核心路由器安全
ipv6協議尚有待完善
作為旨在替代傳統ipv4協議的ipv6,其在協議制定和演進之時,便考慮設計成能夠修補ipv4協議中的安全缺陷,並將原ipv4的安全性選項ipsec(ip安全協議)加入ipv6協議中,以消除現行採用ipv4協議所產生的網路安全問題。
不過實際上,像ipv6這樣的新通訊協議同樣也會出現一些無法預期的設計漏洞,而且當網路系統以及終端裝置向ipv6協議過渡時也會衍生出各種各樣的新安全弱點。
以長期以來一直被懷疑會引發ipv6安全漏洞的「原子碎片」向量為例,就被網路專家指出,可能會導致大規模核心網路路由器遭受碎片攻擊。
針對ipv4,碎片攻擊是乙個相當普遍的攻擊手段,其主要目的為規避防火牆及入侵檢測系統的偵測,將易被察覺的惡意數字簽名(data signature)分散到數個封包中,造成防火牆及入侵檢測系統難以有效偵測出其原封包的意圖。
而在ipv6僅有**端可分割封包,其被分割的封包大小可依**端到目的端路徑所測得的最大mtu來指定,一般正常的ipv6封包為1280位元組(bytes),也就是ipv6最小的封包大小,而最後乙個傳送的封包大小通常會小於1280位元組。同時,要處理重疊的碎片為相當困難的一件事,原因在於不同的目地端系統使用不同的方式來重組封包。
對ipv6而言,當主機接收到小於1280位元組(最小ipv6 mtu)的報文時,已無法將其分段為若干片段,這時便會傳送包含偏移值為0、mf位為0的碎片頭資訊的ipv6原子碎片。關鍵的是,這些原子碎片會成為拒絕服務(dos)的攻擊向量,進而威脅到核心路由器的安全執行。
因此,目前來自國際網際網路工程任務組(ietf)貢獻者之一的fernando gont已經正式提交了rfc 8021檔案,將ipv6協議中存在的此種情況,歸類到「認為有害」列表上,以敦促業界重視該問題。
由於ipv6協議中的此漏洞會存在於採用該協議的任何產品中,這就意味著當前主流核心網路裝置**商,如思科、瞻博網路、愛立信、華為等都必須給予重視並處理,才能避免協議層面漏洞引發原子碎片攻擊的風險。
路由器ipv6方案
這四天來,為了實現通過路由器能夠在終端直接獲得ipv6位址並且訪問ipv6網路,各種作死的折騰。配置前提 有乙個好的路由器,我的為小公尺路由器 記不得哪個版本了,就是原來賣129的那個 被我刷成了openwrt系統 pandorabox 稍微有點linux的基礎,懂得怎樣進入路由器網頁,以及ssh登...
路由器獲取不到ipv6位址
路由器設定為dhcp4,dhcp6,形成乙個ipv4和ipv6的區域網。但是連線路由器的電腦有時可以獲得ipv6位址,有時候獲取不到。我用的是小公尺的ax3600路由器,可能是家用的的路由,所以不能保證ipv6的可靠性。路由器開啟固定ip設定,分配位址池,建議固定ip從2 50,剩餘的ip是留給dh...
思科路由器上實測ipv6位址
沒有配置ipv6位址的介面 r1 sh run int fa1 0 inte ce fastethernet1 0 ip address 172.16.12.1 255.255.255.0 duplex auto speed auto endr1 sh ipv6 int bri fastethern...