新聞中心

        EEPW首頁 > 手機與無線通信 > 設計應用 > 擊破IPv6安全神話

        擊破IPv6安全神話

        作者: 時間:2012-06-21 來源:網絡 收藏

        然而,RFC 4941規定除了傳統SLAAC地址外還要生成臨時地址(而不是替代它們),臨時地址用于出站通訊,而傳統SLAAC地址用于服務器功能(例如入站通訊)。因此,這些地址并不能緩解主機掃描攻擊,因為在采用臨時地址的主機上仍然配置了可預測的SLAAC地址(但OpenBSD除外,OpenBSD在啟用隱私地址時,禁用了傳統SLAAC地址)。

        過渡/共存技術

        有很多IPv4到的過渡技術或者共存技術(例如6to4和Teredo)為全球單播地址指定了特殊語法,在大多數情況下是在中嵌入IPv4地址,作為IPv6的地址的一部分。由于有很多這方面的技術,本文將不深入到具體細節,但需要注意這些地址遵循特定的模式,所以能減小IPv6地址搜索范圍。

        如何緩解IPv6主機掃描攻擊

        緩解IPv6主機掃描攻擊最聰明的辦法是從IPv6地址刪除任何明顯的模式。IETF的6man工作組目前正在研究一種生成IPv6地址的方法,它有以下特點:

        • 產生的接口ID不容易被預測出

        • 產生的接口ID在每個子網內是穩定的,但是當主機從一個網絡移動到另一個網絡時,接口ID會跟著變化

        • 產生的接口ID獨立于底層鏈路層地址

        為了確保IPv6部署的性,IETF必須完成此標準化工作,并且更重要的是,需要供應商部署它。一旦這些工作都到位了,這些不可預測的地址將讓攻擊者的IPv6主機掃描攻擊更難以執行。

        其他緩解IPv6主機掃描攻擊的措施包括使用基于網絡的入侵防御系統(IPS):當在本地子網接收到大量針對不同IPv6地址的探測數據包時(尤其是當很多目標地址不存在時),可以從特定來源地址阻止入站數據包,來應對主機掃描攻擊活動。另一種方法是為基于DHCPv6和手動配置的系統配置不可預測的地址。雖然windows系統生成不可預測地址,所有其他端點(包括基于思科和Linux的設備)還需要一些額外的配置,既可以啟用DHCPv6服務器來發布不可預測地址,也可以手動配置系統,這樣他們就可以使用不可預測地址。很顯然,DHCPv6的方法應該是首選方法,因為它更容易擴展。然而,并不是所有DHCPv6軟件都有這個功能,因此可能唯一的方法應該是手動配置每個系統的IPv6地址(當然這個工作會非常痛苦)。

        讀了本文關于IPv6地址在互聯網上的分配方式的分析,大家應該提高認識:雖然IPv6的主機掃描攻擊在很大程度上受到了阻止,但IETF和供應商仍然有很多工作要做,以增加IPv6主機掃描攻擊的難度。


        上一頁 1 2 下一頁

        關鍵詞: 神話 安全 IPv6 擊破

        評論


        相關推薦

        技術專區

        關閉
        主站蜘蛛池模板: 印江| 忻州市| 淅川县| 宣恩县| 永仁县| 布拖县| 宜昌市| 长海县| 陕西省| 溧阳市| 遂宁市| 林芝县| 定州市| 延吉市| 溆浦县| 鹤峰县| 宽甸| 瓦房店市| 清镇市| 华阴市| 阿坝| 天全县| 仁布县| 慈利县| 台前县| 平舆县| 烟台市| 太和县| 铜陵市| 元江| 鹿邑县| 滦平县| 莱西市| 达拉特旗| 辉南县| 扶绥县| 岳普湖县| 微山县| 黄梅县| 留坝县| 商南县|