宜春學(xué)院 易文平

IPv6環(huán)境下漏洞掃描方法研究

宜春學(xué)院 易文平

IPv6協(xié)議于2012年6月6日正式啟動(dòng)，全球互聯(lián)網(wǎng)巨頭Google、Yahoo、Microsoft以及各大互聯(lián)網(wǎng)服務(wù)提供商于當(dāng)日永久啟用 IPv6 協(xié)議。2012年年初，國家發(fā)改委下發(fā)了下一代互聯(lián)網(wǎng)關(guān)于商業(yè)和安全的2個(gè)專項(xiàng)通知，明確提出了我國互聯(lián)網(wǎng)向 IPv6 過渡的目標(biāo)和時(shí)間點(diǎn)，國內(nèi)下一代互聯(lián)網(wǎng)的高速發(fā)展時(shí)期即將來臨。

一、IPv6 環(huán)境下漏洞掃描產(chǎn)品遇到的問題

一般來講，漏洞掃描產(chǎn)品在進(jìn)行漏洞掃描時(shí)可分為4個(gè)過程：主機(jī)發(fā)現(xiàn)、端口發(fā)現(xiàn)、服務(wù)識(shí)別、漏洞檢測(cè)。在 IPv6 環(huán)境下，漏洞掃描產(chǎn)品的這幾個(gè)過程都會(huì)受到較大影響，由于地址空間爆炸的增長，主機(jī)發(fā)現(xiàn)過程在 IPv6 協(xié)議下將不得不采用新的技術(shù)，并且隨著 IPv6協(xié)議地深入應(yīng)用，大量的設(shè)備接入網(wǎng)絡(luò)，系統(tǒng)、服務(wù)識(shí)別和漏洞檢查也將面對(duì)各自全新的問題。

1. 主機(jī)發(fā)現(xiàn)過程遇到的問題。主機(jī)發(fā)現(xiàn)過程是漏洞掃描的前提，其目的是確定目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息搜集的初始階段，它將直接影響到后續(xù)的掃描。主動(dòng)探測(cè)發(fā)現(xiàn)是目前掃描器產(chǎn)品使用最多的方式，發(fā)現(xiàn)過程是通過 ICMP 協(xié)議或構(gòu)造異常 IP 報(bào)頭等技術(shù)，逐一發(fā)送給目標(biāo)主機(jī)，通過分析響應(yīng)報(bào)文來得知主機(jī)是否存活可達(dá)。

2.資產(chǎn)管理的問題。使用漏洞掃描產(chǎn)品的主要目標(biāo)是用于風(fēng)險(xiǎn)評(píng)估，業(yè)內(nèi)對(duì)漏洞的風(fēng)險(xiǎn)評(píng)估會(huì)從漏洞嚴(yán)重性、資產(chǎn)重要性、威脅帶來的影響等幾個(gè)方面進(jìn)行，其中資產(chǎn)管理是漏洞掃描產(chǎn)品必不可少的功能。在 IPv6 時(shí)代，采用 128 位的 IP地址，并使用 16 進(jìn)制來表示，IP 地址格式如fe80:fd9a:1d3a:ced8:7e8e， 這樣的一串地址對(duì)于人類的閱讀和記憶將是極大的挑戰(zhàn)。

3. 更多的應(yīng)用所帶來的問題。IPv6 的應(yīng)用不僅僅是從技術(shù)上解決了 IP 地址空間枯竭的問題，更是下一代互聯(lián)網(wǎng)深入發(fā)展的基礎(chǔ)，今后辦公室中的打印機(jī)、路由器、每個(gè)人的手機(jī)、甚至家中的電視機(jī)、冰箱、空調(diào)、音響都會(huì)分配到1個(gè)地址，最終會(huì)完成理想中的物聯(lián)網(wǎng)搭建。其實(shí)物聯(lián)網(wǎng)技術(shù)在2011年深圳大運(yùn)會(huì)的“智能化大運(yùn)村”已經(jīng)亮相。在這種情況下的網(wǎng)絡(luò)安全將顯得尤為重要，多種類型設(shè)備接入網(wǎng)絡(luò)，對(duì)于漏洞掃描產(chǎn)品也帶來了系統(tǒng)識(shí)別上的問題。

二、IPv6 環(huán)境下的漏洞檢測(cè)方法

1.多種方式完成主機(jī)發(fā)現(xiàn)。

（1）利用 NDP（鄰居發(fā)現(xiàn)協(xié)議）。NDP是 IPv6協(xié)議中的關(guān)鍵部分，它替代了 IPv4 中的 ARP（地址解析協(xié)議）、ICMP路由發(fā)現(xiàn)和重定向協(xié)議。NDP協(xié)議可以用于發(fā)現(xiàn)相鄰節(jié)點(diǎn)及其存活的狀態(tài)，通過獲取NDP相鄰節(jié)點(diǎn)的高速緩存，能夠?qū)崿F(xiàn)本地網(wǎng)絡(luò)被其他 IPv6 主機(jī)發(fā)現(xiàn)。

（2）通過代理主機(jī)訪問 NDP 緩存。該方法仍然是利用NDP 協(xié)議的原理，對(duì)于不同的子網(wǎng)，事先指定1臺(tái)已知主機(jī)，通過在主機(jī)上執(zhí)行命令獲取該子網(wǎng)的存活主機(jī)地址。在實(shí)際產(chǎn)品實(shí)現(xiàn)上，可在目標(biāo)子網(wǎng)中部署一個(gè)輕量級(jí)的代理設(shè)備來完成這個(gè)工作。

（3）通過網(wǎng)關(guān)設(shè)備。網(wǎng)絡(luò)數(shù)據(jù)會(huì)經(jīng)過路由交換等網(wǎng)關(guān)類設(shè)備轉(zhuǎn)發(fā)，獲取和分析這些數(shù)據(jù)，對(duì)漏洞掃描產(chǎn)品的主機(jī)發(fā)現(xiàn)過程具有很高的價(jià)值。通過網(wǎng)關(guān)設(shè)備發(fā)現(xiàn)主機(jī)，漏洞掃描產(chǎn)品需要有一個(gè)學(xué)習(xí)的過程才能獲得穩(wěn)定的主機(jī)列表，在實(shí)際實(shí)現(xiàn)過程中可以邊發(fā)現(xiàn)邊掃描，以提升產(chǎn)品的用戶體驗(yàn)。

2.用域名來管理資產(chǎn)。在 IPv6協(xié)議下，DNS（域名系統(tǒng)）將變得非常重要。用域名來表示資產(chǎn)，是資產(chǎn)管理的一個(gè)有效手段。在主機(jī)發(fā)現(xiàn)過程結(jié)束后，可以使用IP 地址 DNS 服務(wù)器反向查詢，從而獲取主機(jī)域名，形成資產(chǎn)清單。同樣的道理，這需要用戶提交復(fù)雜的IPv6地址來進(jìn)行掃描，這樣漏洞掃描產(chǎn)品的用戶體驗(yàn)將很差。優(yōu)秀的設(shè)計(jì)應(yīng)該是利用資產(chǎn)管理功能來實(shí)現(xiàn)，由用戶通過選擇資產(chǎn)或提交采用域名表達(dá)的主機(jī)給漏洞掃描產(chǎn)品，進(jìn)行對(duì)應(yīng)的漏洞掃描。

3.及時(shí)更新產(chǎn)品知識(shí)庫。IPv4 和 IPv6 會(huì)在相當(dāng)長的一段時(shí)間內(nèi)并存，IPv6 的引入，不可避免的為現(xiàn)有的服務(wù)和應(yīng)用帶來新的安全隱患，目前披露的IPv6 相關(guān)漏洞已超過 100 個(gè)，漏洞掃描產(chǎn)品也要及時(shí)更新漏洞庫，適應(yīng)IPv6環(huán)境下的漏洞檢測(cè)。此外，互聯(lián)網(wǎng)的發(fā)展，會(huì)使網(wǎng)絡(luò)中涌入大量的應(yīng)用設(shè)備，漏洞掃描產(chǎn)品的知識(shí)庫也需要進(jìn)行及時(shí)補(bǔ)充。

三、結(jié)論

IPv6 的應(yīng)用雖然對(duì)漏洞掃描產(chǎn)品帶來了一定的影響，但它是未來技術(shù)發(fā)展的趨勢(shì)，它將為互聯(lián)網(wǎng)的發(fā)展注入全新的活力。對(duì)于漏洞掃描產(chǎn)品來講，需要提前研究和適應(yīng)這種新技術(shù)的出現(xiàn)，從而及時(shí)為用戶提供安全保障。