文/胡金龍 陸以勤

校園IPv6網(wǎng)絡安全新威脅分析

文/胡金龍 陸以勤

隨著IPv6在校園網(wǎng)中的廣泛部署，IPv6網(wǎng)絡的安全問題日益突出，本文針對IPv6的新特性，對IPv6的網(wǎng)絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等典型的IPv6網(wǎng)絡安全新威脅進行了詳細分析，以便在設計、部署和維護IPv6網(wǎng)絡中可以合理地運用安全策略，提高網(wǎng)絡的安全性。

與IPv4協(xié)議相比，IPv6提供了更大的地址空間、集成的安全性、簡易的配置和更簡潔的包頭結構。在IPv6中IPSec是一個必須組成部分，使得網(wǎng)絡層的安全性得到了增強，但IPv6并未要求強制實施IPSec協(xié)議，而且IPSec對PKI基礎設施的依賴、可擴展問題和效率問題，使得IPSec在實際IPv6網(wǎng)絡環(huán)境中極少部署。

由于IP網(wǎng)絡根本的數(shù)據(jù)傳輸機制沒有改變，IPv6網(wǎng)絡面臨著許多與IPv4網(wǎng)絡相同的攻擊，例如報頭處理和分片攻擊、地址欺騙、地址解釋和D H C P攻擊、蠕蟲和病毒攻擊等。同時由于協(xié)議自身的特性，IPv6還存在許多新的安全威脅，例如IPv6的網(wǎng)絡偵察、第三層地址欺騙與地址的隱私擴展、ICMPv6相關安全攻擊、IPv6擴展頭部的安全、隧道的安全等。隨著IPv6在校園網(wǎng)中的廣泛部署，IPv6網(wǎng)絡的安全問題日益突出。

IPv6網(wǎng)絡安全新威脅主要分為兩類，如圖1所示，一類是IPv6協(xié)議棧實現(xiàn)上的漏洞產(chǎn)生的威脅，例如蘋果Mac OS X 操作系統(tǒng)的IPv6套接字選項拒絕服務攻擊漏洞 (CVE-2010-1132)，Linux內(nèi)核IPv6分片標識遠程拒絕服務攻擊漏洞（CVE-2011-2 6 9 9），攻擊者可以利用這些漏洞發(fā)起攻擊，針對這類安全威脅, 用戶應及時升級和更新系統(tǒng)；另一類是IPv6協(xié)議特有的新威脅，例如IPv6的網(wǎng)絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等，下面進行介紹幾種典型的IPv6網(wǎng)絡安全威脅。

IPv6的網(wǎng)絡偵察

網(wǎng)絡偵察往往是攻擊的第一步，但是巨大的IPv6地址空間使得傳統(tǒng)的網(wǎng)絡地址段ping掃描在IPv6網(wǎng)絡中是非常困難的。然而這并不能說明在IPv6 網(wǎng)絡中無法進行掃描攻擊，攻擊者可以通過利用安全性較差路由器上的N D緩沖、D N S、易于記憶的地址（如::1, ::IPv4等）和采集數(shù)據(jù)包分析等方式實施攻擊，另外IPv6組播機制使得某些掃描變得更容易，如所有路由器、所有DHCP服務器。典型的IPv6網(wǎng)絡掃描技術包括以下幾種：

圖1 IPv6網(wǎng)絡安全威脅分類

1. 搜集IPv6 前綴信息

攻擊者通過觀察路由信息，例如捕獲路由器定期發(fā)送的RA報文或者偽造一個RS報文發(fā)送給所有路由器然后觀察路由器回復的RA報文；或從互聯(lián)網(wǎng)注冊機構分配地址空間的信息可以學習到一些IPv6 前綴信息。

2. DNS查詢

通過DNS公告的服務器可以很容易通過DNS查詢得到對應的IPv6地址。而且如果管理者使用順序的方式為主機分配地址，那么只發(fā)布一個服務器地址就可能威脅到其他主機。

3. 應用日志文件分析

攻擊者通過分析日志文件，可以獲得IPv6地址，例如WEB站點的日志文件，P 2 P連接的日志文件。

4. 隧道地址分析

攻擊者通過分析網(wǎng)絡使用的過渡方法（如6 t o 4 隧道、ISATAP 隧道、Teredo隧道或是其他技術）確定目標節(jié)點的地址。例如有些操作系統(tǒng)的6to4 實現(xiàn)缺省使用的地址為2002:V4ADDR::V4ADDR，如果攻擊者發(fā)現(xiàn)目標機的IPv4地址，就有可能分析對應的IPv6地址。

5. 虛假路由通告

攻擊機通過向目標網(wǎng)絡發(fā)送目標地址為節(jié)點組播地址（FF02::1）的虛假路由通告報文，攻擊者通過分析地址重復檢測（DAD）的組播報文，可獲得目標網(wǎng)絡活動主機的IPv6地址。

IPv6的鄰接點欺騙攻擊

IPv6的鄰居發(fā)現(xiàn)協(xié)議（ND）使ND協(xié)議集成了以前IPv4中一些協(xié)議的功能，如IPv4地址解釋協(xié)議（ARP）、ICMP路由發(fā)現(xiàn)功能和ICMP重定向功能，并增加了一些新的功能，如網(wǎng)絡前綴地址發(fā)現(xiàn)、鏈路參數(shù)發(fā)現(xiàn)和地址自動配置等。ND協(xié)議主要的安全威脅可以分為以下三種類型：拒絕服務攻擊（DoS）、地址欺騙攻擊和路由器欺騙攻擊。ND協(xié)議安全威脅主要有：

1. 鄰居請求和通告欺騙。攻擊者可以通過發(fā)送包含虛假MAC地址的鄰居請求（NS）報文或鄰居通告（NA）報文更新被攻擊者的鄰居緩存，導致被攻擊者將報文轉發(fā)到虛假MAC地址。

2. 地址重復檢測的拒絕服務攻擊。攻擊者通過發(fā)送虛假的NA消息，響應子網(wǎng)內(nèi)所有的重復地址發(fā)現(xiàn)的NS請求報文，使被攻擊節(jié)點無法獲得地址，進而實現(xiàn)重復地址發(fā)現(xiàn)的拒絕服務攻擊。

3. 鄰居不可達發(fā)現(xiàn)欺騙。攻擊者持續(xù)發(fā)送虛假的NA鄰居通告報文來響應目標節(jié)點的鄰居探測NS報文。

4. 路由器通告欺騙。攻擊者發(fā)送虛假的路由器通告報文響應目標節(jié)點的路由器請求報文，以欺騙目標節(jié)點選擇虛假的路由器作為缺省路由器。

5. 虛假路由參數(shù)欺騙。攻擊者通過發(fā)送包含惡意參數(shù)的虛假路由器報文來控制或破壞目標節(jié)點的通信。

6. 虛假的重定向消息。攻擊者假冒鏈路上的路由器做源地址發(fā)送虛假的重定向消息給目標節(jié)點。IPv6隧道的攻擊

在IPv4和IPv6共存的過渡階段，現(xiàn)提出了多種隧道機制，各種各樣隧道機制的引入為網(wǎng)絡環(huán)境增添了新的復雜性，同時也帶來了一些新的安全隱患。對隧道機制的加入而產(chǎn)生安全的威脅主要有：

1. 通過隧道避開安全檢測。隧道機制的加入給很多已存在的安全措施帶來了新的挑戰(zhàn)，包括繞過訪問控制列表以及基于網(wǎng)絡的源路由控制等。

2. 隧道機制新特性帶來的新威脅。如Teredo隧道會在NAT設備上開放一個端口以方便遠程訪問隧道客戶端，但也為攻擊者提供了可以利用的入口；來自ISATAP網(wǎng)絡外部的欺騙攻擊，攻擊者可將大量的協(xié)議類型為41的虛假數(shù)據(jù)包注入ISATAP網(wǎng)絡；6to4機制本身設計成會接受和試圖解封裝所有的IPv4包，這會讓欺騙攻擊更容易發(fā)生。

3. 隧道地址帶來的新威脅。由于很多隧道機制使用一組固定范圍的地址，例如6to4隧道有自己特殊的地址前綴，這使得猜測隧道地址變得相對容易。

4. 針對隧道端點服務器的攻擊。隧道端點的服務器是隧道機制中的重要安全環(huán)節(jié)，如果攻擊者修改隧道服務器的配置或進行D O S攻擊，將帶來一系列安全問題。

IPv4/v6雙協(xié)議棧的安全威脅

雙協(xié)議棧是一種重要IPv6過渡方法，許多操作系統(tǒng)缺省支持雙協(xié)議棧，這也使得雙協(xié)議棧主機不但同時面臨IPv4和IPv6兩個邏輯通道的安全威脅，也面臨雙協(xié)議的混合攻擊。在沒有部署IPv6的IPv4網(wǎng)絡中，由于部分操作系統(tǒng)缺省啟動了IPv6自動地址配置功能，使得IPv4子網(wǎng)內(nèi)也存在隱蔽的IPv6鏈路，攻擊者可以利用此IPv6鏈路在子網(wǎng)內(nèi)實施各種攻擊。

IPv6雖然增強了網(wǎng)絡的安全特性，但由于實施復雜等原因，IPSec在當前的IPv6網(wǎng)絡中并未得到廣泛使用，IPv6的網(wǎng)絡安全問題日益突出，本文針對IPv6的新特性，介紹了IPv6的網(wǎng)絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等典型的IPv6網(wǎng)絡安全新威脅，以便人們在設計、部署和維護IPv6網(wǎng)絡中，運用正確的網(wǎng)絡安全配置和策略，提高IPv6網(wǎng)絡的安全。

(作者單位為華南理工大學信息網(wǎng)絡工程研究中心)