文/胡金龍 陸以勤

校園IPv6網(wǎng)絡(luò)安全新威脅分析

文/胡金龍 陸以勤

隨著IPv6在校園網(wǎng)中的廣泛部署，IPv6網(wǎng)絡(luò)的安全問題日益突出，本文針對(duì)IPv6的新特性，對(duì)IPv6的網(wǎng)絡(luò)偵察、鄰接點(diǎn)欺騙攻擊、IPv6隧道攻擊等典型的IPv6網(wǎng)絡(luò)安全新威脅進(jìn)行了詳細(xì)分析，以便在設(shè)計(jì)、部署和維護(hù)IPv6網(wǎng)絡(luò)中可以合理地運(yùn)用安全策略，提高網(wǎng)絡(luò)的安全性。

與IPv4協(xié)議相比，IPv6提供了更大的地址空間、集成的安全性、簡(jiǎn)易的配置和更簡(jiǎn)潔的包頭結(jié)構(gòu)。在IPv6中IPSec是一個(gè)必須組成部分，使得網(wǎng)絡(luò)層的安全性得到了增強(qiáng)，但I(xiàn)Pv6并未要求強(qiáng)制實(shí)施IPSec協(xié)議，而且IPSec對(duì)PKI基礎(chǔ)設(shè)施的依賴、可擴(kuò)展問題和效率問題，使得IPSec在實(shí)際IPv6網(wǎng)絡(luò)環(huán)境中極少部署。

由于IP網(wǎng)絡(luò)根本的數(shù)據(jù)傳輸機(jī)制沒有改變，IPv6網(wǎng)絡(luò)面臨著許多與IPv4網(wǎng)絡(luò)相同的攻擊，例如報(bào)頭處理和分片攻擊、地址欺騙、地址解釋和D H C P攻擊、蠕蟲和病毒攻擊等。同時(shí)由于協(xié)議自身的特性，IPv6還存在許多新的安全威脅，例如IPv6的網(wǎng)絡(luò)偵察、第三層地址欺騙與地址的隱私擴(kuò)展、ICMPv6相關(guān)安全攻擊、IPv6擴(kuò)展頭部的安全、隧道的安全等。隨著IPv6在校園網(wǎng)中的廣泛部署，IPv6網(wǎng)絡(luò)的安全問題日益突出。

IPv6網(wǎng)絡(luò)安全新威脅主要分為兩類，如圖1所示，一類是IPv6協(xié)議棧實(shí)現(xiàn)上的漏洞產(chǎn)生的威脅，例如蘋果Mac OS X 操作系統(tǒng)的IPv6套接字選項(xiàng)拒絕服務(wù)攻擊漏洞 (CVE-2010-1132)，Linux內(nèi)核IPv6分片標(biāo)識(shí)遠(yuǎn)程拒絕服務(wù)攻擊漏洞（CVE-2011-2 6 9 9），攻擊者可以利用這些漏洞發(fā)起攻擊，針對(duì)這類安全威脅, 用戶應(yīng)及時(shí)升級(jí)和更新系統(tǒng)；另一類是IPv6協(xié)議特有的新威脅，例如IPv6的網(wǎng)絡(luò)偵察、鄰接點(diǎn)欺騙攻擊、IPv6隧道攻擊等，下面進(jìn)行介紹幾種典型的IPv6網(wǎng)絡(luò)安全威脅。

IPv6的網(wǎng)絡(luò)偵察

網(wǎng)絡(luò)偵察往往是攻擊的第一步，但是巨大的IPv6地址空間使得傳統(tǒng)的網(wǎng)絡(luò)地址段ping掃描在IPv6網(wǎng)絡(luò)中是非常困難的。然而這并不能說明在IPv6 網(wǎng)絡(luò)中無法進(jìn)行掃描攻擊，攻擊者可以通過利用安全性較差路由器上的N D緩沖、D N S、易于記憶的地址（如::1, ::IPv4等）和采集數(shù)據(jù)包分析等方式實(shí)施攻擊，另外IPv6組播機(jī)制使得某些掃描變得更容易，如所有路由器、所有DHCP服務(wù)器。典型的IPv6網(wǎng)絡(luò)掃描技術(shù)包括以下幾種：

圖1 IPv6網(wǎng)絡(luò)安全威脅分類

1. 搜集IPv6 前綴信息

攻擊者通過觀察路由信息，例如捕獲路由器定期發(fā)送的RA報(bào)文或者偽造一個(gè)RS報(bào)文發(fā)送給所有路由器然后觀察路由器回復(fù)的RA報(bào)文；或從互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)分配地址空間的信息可以學(xué)習(xí)到一些IPv6 前綴信息。

2. DNS查詢

通過DNS公告的服務(wù)器可以很容易通過DNS查詢得到對(duì)應(yīng)的IPv6地址。而且如果管理者使用順序的方式為主機(jī)分配地址，那么只發(fā)布一個(gè)服務(wù)器地址就可能威脅到其他主機(jī)。

3. 應(yīng)用日志文件分析

攻擊者通過分析日志文件，可以獲得IPv6地址，例如WEB站點(diǎn)的日志文件，P 2 P連接的日志文件。

4. 隧道地址分析

攻擊者通過分析網(wǎng)絡(luò)使用的過渡方法（如6 t o 4 隧道、ISATAP 隧道、Teredo隧道或是其他技術(shù)）確定目標(biāo)節(jié)點(diǎn)的地址。例如有些操作系統(tǒng)的6to4 實(shí)現(xiàn)缺省使用的地址為2002:V4ADDR::V4ADDR，如果攻擊者發(fā)現(xiàn)目標(biāo)機(jī)的IPv4地址，就有可能分析對(duì)應(yīng)的IPv6地址。

5. 虛假路由通告

攻擊機(jī)通過向目標(biāo)網(wǎng)絡(luò)發(fā)送目標(biāo)地址為節(jié)點(diǎn)組播地址（FF02::1）的虛假路由通告報(bào)文，攻擊者通過分析地址重復(fù)檢測(cè)（DAD）的組播報(bào)文，可獲得目標(biāo)網(wǎng)絡(luò)活動(dòng)主機(jī)的IPv6地址。

IPv6的鄰接點(diǎn)欺騙攻擊

IPv6的鄰居發(fā)現(xiàn)協(xié)議（ND）使ND協(xié)議集成了以前IPv4中一些協(xié)議的功能，如IPv4地址解釋協(xié)議（ARP）、ICMP路由發(fā)現(xiàn)功能和ICMP重定向功能，并增加了一些新的功能，如網(wǎng)絡(luò)前綴地址發(fā)現(xiàn)、鏈路參數(shù)發(fā)現(xiàn)和地址自動(dòng)配置等。ND協(xié)議主要的安全威脅可以分為以下三種類型：拒絕服務(wù)攻擊（DoS）、地址欺騙攻擊和路由器欺騙攻擊。ND協(xié)議安全威脅主要有：

1. 鄰居請(qǐng)求和通告欺騙。攻擊者可以通過發(fā)送包含虛假M(fèi)AC地址的鄰居請(qǐng)求（NS）報(bào)文或鄰居通告（NA）報(bào)文更新被攻擊者的鄰居緩存，導(dǎo)致被攻擊者將報(bào)文轉(zhuǎn)發(fā)到虛假M(fèi)AC地址。

2. 地址重復(fù)檢測(cè)的拒絕服務(wù)攻擊。攻擊者通過發(fā)送虛假的NA消息，響應(yīng)子網(wǎng)內(nèi)所有的重復(fù)地址發(fā)現(xiàn)的NS請(qǐng)求報(bào)文，使被攻擊節(jié)點(diǎn)無法獲得地址，進(jìn)而實(shí)現(xiàn)重復(fù)地址發(fā)現(xiàn)的拒絕服務(wù)攻擊。

3. 鄰居不可達(dá)發(fā)現(xiàn)欺騙。攻擊者持續(xù)發(fā)送虛假的NA鄰居通告報(bào)文來響應(yīng)目標(biāo)節(jié)點(diǎn)的鄰居探測(cè)NS報(bào)文。

4. 路由器通告欺騙。攻擊者發(fā)送虛假的路由器通告報(bào)文響應(yīng)目標(biāo)節(jié)點(diǎn)的路由器請(qǐng)求報(bào)文，以欺騙目標(biāo)節(jié)點(diǎn)選擇虛假的路由器作為缺省路由器。

5. 虛假路由參數(shù)欺騙。攻擊者通過發(fā)送包含惡意參數(shù)的虛假路由器報(bào)文來控制或破壞目標(biāo)節(jié)點(diǎn)的通信。

6. 虛假的重定向消息。攻擊者假冒鏈路上的路由器做源地址發(fā)送虛假的重定向消息給目標(biāo)節(jié)點(diǎn)。IPv6隧道的攻擊

在IPv4和IPv6共存的過渡階段，現(xiàn)提出了多種隧道機(jī)制，各種各樣隧道機(jī)制的引入為網(wǎng)絡(luò)環(huán)境增添了新的復(fù)雜性，同時(shí)也帶來了一些新的安全隱患。對(duì)隧道機(jī)制的加入而產(chǎn)生安全的威脅主要有：

1. 通過隧道避開安全檢測(cè)。隧道機(jī)制的加入給很多已存在的安全措施帶來了新的挑戰(zhàn)，包括繞過訪問控制列表以及基于網(wǎng)絡(luò)的源路由控制等。

2. 隧道機(jī)制新特性帶來的新威脅。如Teredo隧道會(huì)在NAT設(shè)備上開放一個(gè)端口以方便遠(yuǎn)程訪問隧道客戶端，但也為攻擊者提供了可以利用的入口；來自ISATAP網(wǎng)絡(luò)外部的欺騙攻擊，攻擊者可將大量的協(xié)議類型為41的虛假數(shù)據(jù)包注入ISATAP網(wǎng)絡(luò)；6to4機(jī)制本身設(shè)計(jì)成會(huì)接受和試圖解封裝所有的IPv4包，這會(huì)讓欺騙攻擊更容易發(fā)生。

3. 隧道地址帶來的新威脅。由于很多隧道機(jī)制使用一組固定范圍的地址，例如6to4隧道有自己特殊的地址前綴，這使得猜測(cè)隧道地址變得相對(duì)容易。

4. 針對(duì)隧道端點(diǎn)服務(wù)器的攻擊。隧道端點(diǎn)的服務(wù)器是隧道機(jī)制中的重要安全環(huán)節(jié)，如果攻擊者修改隧道服務(wù)器的配置或進(jìn)行D O S攻擊，將帶來一系列安全問題。

IPv4/v6雙協(xié)議棧的安全威脅

雙協(xié)議棧是一種重要IPv6過渡方法，許多操作系統(tǒng)缺省支持雙協(xié)議棧，這也使得雙協(xié)議棧主機(jī)不但同時(shí)面臨IPv4和IPv6兩個(gè)邏輯通道的安全威脅，也面臨雙協(xié)議的混合攻擊。在沒有部署IPv6的IPv4網(wǎng)絡(luò)中，由于部分操作系統(tǒng)缺省啟動(dòng)了IPv6自動(dòng)地址配置功能，使得IPv4子網(wǎng)內(nèi)也存在隱蔽的IPv6鏈路，攻擊者可以利用此IPv6鏈路在子網(wǎng)內(nèi)實(shí)施各種攻擊。

IPv6雖然增強(qiáng)了網(wǎng)絡(luò)的安全特性，但由于實(shí)施復(fù)雜等原因，IPSec在當(dāng)前的IPv6網(wǎng)絡(luò)中并未得到廣泛使用，IPv6的網(wǎng)絡(luò)安全問題日益突出，本文針對(duì)IPv6的新特性，介紹了IPv6的網(wǎng)絡(luò)偵察、鄰接點(diǎn)欺騙攻擊、IPv6隧道攻擊等典型的IPv6網(wǎng)絡(luò)安全新威脅，以便人們?cè)谠O(shè)計(jì)、部署和維護(hù)IPv6網(wǎng)絡(luò)中，運(yùn)用正確的網(wǎng)絡(luò)安全配置和策略，提高IPv6網(wǎng)絡(luò)的安全。

(作者單位為華南理工大學(xué)信息網(wǎng)絡(luò)工程研究中心)