IPv6协议漏洞将威胁核心路由器安全
目前随着互联网应用的不断加深,在全球范围内IPv4地址都呈现出逐渐枯竭的状况,而面向IPv6地址过渡的呼声变得越来越强。不过,对于现在网络设备来说,IPv6准备好了吗?
作为旨在替代传统IPv4协议的IPv6,其在协议制定和演进之时,便考虑设计成能够修补IPv4协议中的安全缺陷,并将原IPv4的安全性选项IPSec(IP安全协议)加入IPv6协议中,以消除现行采用IPv4协议所产生的网络安全问题。
不过实际上,像IPv6这样的新通信协议同样也会出现一些无法预期的设计漏洞,而且当网络系统以及终端设备向IPv6协议过渡时也会衍生出各种各样的新安全弱点。
以长期以来一直被怀疑会引发IPv6安全漏洞的“原子碎片”向量为例,就被网络专家指出,可能会导致大规模核心网络路由器遭受碎片攻击。
针对IPv4,碎片攻击是一个相当普遍的攻击手段,其主要目的为规避防火墙及入侵检测系统的侦测,将易被察觉的恶意数字签名(data signature)分散到数个封包中,造成防火墙及入侵检测系统难以有效侦测出其原封包的意图。
而在IPv6仅有来源端可分割封包,其被分割的封包大小可依来源端到目的端路径所测得的最大MTU来指定,一般正常的IPv6封包为1280字节(bytes),也就是IPv6最小的封包大小,而最后一个传送的封包大小通常会小于1280字节。同时,要处理重叠的碎片为相当困难的一件事,原因在于不同的目地端系统使用不同的方式来重组封包。
对IPv6而言,当主机接收到小于1280字节(最小IPv6 MTU)的报文时,已无法将其分段为若干片段,这时便会发送包含偏移值为0、MF位为0的碎片头信息的IPv6原子碎片。关键的是,这些原子碎片会成为拒绝服务(DoS)的攻击向量,进而威胁到核心路由器的安全运行。
因此,目前来自国际互联网工程任务组(IETF)贡献者之一的Fernando Gont已经正式提交了RFC 8021文件,将IPv6协议中存在的此种情况,归类到“认为有害”列表上,以敦促业界重视该问题。
由于IPv6协议中的此漏洞会存在于采用该协议的任何产品中,这就意味着当前主流核心网络设备供应商,如思科、瞻博网络、爱立信、华为等都必须给予重视并处理,才能避免协议层面漏洞引发原子碎片攻击的风险。
作者:郑伟
来源:51CTO
IPv6协议漏洞将威胁核心路由器安全相关推荐
- 第9章 安全漏洞、威胁和对策
9.1 评估和缓解安全漏洞 9.1.1硬件 (1) 处理器 中央处理单元(Central Processing Unit, CPU)通常称为处理器或微处理器,是计算机的神经中枢. 是控制所有主要操作的 ...
- 物联网感知层的IPv6协议标准化动态
核心提示:物联网(Internet of Things)的概念最初在1999年由美国麻省理工学院的Auto-ID实验室提出,其构想是通过RFID与无线传感器网络的结合来构建一个追踪货物的全球系统.In ...
- IP协议详解及IPv4与IPv6协议的区别
IP协议是在TCP/IP协议模型中的重要组成部分,目前我们使用最多的是IPv4协议,IPv6协议的用户量也在慢慢增加,苹果在几年之前就已经开始支持IPv6协议了.我们先来了解一下IPv4和IPv6协议 ...
- IPv6 — 协议头
目录 文章目录 目录 IPv6 协议头格式 扩展报头 IPv6 协议头格式 IPv6 数据报文是 IPv4 的 4 倍,IPv6 数据报文主要由两个部分组成:Header(首部)和 Payload(负 ...
- 第20节 应用HSRP协议布署双核心交换机网络——提高网络故障容错率
核心交换机应用HSRP协议--提高网络故障容错率 1背景 1.1核心交换机的地位及作用 1.2核心交换机故障的后果 1.3应用背景 2潜在的问题 2.1核心交换机与HSRP协议 2.2网络环路问题及解 ...
- 在OpenWrt上配置原生IPv6 NAT,,实现校园网路由器使用ipv6
我的环境 网络:教育网原生双栈,IPv4地址固定,IPv6地址自动获取 固件版本:OpenWrt Chaos Calmer 15.05-rc2 r45918 内核版本:3.18.14 准备工作 第一步 ...
- 计算机网络课程设计ipv6,实验:IPv6协议的配置和使用
一.实验目的 1.掌握安装和配置IPv6协议的方法. 二.实验说明 在Windows XP和Windows Server 2003操作系统中已经内置了IPv6协议栈,可以直接安装IPv6协议.Wind ...
- R&S,数通HCIE|IPv6协议(二)
目录 一.前言 二.IPv6的基础协议 (一)ICMPv6协议 (二)NDP协议 (1)地址解析 (2)邻居状态跟踪 (3)DAD(重复地址检测) (4)无状态自动配置 (5)路由器发现 (6)ICM ...
- 实验9:IPv6协议的配置
实验9:IPv6协议的配置 一.实验目的和要求 目的:掌握IPv6地址和路由的配置方法. 要求:独立完成实验任务和实验报告.截图完整,并辅以必要的文字说明,实验步骤有条理.内容清楚流畅. 二.实验设备 ...
最新文章
- 《未来企业效率白皮书》
- python利用unittest进行测试用例执行的几种方式
- 线程的状态 Thread.State||NEW,RUNNABLE,BLOCKED,WAITING,TIMED_WAITING,TERMINATED
- 汽车之家基于 Flink + Iceberg 的湖仓一体架构实践
- PHP酒店管理demo案例(数组遍历)
- C# 2.0 锐利体验
- ai二维码插件_送你60款AI脚本插件包,已整合成插件面板的形式,方便在AI中调用...
- android自定义radiogroup,Android自定义RadioGroup
- 个人笔记1:display与visibility用法
- flashftp中文绿色破解版免费下载
- [ZT]狄马:老子与美国南北战争
- Android HAL层到驱动代码搜索---基于背光亮度的调试
- UEFI 基础教程 (一) - 基于QEMU搭建UEFI开发环境(win/linux)
- easyExcel导出excel文件并打包成zip压缩包下载
- 【docker问题】Client.Timeout exceeded while awaiting header
- 德智体美劳,全面发展的DevOps
- samba 服务器配置
- linux ss的使用方法
- Android开发OMA(Open Mobile Api)
- CentOS7搭建FastDFS V5.11分布式文件系统