《IPv6安全》——第2章 IPv6協定安全弱點 - 副本

本節書摘來異步社群《ipv6安全》一書中的第2章，作者：【美】scott hogg , eric vyncke，更多章節内容可以通路雲栖社群“異步社群”公衆号檢視

ipv6安全

本章講解如下主題。

ipv6協定首部：回顧ipv6首部、icmpv6和多點傳播。

擴充首部的各項威脅：ipv6首部的安全隐含意義。

勘察ipv6網絡：尋找可被攻擊的ipv6節點。

三層和四層欺騙：精心構造資料包威脅。

第2章　ipv6協定安全弱點

internet工程任務組（ietf）定義了在構造一個可互操作協定時，實作人員必須遵循的ipv6協定規範。在某些方面，某些規範可能是二義性的和不完全的，或在撰寫規範時沒有考慮到一些安全隐含意義。是以，在軟體被開發和部署後，就可能出現不可預見的安全問題。例如，滿足ietf rfc中詳細說明的規範的資料包，當在一個網絡上被發送或接收時，可能有不良後果。雖然按照規範一些資料包是合法的，但它們也許沒有遵循通信進行的實際邏輯。這些話題超出了位置（lan或wan）限制，但可适用于多種類型的網絡（企業或服務提供商）。黑客和安全研究人員們深入探索研究了規範和實踐部署之間的這些細微差别。ietf有時會修訂協定，但在一些情形中，ietf将之留給ip系統的部署人員，由他們修正規範的缺陷。

多數這樣的弱點涉及ipv6資料包首部内部的字段。ipv6首部定義了協定，是以它成為諸多安全研究的焦點。當網絡硬體和軟體的實作暴露出ipv6協定中的這些弱點時，就出現了安全問題。當以開放系統互連（osi）協定棧考察ipv6時，以ipv6替換ipv4本質上僅改變了網絡層。網絡層上下的協定層未必會受到ipv6引入的影響。但是，因為ipv6與網絡層上下協定層互動的方式，就可能出現由于ipv6引入導緻的新威脅。因為ipv6首部内部的各項字段影響該協定的安全，是以ipv6首部是本章的讨論焦點。

本章首先回顧ipv6首部和由internet控制消息協定版本6（icmpv6）及多點傳播提供的關鍵功能，然後講解與ipv6擴充首部有關的安全問題。本章詳細回顧了每種擴充首部類型，并較長的描述了每種擴充首部類型的安全對策。之後本章回顧了攻擊者如何實施對ipv6網絡的破壞。最後，本章讨論如何使用欺騙位址和上層資訊僞造資料包。