虚拟化技术是一个有趣的特殊情况,因为大多数虚拟化产品对虚拟机的网络接口卡采用了特定的IEEE OUI,也就是说,当攻击者瞄准虚拟机时,搜索空间将被缩小为虚拟技术采用的已知的OUI。 这些情况都说明了只需要知道或者发现一些地址,攻击者就能够缩小他的搜索范围,使IPv6主机扫描攻击成为可能。 低字节地址 低字节地址是接口ID全是0的IPv6地址,除了最后8或16位(例如2001:db8::1、2001:db8::2等)。这些地址通常是手动配置的(通常用于基础设施),但是也可能是使用了一些动态主机配置协议版本6(DHCPv6)服务器,这些服务器会从特定地址范围按顺序分配IPv6地址。
当采……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
虚拟化技术是一个有趣的特殊情况,因为大多数虚拟化产品对虚拟机的网络接口卡采用了特定的IEEE OUI,也就是说,当攻击者瞄准虚拟机时,搜索空间将被缩小为虚拟技术采用的已知的OUI。
这些情况都说明了只需要知道或者发现一些地址,攻击者就能够缩小他的搜索范围,使IPv6主机扫描攻击成为可能。
低字节地址
低字节地址是接口ID全是0的IPv6地址,除了最后8或16位(例如2001:db8::1、2001:db8::2等)。这些地址通常是手动配置的(通常用于基础设施),但是也可能是使用了一些动态主机配置协议版本6(DHCPv6)服务器,这些服务器会从特定地址范围按顺序分配IPv6地址。当采用低字节地址时,IPv6地址搜索空间被缩小到(最多)216个地址,这使IPv6主机扫描攻击变得更为可行。
嵌入式IPv4地址
互联网工程任务组(IETF)规范允许IPv6地址以“2001:db8::W.X.Y.Z”的形式来表达,而IPv4地址的形式为“W.X.Y.Z”。这种生成地址的形式通常出现在基础设施设备中,因为如果该设备的IPv4地址是已知的,就更容易“记住”设备的IPv6地址。其余的地址都是已知的或者可猜测出,所以采用嵌入式IPv4地址的网络将有助于攻击者将IPv6地址搜索空间缩小到与IPv4网络相同的搜索空间。
“繁复”的地址
IPv6地址采用十六进制(而不是小数)符号,这在手动配置地址时,增加一些创意。例如,Facebook的域名映射到IPv6地址是“2a03:2880:2110:3f02:face:b00c::”。确定这些“繁复”的地址的搜索空间并不简单,当然,与整个264个IPv6空间相比时,搜索空间还是有所减少了。曾经有针对“繁复”地址的基于字典的IPv6主机扫描攻击。
隐私/临时地址
为了响应主机跟踪问题,IETF在RFC 4941中标准化了“无状态地址自动配置的隐私扩展”。在本质上,RFC 4941规定接口ID应该是随机的,会随着时间的变化而变化,以创建一个不可预见的地址。
然而,RFC 4941规定除了传统SLAAC地址外还要生成临时地址(而不是替代它们),临时地址用于出站通讯,而传统SLAAC地址用于服务器功能(例如入站通讯)。因此,这些地址并不能缓解主机扫描攻击,因为在采用临时地址的主机上仍然配置了可预测的SLAAC地址(但OpenBSD除外,OpenBSD在启用隐私地址时,禁用了传统SLAAC地址)。
过渡/共存技术
有很多IPv4到IPv6的过渡技术或者共存技术(例如6to4和Teredo)为IPv6全球单播地址指定了特殊语法,在大多数情况下是在IPv6中嵌入IPv4地址,作为IPv6的地址的一部分。由于有很多这方面的技术,本文将不深入到具体细节,但需要注意这些地址遵循特定的模式,所以能减小IPv6地址搜索范围。
如何缓解IPv6主机扫描攻击
缓解IPv6主机扫描攻击最聪明的办法是从IPv6地址删除任何明显的模式。IETF的6man工作组目前正在研究一种生成IPv6地址的方法,它有以下特点:
• 产生的接口ID不容易被预测出
• 产生的接口ID在每个子网内是稳定的,但是当主机从一个网络移动到另一个网络时,接口ID会跟着变化
• 产生的接口ID独立于底层链路层地址
为了确保IPv6部署的安全性,IETF必须完成此标准化工作,并且更重要的是,需要供应商部署它。一旦这些工作都到位了,这些不可预测的地址将让攻击者的IPv6主机扫描攻击更难以执行。
其他缓解IPv6主机扫描攻击的措施包括使用基于网络的入侵防御系统(IPS):当在本地子网接收到大量针对不同IPv6地址的探测数据包时(尤其是当很多目标地址不存在时),可以从特定来源地址阻止入站数据包,来应对主机扫描攻击活动。另一种方法是为基于DHCPv6和手动配置的系统配置不可预测的地址。虽然windows系统生成不可预测地址,所有其他端点(包括基于思科和Linux的设备)还需要一些额外的配置,既可以启用DHCPv6服务器来发布不可预测地址,也可以手动配置系统,这样他们就可以使用不可预测地址。很显然,DHCPv6的方法应该是首选方法,因为它更容易扩展。然而,并不是所有DHCPv6软件都有这个功能,因此可能唯一的方法应该是手动配置每个系统的IPv6地址(当然这个工作会非常痛苦)。
读了本文关于IPv6地址在互联网上的分配方式的分析,大家应该提高认识:虽然IPv6的主机扫描攻击在很大程度上受到了阻止,但IETF和供应商仍然有很多工作要做,以增加IPv6主机扫描攻击的难度。
翻译
相关推荐
-
IPv6更新:在安全和隐私方面有所改进
近日,国际互联网工程任务组(也被称为IETF)发布了一套新标准:RFC 8064,《有关稳定IPv6接口标识符的建议》。这个新标准正式更新了14个IETF标准,包括IPv6寻址架构……
-
专访John Curran:我们谈谈IPv6连接的安全性(下)
可用的IPv4地址的耗尽驱使企业开始支持IPv6连接,至少在连接互联网的服务上要支持,那么IPv6的安全性如何呢?
-
东软NetEye获国家首批支持IPv6的第二代防火墙资质认证
近日,东软NetEye第二代防火墙千兆及万兆两款产品顺利通过 《信息安全技术第二代防火墙安全技术要求》的测试,获得国内首批支持IPv6的增强级第二代防火墙认证资质。
-
风险剖析:IPv6扩展报头带来的安全隐患(下)
IPv6数据包的结构可以让这个下一代网络协议在可预见的未来中实现几乎无限的可扩展性。然而,经验表明,这种灵活性是要付出代价的,这个代价就包括安全隐患。