IPv6的神话无敌
IPv6具有比IPv4更大的地址空间,标准的IPv6子网在理论上可以容纳约1.844×1019主机,因此其主机密度远远低于IPv4子网(即主机与子网中可用IP地址的比率很低)。
由于IPv6地址的数量如此之大,许多人认为IPv6将使潜在攻击者难以对IPv6网络进行主机扫描攻击,有些人估计,对单个IPv6子网的主机扫描攻击可能需要5000万年时间!
IPv4互联网主机扫描攻击
在分析IPv6主机扫描攻击的细节,让我们看看主机扫描攻击是在IPv4网络中执行。IPv4地址的数量是有限的,而整个IPv4地址空间(在理论上)由232个地址与IPv4子网通常有256个地址。因此,在一个典型的IPv4子网,主机密度相对较high.ipv4主机扫描攻击通常如下:
选择目标地址范围
将测试包发送到该范围内的每个地址
每个响应的地址被认为是可用的;
因为典型的IPv4子网搜索空间相对较小(通常是256个地址),子网的主机密度非常高,对于大多数攻击者来说,按顺序在目标网络中尝试每一个可能的地址就足够了。
IPv6因特网主机扫描攻击
有两个因素使得IPv6的主机扫描攻击比IPv4攻击更加困难。
典型的IPv6子网比IPv4子网大(IPv6是264个地址,IPv4是256个地址)。
IPv6子网的主机密度比IPv4子网的主机密度低得多。
由于这两个因素,无论从数据包的带宽角度还是从执行攻击所需的时间来看,在目标IPv6子网中测试每个地址都是不可行的。
打破IPv6安全神话
然而,IPv6主机扫描攻击也不是那么的繁琐和time-consuming.we需要认识到IPv6主机地址不是随机分布在相应的256个子网的地址空间,这意味着攻击者试图确定。当它是可行的时,节点实际上不需要扫描整个子网地址空间。为了理解IPv6地址的生成和配置方式,很明显地址分配不是随机的。
ipv6ipv6全球单播地址的选择。
顾名思义,IPv6全球单播地址是用于因特网通信的IPv6地址,而不是例如本地子网通信的本地地址。它类似于IPv4:全局路由前缀通常由上游供应商分配。本地网络管理员将网络组织成多个逻辑子网,和接口ID(IID)是用来确定子网中的特定网络接口。
在选择接口ID(IPv6地址的低阶64位)时,有许多选择,包括:
嵌入式的MAC地址
Low byte address
嵌入式IPv4地址
使用复合地址
使用隐私或临时地址
依赖过渡或共存技术
嵌入式的MAC地址
大多数IPv6主机的无状态地址自动分配生成(SLAAC)基于互联网的society.slaac获取MAC地址,插在中间的一个16位数的号码,并在以太网,这使得接口ID(或低阶的64位地址)使用以下语法:
在这种情况下,至少知道接口ID的16位。接口ID的其余部分(从底层以太网地址借来的位)也处于特定模式。
因此,当规划一个IPv6主机扫描攻击,攻击者可能已经知道,目标企业的收购网络设备提供商的情况。攻击者可以减少搜索空间,因此只有这些是(企业的唯一标识符),即标识符分配给供应商,然后他们可以进一步降低搜索空间,因为低阶的24位以太网地址通常是根据制造的网络接口卡的分布序列。例如,如果一个企业购买了400系统从相应的供应商,这些系统可能有一个连续的以太网地址(和连续的IPv6地址)。只要攻击者在目标网络节点通过尝试发现随机地址,可以通过尝试连续地址获得其他节点。
虚拟化技术是一个有趣的特殊情况,因为大多数虚拟化产品在虚拟机网卡网络接口使用特定的IEEE是的,也就是说,当攻击者在虚拟机,搜索空间将减少到已知的是。虚拟技术
所有这些情况表明,只有知道或找到某些地址,攻击者才能缩小搜索范围,使IPv6主机扫描攻击成为可能。
低字节地址
低字节地址的接口ID是0的IPv6地址,除了最后8或16位(如:2001:1, 2001:2:db8 db8,等等),这些地址通常是手动配置(通常为基础),但也可能有一些动态主机配置协议版本6(DHCPv6)服务器,这将在一个特定的地址范围分配IPv6地址。当低字节地址,IPv6地址搜索空间缩小到(216)的地址,使IPv6主机扫描攻击更可行。
嵌入式IPv4地址
互联网工程任务组(IETF)规范允许IPv6地址是在形式表示:2001:::w.x.y.z db8,和IPv4地址的形式是w.x.y.z.the形式生成的地址通常出现在基础设施设备,如果设备的IPv4地址是已知的,它是更容易记住;;设备的IPv6地址,地址的其余部分是已知的或可以猜到,因此嵌入式IPv4地址的网络将帮助攻击者减少IPv6地址的搜索空间的搜索空间为IPv4网络。
复合地址
IPv6地址采用十六(而不是小数)符号,它增加了一些想法时,配置地址。例如,脸谱网地图的IPv6地址的域名是2a03:2880:2110:3f02脸::::b00c ,这些搜索空间复杂;复杂的地址搜索空间就是不简单;当然,搜索空间是与整个264 IPv6空间相比减少。曾经有一个IPv6主机扫描攻击复杂基于字典的IPv6地址。
隐私/临时地址
针对主机跟踪问题,IETF规范了RFC 4941;无状态地址自动配置的隐私扩展;本质上,RFC 4941指定接口ID应该是随机的,并且随着时间的变化而变化,以创建一个不可预知的地址。
然而,RFC 4941规定,除了传统的SLAAC地址、暂住地址应该是生成的而不是取代。临时地址用于出站通信,而传统SLAAC地址用于服务器的功能,如入站通信。因此,这些地址不缓解主机扫描攻击,因为可预见的SLAAC地址仍然是配置与临时地址的主机。除了OpenBSD OpenBSD禁止传统SLAAC地址时使用私有地址。
过渡共存技术
有很多过渡技术或共存的技术从IPv4到IPv6,如6to4和Teredo,指定IPv6全球单播地址的特殊语法。在大多数情况下,IPv4地址作为IPv6地址的一部分嵌入到IPv6中,因为在这一领域有很多技术,本文将不详细介绍,但我们需要注意这些地址遵循特定的模式,因此我们可以减少IPv6地址的搜索范围。
如何减轻IPv6主机扫描攻击
为了缓解IPv6主机扫描攻击是删除从IPv6地址的任何明显的模式最聪明的方式。6man IETF的工作组目前正在研究一种方法来生成IPv6地址,具有以下特点:
生成的接口ID不容易预测。
生成的接口ID在每个子网中都是稳定的,但是当主机从一个网络移动到另一个网络时,接口ID会发生变化。
生成的接口ID与底层链路层地址无关。
为了确保IPv6部署的安全性,IETF必须完成此标准化工作,更重要的是要求供应商部署它,一旦这些工作到位,这些不可预知的地址将使攻击者的IPv6主机扫描攻击更加难以执行。
其他缓解IPv6主机扫描攻击,包括网络入侵防御系统(IPS):当使用本地子网接收到大量不同的IPv6地址检测包(特别是当许多目标地址不存在),可以防止传入的数据包从一个特定的源地址,处理主机扫描攻击的另一个途径。是配置基于DHCPv6系统和手动配置的不可预知的地址。虽然Windows系统产生不可预知的地址,其他所有的端点(包括思科和基于Linux的设备)也需要一些额外的配置,可以使DHCPv6服务器发布的不可预知的地址,你也可以手动配置系统,这样他们就可以使用T他不可预知的。显然,DHCPv6的方法应该是首选的方法,因为它更容易扩展。然而,并不是所有的DHCPv6软件有这个功能,所以唯一的办法就是手动配置每个系统的IPv6地址(当然,这个工作是很痛苦的)。
本文通过分析IPv6地址在Internet上的分布情况,提出了改进的认识:虽然主机扫描攻击IPv6在很大程度上被停止了,但IETF和厂商仍有很多工作要做,以增加IPv6主机扫描攻击的难度。
