日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

本文中專家Fernando Gont介紹了如何檢測(cè)你的IPv6地址組件是否易受到攻擊。

成都創(chuàng)新互聯(lián)公司是專業(yè)的丹陽(yáng)網(wǎng)站建設(shè)公司，丹陽(yáng)接單;提供成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行丹陽(yáng)網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

IPv6“友鄰發(fā)現(xiàn)”(ND)是IPv6協(xié)議棧的核心部分，它被用于IPv6地址解析和IPv6無(wú)狀態(tài)地址自動(dòng)配置等。在本文中，探討了IPv6的不同組件將如何受到基于ND的攻擊。

在部署IPv6無(wú)狀態(tài)地址自動(dòng)配置(SLAAC)時(shí)都需要IPv6節(jié)點(diǎn)。在SLAAC中，本地路由器將IPv6網(wǎng)絡(luò)配置信息提供給本地主機(jī)，而本地主機(jī)利用這一信息來(lái)建立起IPv6連接，這包括IPv6地址的配置等。與動(dòng)態(tài)主機(jī)配置協(xié)議版本6不同，這里沒(méi)有地址“租用”。相反地，主機(jī)會(huì)自己自動(dòng)配置(或“租用”)IPv6地址。SLAAC采用路由器請(qǐng)求和路由器通告消息來(lái)請(qǐng)求和傳達(dá)IPv6網(wǎng)絡(luò)及IPv6地址管理配置信息。自動(dòng)配置過(guò)程的運(yùn)作大致如下：

1. 主機(jī)配置鏈路本地地址;

2. 主機(jī)檢查地址是否唯一，即主機(jī)對(duì)(暫時(shí))地址執(zhí)行重復(fù)地址檢測(cè)(DAD);

3. 主機(jī)發(fā)送路由器請(qǐng)求消息;

4. 在接收路由器通告(RA)后，主機(jī)為接收的路由器通告中的每個(gè)前綴配置一個(gè)或多個(gè)暫時(shí)IPv6地址;

5. 主機(jī)檢查地址是否唯一，即對(duì)暫時(shí)地址執(zhí)行DAD;

6. 如果地址是唯一的，它通常會(huì)成為“首選”地址，可以積極用于網(wǎng)絡(luò)通信。

在本質(zhì)上，這意味著一個(gè)節(jié)點(diǎn)首先配置一個(gè)鏈路本地IPv6地址，然后基于RA消息中的前綴信息配置一個(gè)或多個(gè)全局IPv6地址。RA消息可能獲取其他網(wǎng)絡(luò)配置信息，例如到特定網(wǎng)絡(luò)的IPv6路徑、遞歸域名系統(tǒng)服務(wù)器的IPv6地址以及采用的最大傳輸單元(即最大數(shù)據(jù)包大小)。

有些IPv6部署未能對(duì)RA消息中的信息執(zhí)行驗(yàn)證檢查，或者未能執(zhí)行對(duì)相應(yīng)數(shù)據(jù)結(jié)構(gòu)的大小限制。

例如，有些部署會(huì)對(duì)RA消息中的每個(gè)前綴配置一個(gè)地址，而不會(huì)對(duì)它們配置的IPv6地址的最大數(shù)量進(jìn)行任何限制。因此，攻擊者可以對(duì)具有多個(gè)RA消息(包含多個(gè)自動(dòng)配置前綴)的受害者采用洪水式攻擊，受害者將自動(dòng)配置很多IPv6地址，最終將會(huì)崩潰或停止響應(yīng)。

為了幫助了解這種攻擊的基礎(chǔ)，IT管理員可以利用SI6 Networks的IPv6工具包中的ra6工具來(lái)執(zhí)行這種攻擊，如下：

ra6 -i eth0 --flood-prefixes 10 -d ff02::1 -l -z 1 -v

這個(gè)命令將會(huì)向所有本地節(jié)點(diǎn)發(fā)送一個(gè)RA消息，每秒包含10個(gè)(隨機(jī))前綴。這將導(dǎo)致每個(gè)節(jié)點(diǎn)為每個(gè)隨機(jī)前綴配置一個(gè)IPv6地址。

在Unix系統(tǒng)中，ifconfig命令可以部署在任何受害者的節(jié)點(diǎn)來(lái)檢查已經(jīng)自動(dòng)配置的IPv6地址。

圖1 ifconfig命令可以用來(lái)探測(cè)自動(dòng)配置的地址

當(dāng)然，在現(xiàn)實(shí)世界攻擊中，RA消息將以更高的速率發(fā)送，例如每秒至少100。然而，由于這種攻擊可能讓所有本地節(jié)點(diǎn)崩潰，本例中采用了更保守的數(shù)據(jù)包速率來(lái)執(zhí)行攻擊。

所有RA消息包含路由器壽命值，這表明路由器發(fā)送消息多久后可以作為默認(rèn)路由器。本地主機(jī)從RA消息獲取這個(gè)數(shù)值，并通過(guò)本地定時(shí)器來(lái)追蹤它。本地路由器通過(guò)定期發(fā)送(未請(qǐng)求的)RA消息來(lái)試圖“更新”本地主機(jī)的相關(guān)定時(shí)器。因此，在正常情況下，路由器的壽命永遠(yuǎn)不會(huì)到期。然而，攻擊者可以利用這個(gè)定時(shí)器或參數(shù)來(lái)用于拒絕服務(wù)(DoS)目的。如果攻擊者能夠模擬本地路由器，并發(fā)送路由器壽命值為0(或其他小數(shù)值)的RA消息，受害者節(jié)點(diǎn)將從默認(rèn)路由器列表中刪除假冒路由器，從而發(fā)生拒絕服務(wù)的情況。

假設(shè)特定子網(wǎng)的合法本地路由器是fe80::1，攻擊者會(huì)按如下命令利用ra6來(lái)向所有本地節(jié)點(diǎn)來(lái)執(zhí)行DoS攻擊：

ra6 -i eth0 -s fe80::1 -d ff02::1 -t 0

“-i eth0”表明發(fā)動(dòng)攻擊所使用的網(wǎng)絡(luò)接口;“-s fe80::1”表明攻擊數(shù)據(jù)包的源地址(合法本地路由器被假冒);“-d ff02::1”表示攻擊數(shù)據(jù)包被發(fā)送到“所有節(jié)點(diǎn)鏈路本地多播地址”，而“-t 0”設(shè)置“路由器壽命值”為0。

Netstat命令可以用來(lái)檢查受害者節(jié)點(diǎn)的路由表，并確認(rèn)指向fe80::1節(jié)點(diǎn)的默認(rèn)路徑已被刪除。

重復(fù)地址檢測(cè)

在IPv6地址被用于網(wǎng)絡(luò)通信之前，該地址需要檢查唯一性—這通常被稱為重復(fù)地址檢測(cè)。DAD的工作原理大致如下：

· 愿意使用IPv6地址的節(jié)點(diǎn)將為上述地址發(fā)送一個(gè)鄰居請(qǐng)求(NS)消息

· 如果在響應(yīng)中收到鄰居通告(NA)，該地址被認(rèn)為是重復(fù)的，那么DAD失敗。

· 如果沒(méi)有收到該地址的NA消息(可能是在一系列NS消息重發(fā)后)，該地址被認(rèn)為是唯一，DAD成功。

DAD相應(yīng)的NS消息被發(fā)送，其中包含設(shè)置為未指定地址(::)的源地址，因此這很容易區(qū)別于用于地址解析(而不是重復(fù)地址檢測(cè))的NS消息。

攻擊者可以通過(guò)如下命令利用na6工具來(lái)輕松地執(zhí)行針對(duì)本地節(jié)點(diǎn)的DoS攻擊：

na6 -i eth0 -b :: -L -v

這個(gè)命令指示na6監(jiān)聽(tīng)(“-L”)網(wǎng)絡(luò)接口eth0中包含源地址設(shè)置為未指定地址(“-b::”)的NS消息，當(dāng)收到這種消息時(shí)響應(yīng)NA。因此，當(dāng)節(jié)點(diǎn)被引導(dǎo)并嘗試自動(dòng)配置IPv6地址時(shí)，它試圖配置的每個(gè)地址都會(huì)被認(rèn)為是重復(fù)地址，則SLAAC會(huì)失敗。

Ifconfig命令可以用來(lái)檢查受害者網(wǎng)絡(luò)接口卡的配置，如下：

圖2 檢查網(wǎng)絡(luò)接口卡的配置

從上面的截圖中來(lái)，至少要注意兩件事情。首先，鏈路本地地址被標(biāo)記為“重復(fù)”。其次，這個(gè)接口沒(méi)有配置全局IPv6地址，原因在于，當(dāng)暫時(shí)鏈路本地地址的DAD失敗時(shí)，SLAAC被終止。因此，DoS攻擊會(huì)發(fā)生。

網(wǎng)絡(luò)不可達(dá)檢測(cè)(NUD)是IPv6的另一個(gè)組件，包括測(cè)試到相鄰節(jié)點(diǎn)的路徑，如果當(dāng)前路徑失效還可以允許選擇替代路徑。最重要的是，攻擊者為感染NUD唯一能做的事情是讓該協(xié)議來(lái)相信失敗路徑可以正常工作。

與其他基于ND的攻擊相比，這個(gè)漏洞并不是那么吸引攻擊者，因此，大家并不需要過(guò)多擔(dān)心這個(gè)攻擊方法。

本文名稱：你的IPv6地址組件是否易受攻擊?
URL標(biāo)題：http://www.5511xx.com/article/ccosgds.html