网络就如现在的交通,越来越拥塞。新的IPv6协议为了缓解这个问题而推出使用,同时,它的安全机制,也能有效的改善现在的网络攻击问题,但是其中也存在这不小的问题,我们就此,来深入研究一下这个问题。
IPv6虽然解决了IP地址不足的问题,同时也提供了一定的安全机制如IPSec等,但是其实施与部署非常困难。研究表明,现有互联网上的安全问题在下一代互联网中仍然存在,同时还不断涌现出针对下一代互联网的攻击手段,给国民经济和个人隐私带来巨大损失。本文主要分析在IPv6协议族中起着核心作用的ICMPIPv6协议,并通过攻击实例验证相关协议的脆弱性,希望通过本文增强人们的IPv6网络安全意识。
ICMPIPv6协议简介
ICMPIPv6协议是IPv6协议族中的一个基础协议,它合并了IPv4中的ICMP(控制报文协议),IGMP(组成员协议)、ARP(地址解析协议)、RARP(反向地址解析协议)和RA(路由广播)等多个协议的功能。ICMPIPv6协议在IPv6网络中主要通过ICMPIPv6信息报文(InformationalMessage)和错误报文(ErrorMessage)的交换来实现以下核心功能:
路由前缀信息的获取:
地址解析
差错控制
由此看出,ICMPIPv6协议控制着IPv6网络中的地址生成、地址解析、路由选择、以及差错控制等关键环节,因此对ICMPIPv6协议的安全性进行深入分析尤为重要。
如表1所示,无论是ICMPIPv6信息报还是错误报都存在着被利用的可能,本文以下部份将举例进行描述。
表1ICMPIPv6协议中部份信息报文(InformationalMessage)和错误报文(ErrorMessage)
|
消息类型 |
Type |
Code |
简要描述 |
攻击利用 |
|
Error Message |
1 |
0:没有到达目的地的路由 1:与目的地的通信被管理员禁止 2: (not assigned) 3:地址不可达 4:端口不可达 |
路由器或源主机在由于除业务流拥塞之外的原因而无法转发一个包的时候产生 |
|
|
2 |
0 |
包太长 |
|
|
|
3 |
0:hop limit exceeded in transit 1: fragment reassembly time exceeded |
超时 |
|
|
|
4 |
0:erroneous header field encountered 1:unrecognized Next Header type encountered 2:unrecognized IPv6 option encountered |
参数问题 |
|
|
|
Informational Message |
128 |
0 |
Echo Request |
|
|
129 |
0 |
Echo Reply |
|
|
|
133 |
0 |
路由请求(RS) |
|
|
|
134 |
0 |
路由宣告(RA) |
|
|
|
135 |
0 |
邻居请求(NS) |
|
|
|
136 |
0 |
邻居宣告(NA) |
||
|
137 |
0 |
路由重定向(RR) |
DDoS攻击 |
