您好、欢迎来到现金彩票网!
当前位置:双彩网 > 协议栈 >

国家网络空间安全发展创新中心郭毅:IPv6协议栈脆弱性分析

发布时间:2019-06-19 20:29 来源:未知 编辑:admin

  首页教育信息化中国教育网络政策与焦点封面报道

  在2018 ISC互联网安全大会——IPv6规模化部署与安全论坛上,国家网络空间安全发展创新中心郭毅发表题为《IPv6协议栈脆弱性分析》的演讲,他从IPv6相较于IPv4的主要改变出发,并在此基础上分析了这些改变可能带来的新的脆弱性。

  第一,IPv6编址发生改变。由过去的32位增加到128位,极大扩展了IP地址空间,可以不受限制地获取IPv6地址。

  第二,报头格式发生改变。IPv6简化基本报头,扩展报头也更为灵活。可选项被统一移到扩展报头,附加在目的IP地址字段后面,可以有0个或者多个扩展报头。中间路由器不必处理每一个选项,提高了处理数据报文的速度,也提高了转发性能。

  第三,ICMPv6协议。该协议具备ICMPv4的常见功能,如提供发送和转发中的错误报告,以及用于故障分析的简单回送服务,废除不再使用的过时消息类型。协议综合了原有IPv4中分属不同协议的功能,多播侦听发现(MLD),取代IPv4中的IGMP协议,管理组播组成员。

  第四,ND(邻居发现)机制。组合并改进了原有功能,工作在网络层,任何网络媒介都可以运行相同的邻居发现。

  IPv6协议栈脆弱性首先是非IPv6特有的安全威胁,包括:(1)应用层协议或服务导致的漏洞在网络层无法消除;(2)利用嗅探工具实施网络嗅探,可能导致信息泄露;(3)设备仿冒接入网络;(4)未实施双向认证情况下,可实施中间人攻击;(5)洪泛攻击。

  其次,IPv6的特性带来新脆弱性,包括双栈环境、IPv6编址、扩展报头、ICMPv6、ND机制、协议具体实现相关等脆弱性。

  扩展报头相关脆弱性问题比较多:第一个就是安全控制规避,在RFC规范中,同一个包中若有多于一个扩展选项时,建议以如下顺序排列:基本报头、HBH逐跳选项、DH目的选项、RH路由报头、FH分段报头、AH认证报头、ESP封装安全荷载报头。要求HBH须紧跟基本报头,且中间节点必须处理;第二个是处理要求带来的拒绝服务;第三个是实现错误引起的拒绝服务。

  第一,熟悉IPv6网络知识及IPv6特有安全威胁。人是网络安全最重要的环节,通过对安全人员的培训和教育,使其尽快掌握IPv6环境下安全威胁与防护技能,增强对新环境安全问题的处置能力;

  第二,重视各类IPv6协议栈的漏洞挖掘与修补。漏洞挖掘是加快IPv6漏洞发现的重要手段,鼓励安全企业和个人提交与IPv6协议栈相关漏洞,使得IPv6协议栈能够尽快得到修补和完善;

  第三,IPv6网络安全防护产品开发优化与防护策略。推进现有安全设备在IPv6环境中的兼容和落地,避免出现运行在IPv6下的业务系统缺少必要的安全防护措施的局面。

  (本文刊登于《中国教育网络》2018年10月刊,本文根据郭毅在2018 ISC互联网安全大会上的发言整理而成,整理:杨洁)

  特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。

  我国将加快推进IPv6规模部署 增强应用落地和用户体验2018/11/02

  闻库:鼓励互联网企业加快IPv6改造,切实提升用户体验2018/08/14

  中国移动副总裁李正茂:实现IPv6从研究实验到规模商用的跨越2018/08/08

  由中国互联网协会主办的2018(第十七届)中国互联网大会将于2018年7月10日-12日在北京国....

  吴建平院士CCTV-1开讲:中国互联网的新时代。1月27日晚十点半档,中国工程院院士,...

  本次大会旨在落实国家关于发展下一代互联网的战略部署,充分利用高校在互联网研究上的先发优势...

http://katzztheva.com/xieyizhan/284.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有