導讀:在我國,IPv6一直在穩(wěn)步發(fā)展,早已不是多年前只在實驗環(huán)境中存在的場景了,很多互聯(lián)網(wǎng)大廠、高校都用上了IPv6,部分地址寬帶用戶也使用了IPv6。
在我國,IPv6一直在穩(wěn)步發(fā)展,早已不是多年前只在實驗環(huán)境中存在的場景了,很多互聯(lián)網(wǎng)大廠、高校都用上了IPv6,部分地址寬帶用戶也使用了IPv6。就在前些日子,安全研究員Dirk-jan
Mollema發(fā)表基于委派攻擊并結(jié)合NTLM
Relaying,實現(xiàn)對同網(wǎng)段的在域主機進行攻擊文章詳情,其中就使用了基于IPv6的mitm6工具,通過IPv6網(wǎng)絡(luò)實現(xiàn)攻擊。
盡管IPv6發(fā)展了很多年,但相對很多人而言,它還是一個陌生的對象,需要我們逐步去了解和認識,以備后續(xù)的工作和生活需要。IPv6內(nèi)容很多,由于篇幅有限,無法詳細描述,本文僅介紹IPv6相對關(guān)鍵的組成部分及其相關(guān)安全性。
2、IPv6協(xié)議
2.1、從一個包結(jié)構(gòu)認識IPv6
(圖片來源:https://pcedu.pconline.com.cn/1038/10387664.html)
IPv6在RFC2460中描述,相比IPv4,IPv6具有以下特征:
固定的報文結(jié)構(gòu),更高效的封裝和性能。
Source/Destination Address:128位bit的地址空間,號稱地球上每個沙子都能分配到獨立的IP地址。
Flow Label:流標簽能力,實現(xiàn)流量標記區(qū)分。
可擴展頭部:在固定頭部后面,可以鏈式附加許多擴展頭部,實現(xiàn)更多功能支持。
2.2、看懂IPv6地址
和IPv4不同,IPv6采用16進制來表示,將整個地址分為8個段,每段之間用冒號隔開,每段的長度為16位,表示如下: XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX/X,并且IPv6有地址簡化的寫法,通過下圖可以了解簡化寫法。
(圖片來源:https://baijiahao.baidu.com/s?id=1611121709439510290&wfr=spider&for=pc)
2.3、不同地址作用大不相同
在RFC2373定義了IPv6的地址類型,我們需要了解的主要類型如下:
全局單播地址:IPv6公網(wǎng)地址,所有以2或3開頭的地址屬于該類地址,掩碼是64位。
鏈路本地地址:鏈路本地地址非常重要,用于鄰居發(fā)現(xiàn)、地址配置、路由協(xié)議的協(xié)商等。顧名思義,它僅用于本地鏈路通訊,在本地鏈路有效,無法跨下一跳。所有以 FE80開頭的地址屬于該類地址。通常情況下,啟用IPv6協(xié)議的接口會根據(jù)MAC地址,自動生成一個鏈路本地地址,這個機制稱為EUI-64。
站點本地地址:站點本地地址類似IPv4中的私網(wǎng)地址,這些地址無法在互聯(lián)網(wǎng)上進行路由。所有以 FEC0開頭的地址屬于該類地址。
組播地址:組播地址用來表示一組設(shè)備或接口,所有以 FF開頭的地址屬于該類地址。其中 FF02::1表示本地鏈路上的所有主機, FF02::2表示本地鏈路上的所有路由器。
3、鄰居發(fā)現(xiàn)協(xié)議(NDP)
3.1、NDP是什么
在IPv6網(wǎng)絡(luò)中,采用NDP協(xié)議取代ARP來學習MAC地址,NDP的數(shù)據(jù)封裝在ICMP v6包中,它主要實現(xiàn)了以下功能:
鏈路地址管理:維護一個IP地址和MAC的關(guān)系狀態(tài)表
無狀態(tài)地址自動配置(SLAAC):能夠在沒有DHCP服務(wù)器的情況下實現(xiàn)主機自動學習配置IPv6地址
路由器重定向:與IPv4一樣
3.2.1、主機之間如何通信
鏈路地址管理既然是替代ARP的功能,它所實現(xiàn)的就是幫助主機找到目標IP的MAC地址,并且維護這些IP地址和MAC的對應關(guān)系,在必要的時候進行刪除和更新。在IPv6網(wǎng)絡(luò)中,為了學習一個MAC地址,一個簡單的NDP交互過程大致如下:
(圖片來源:https://blog.csdn.net/qq_38265137/article/details/80466128)
當一個主機第一次與對方通信時,它會在網(wǎng)絡(luò)中發(fā)送一個鄰居請求(NS)包,這個NS包攜帶了發(fā)送者的IP和MAC地址,以及發(fā)送者需要請求MAC地址的目標IP,這個NS包被發(fā)送到一個“被請求節(jié)點多播地址”;
擁有目標IP的主機會偵聽“被請求節(jié)點多播地址”,當它收到這個NS數(shù)據(jù)包后,就知道誰要找它,然后這個主機會用一個鄰居通告(NA)單播回應NS請求,告訴對方自己的MAC地址信息。
通過這樣一個簡單的過程,雙方就能夠?qū)W習并創(chuàng)建一條IP-MAC對應記錄。NDP有復雜的狀態(tài)機制,這里不做詳細介紹。想了解的可查看H3C IPv6鄰居發(fā)現(xiàn)經(jīng)典講義。
這里需要解釋一個名詞,那就是“被請求節(jié)點組播地址”,這是一種特殊的組播地址,每一個主機配置好單播IPv6地址后,都會根據(jù)這個IP地址自動生成一個對應的“被請求節(jié)點組播地址”,這個“被請求節(jié)點組播地址”只在本地鏈路上有效,且在鏈路上唯一。這個“被請求節(jié)點組播地址”的前綴是:FF02::1:FFxx:xxxx/104,后24位是接口IPv6地址的后24位。
3.2.2、無感知的IP地址自動配置
在IPv6網(wǎng)絡(luò)中,我們可以不需要DHCP實現(xiàn)主機自動獲取網(wǎng)絡(luò)的前綴信息、鏈路環(huán)境信息、并檢測地址沖突等,完成節(jié)點無感知接入網(wǎng)絡(luò)。一個簡單的地址配置交互過程如下:
(圖片來源:https://blog.csdn.net/qq_38265137/article/details/80466128)
在IPv6網(wǎng)絡(luò)中,網(wǎng)關(guān)會周期性發(fā)送RA數(shù)據(jù)包到多播地址 fe02::1以宣布自己的存在。這個時候,網(wǎng)絡(luò)上的主機會接收到RA包,通過RA包攜帶的信息,主機可以學習到接入網(wǎng)絡(luò)所需要配置的地址信息,從而自動進行IP地址的配置。
反過來,當主機接入到一個IPv6網(wǎng)絡(luò)中時,主機會自動發(fā)起一個RS包請求地址配置,目的地址為標識所有路由器的多播地址( fe02::2)。路由器收到RS包后,需要馬上發(fā)送一個RA包以回應該主機,以便主機進行地址配置。
3.2.3、DAD-地址沖突檢測機制
主機獲取到IPv6地址后,并非馬上就能使用該地址進行通信,需要做一個重復地址的檢測,確保網(wǎng)絡(luò)上沒有相同地址的主機存在。為了檢測地址沖突,主機會在網(wǎng)絡(luò)上發(fā)送一個該IP生成的被請求組播地址,源地址為::,如果有節(jié)點應答,即收到一個鄰居通告(NA)包,說明該地址已被使用,如果在重傳時間內(nèi)未檢測出重復地址,則認為地址可以使用。
(圖片來源:https://blog.csdn.net/qq_38265137/article/details/80466128)
4、IPv6過渡技術(shù)
目前IPv6仍處于發(fā)展階段,雖然運營商、互聯(lián)網(wǎng)公司及高校都在逐步建設(shè),但是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和應用大部分還在使用IPv4。由于IPv4和IPv6本身的不兼容性,為了適應這種情況,把各自的網(wǎng)絡(luò)孤島進行連接,出現(xiàn)了幾種過渡解決方法,分別是:
雙棧技術(shù):在網(wǎng)絡(luò)節(jié)點中同時啟用IPv4和IPv6兩種協(xié)議,使得網(wǎng)絡(luò)可以同時支持兩種協(xié)議。
隧道技術(shù):采用數(shù)據(jù)包封裝技術(shù),將IPv6數(shù)據(jù)封裝到IPv4數(shù)據(jù)包中,利用IPv4的網(wǎng)絡(luò)中進行通信。
翻譯技術(shù):采用類似NAT的方式進行的轉(zhuǎn)換。
雙棧技術(shù)相對比較好理解,節(jié)點主要根據(jù)應用的通訊的地址,選擇相應的網(wǎng)絡(luò)進行傳輸即可。
而關(guān)于IPv6隧道技術(shù),本質(zhì)上是數(shù)據(jù)包的二次封裝,借助IPv4網(wǎng)絡(luò),來實現(xiàn)IPv6節(jié)點的互聯(lián)。隧道技術(shù)有多種實現(xiàn),如ipv6 in ipv4、6to4、GRE、ISATAP、Teredo隧道等。
4.1、6to4隧道
當孤立IPv6站點之間需要通信時,通過在IPv4網(wǎng)絡(luò)中創(chuàng)建隧道,實現(xiàn)兩個孤立站點之間的互聯(lián)。6to4隧道將IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中,通過IPv4網(wǎng)絡(luò)進行通信。6to4借助特殊的配置和條件,實現(xiàn)了隧道自動建立。如下圖:
(圖片來源:http://blog.sina.com.cn/s/blog_5ec353710101e45y.html)
隧道的建立是由雙棧主機觸發(fā),IPv6 6to4隧道具有以下特點:
自動隧道建立:路由器通過提取ipv6數(shù)據(jù)包目標地址后32位來作為隧道封裝的目的地址,以此來自動建立隧道。
自動前綴分配:使用6to4隧道互聯(lián)的IPv6網(wǎng)絡(luò),其前綴都必須基于IANA分配的2002::/16地址空間,每個6to4站點必須在6to4路由器上配置固定的公網(wǎng)IPv4地址,這個IPv4結(jié)合IANA前綴,最終形成本站點的IPv6前綴(2002:ipv4-address::/48)。以此,6to4路由器的IPv4地址決定了整個IPv6站點的地址前綴,如果后期6to4路由器的IPv4地址做了變更,對整個站點的影響是全局的。
6to4中繼 :為了幫助那些6to4站點與非6to4的IPv6網(wǎng)絡(luò)進行通信,6to4隧道技術(shù)定義了6to4中繼路由器,這些中繼路由器一方面能和6to4路由器建立隧道,同時也接入了IPv6骨干網(wǎng),通過這些中繼路由器,6to4站點就能訪問IPv6互聯(lián)網(wǎng)了。如下圖:
(圖片來源:http://blog.sina.com.cn/s/blog_5ec353710101e45y.html)
RFC 3068中為中繼路由器定義了一個任意播前綴,這樣6to4站點路由器就能找到離自己最近的中繼。另外,IANA為中繼分配了一個任意播前綴192.88.99.0/24,轉(zhuǎn)換為IPv6前綴就是: 2002:c058:6301::/48,6to4邊界路由器配置一個默認路由到這個地址就可以。
注:單獨的雙棧主機也可以與其他6to4路由器建立隧道。
4.2、ISATAP隧道
站內(nèi)自動隧道尋址協(xié)議(ISATAP: IntraSite Automatic Tunnel Addressing Protocol) 采用了雙棧和隧道技術(shù),能實現(xiàn)主機與主機、主機與路由器之間的通信。ISATAP隧道不僅能實現(xiàn)隧道功能,還可以通過IPv4網(wǎng)絡(luò)承載IPv6網(wǎng)絡(luò)的ND協(xié)議,從而使跨IPv4網(wǎng)絡(luò)的設(shè)備仍然可以進行IPv6設(shè)備的自動配置。
在內(nèi)部網(wǎng)絡(luò)中,一個簡單的ISATAP隧道示例如下:
(圖片來源:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc781672(v=ws.10)#isatap)
雙棧主機自動使用特殊的地址格式配置本地鏈路地址, FE80::0:5efe:a.b.c.d ,其中后64比特中5efe為固定,a.b.c.d為接口的IPv4地址。
當兩個主機通信時,自動抽取出IPv4地址建立隧道,只要彼此間IPv4網(wǎng)絡(luò)保持通暢即可實現(xiàn)。
一般情況下,使用私有IPv4地址的主機只能在本地網(wǎng)絡(luò)中與其他雙棧主機建隧道,如果想訪問其他外部的IPv6網(wǎng)絡(luò),則需要借助ISATAP路由器,通過ISATAP路由器,獲取公網(wǎng)IPv6前綴,實現(xiàn)外部路由。
(圖片來源:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc781672(v=ws.10)#isatap-router)
ISATAP路由器通過發(fā)送RA,為內(nèi)網(wǎng)的雙棧主機分配IPv6前綴
內(nèi)網(wǎng)的雙棧主機根據(jù)RA,自動配置IPv6地址,并將ISATAP路由器作為默認網(wǎng)關(guān)
借助ISATAP路由器,與外部的IPv6節(jié)點建立隧道,轉(zhuǎn)發(fā)數(shù)據(jù)。
4.3、NAT64與DNS64技術(shù)
在IPv4網(wǎng)絡(luò)中,NAT有無可取代的作用,通過NAT技術(shù),內(nèi)網(wǎng)主機實現(xiàn)了互聯(lián)網(wǎng)訪問的需求。在IPv6過渡技術(shù)中,NAT技術(shù)也有一席之地。NAT64一般與DNS64協(xié)同工作,不需要在IPv6客戶端或IPv4服務(wù)器端做任何修改,實現(xiàn)不同網(wǎng)絡(luò)之間互訪。
NAT64:如名字所示,NAT64是一種網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù),通過地址翻譯,實現(xiàn)IPv6節(jié)點訪問IPv4網(wǎng)絡(luò)。與NAT一樣,NAT64也支持靜態(tài)映射,實現(xiàn)IPv4網(wǎng)絡(luò)主動發(fā)起連接訪問IPv6網(wǎng)絡(luò)。NAT64可實現(xiàn)TCP、UDP、ICMP協(xié)議下的IPv6與IPv4網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換。
DNS64:DNS64服務(wù)器本身也是是雙棧主機,當IPv6主機向DNS64服務(wù)器查詢域名時,如果所查詢的域名沒有AAAA記錄,則DNS64會將A記錄(IPv4地址)合成到AAAA記錄(IPv6地址)中,然后返回合成的AAAA記錄用戶給IPv6側(cè)用戶。
注:以下內(nèi)容引用:http://bbs.ruijie.com.cn/thread-33426-1-1.html
NAT64和DNS64的流程如下:
IPv6主機發(fā)起到DNS64 server的IPv6域名解析請求(主機配置的DNS地址是DNS64),解析域名為www.abc.com;
DNS64觸發(fā)到DNS server中查詢IPv6地址;
若能查詢到則返回域名對應的IPv6地址,若查詢不到,則返回空;
DNS64再次觸發(fā)到DNS server中查詢IPv4地址;
DNS server返回www.abc.com的IPv4記錄(192.168.1.1);
DNS64合成IPv6地址(64::FF9B::192.168.1.1),并返回給IPv6主機;
IPv6主機發(fā)起目的地址為64::FF9B::192.168.1.1的IPv6數(shù)據(jù)包;由于NAT64在IPv6域內(nèi)通告配置的IPv6 Prefix,因此這個數(shù)據(jù)包轉(zhuǎn)發(fā)到NAT64設(shè)備上;
NAT64執(zhí)行地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換,目的地址轉(zhuǎn)換為192.168.1.1,源地址根據(jù)地址狀態(tài)轉(zhuǎn)換(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域內(nèi)路由到IPv4 server;
IPv4數(shù)據(jù)包返回,目的地址為172.16.1.1;
NAT64根據(jù)已有記錄進行轉(zhuǎn)換,目的地址轉(zhuǎn)換為3ffe:100:200:1::1,源地址為加了IPv6前綴的IPv4 server地址64::FF9B::192.168.1.1,發(fā)送到IPv6主機,流程結(jié)束。
5、IPv6 安全
就IPv6安全性而已,盡管在設(shè)計之初就引入了安全的設(shè)計理念,如認證、加密擴展頭部,結(jié)構(gòu)化的地址規(guī)劃等。但是IPv6本身設(shè)計上也不斷進行更新,不同時期的實現(xiàn)都有所差異。如下圖,類似NDP就有過幾次變化。
(圖片來源:https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Schaefer-Workshop-Slides.pdf)
針對IPv6協(xié)議、IPv6應用、過渡階段使用的技術(shù)等方面,安全研究人員不斷發(fā)現(xiàn)了相關(guān)的安全脆弱。目前在 CVE 漏洞庫中已有 300 余個與 IPv6 相關(guān)的安全漏洞被發(fā)布,也有專門針對IPv6安全的工具套件,如: thc-ipv6 SI6 Networks' IPv6 Toolkit Chiron scapy6 ip6sic ERNWfuzzing toolkit LOKI 下面參考學習網(wǎng)上各類大神研究成果,為大家做一下分享。
5.1、鏈路安全
IPv6使用NDP維護鏈路信息,本質(zhì)和ARP一樣,在局域網(wǎng)中通過沒有認證的的交互過程,學習相關(guān)的鏈路信息。因此和ARP一樣,面臨著網(wǎng)絡(luò)欺騙、DoS攻擊等安全威脅。來自thc-ipv6的工具套件可針對NDP實現(xiàn)多種攻擊。
網(wǎng)絡(luò)欺騙
針對前面NDP協(xié)議所介紹的NS、NA、RS、RA,包括DHCP等過程,均是沒有認證來源,意味著攻擊者可以在網(wǎng)絡(luò)中實施欺騙,從而將流量引導到攻擊主機中。
通過偽造DHCP服務(wù)器,可以分發(fā)攻擊者自己DNS服務(wù)器,讓主機的應用訪問解析到攻擊者服務(wù)器。
發(fā)送虛假重定向,引導流量到攻擊者主機。
下面使用thc-ipv6工具,模擬一個RA通告欺騙,讓內(nèi)網(wǎng)主機自動配置我們虛假的IPv6前綴:
1.在kali中啟用RA欺騙,如下圖:
2.同網(wǎng)段的windows 2008,一開始只有本地鏈路ipv6地址,后面自動獲取了2001開頭的IPv6地址,如下圖:
在thc-ipv6中,用于鏈路層欺騙的工具非常多,有NS、NA、DHCP等,通過了解前面介紹的NDP協(xié)議,大家可以自己進行測試。
拒絕服務(wù)
攻擊者可在DAD過程不斷響應NA包,讓主機認為地址有沖突,一直獲取不到地址,讓主機無法接入網(wǎng)絡(luò)。
攻擊者通過偽造大量的NS/RS報文,發(fā)送給網(wǎng)關(guān),填充虛假記錄導致網(wǎng)關(guān)的表項溢出,造成網(wǎng)關(guān)無法提供正常的服務(wù),進而導致DoS。
攻擊者可以模擬大量用戶發(fā)送DHCPv6請求報文,占用服務(wù)器大量的地址資源,導致合法終端沒有地址資源可以分配。
通過偽造DHCP請求報文,消耗網(wǎng)絡(luò)地址,使其他終端無法獲得地址。
CVE-2010-4669:在windows xp、2003、vista、2008和7中,由于IPv6實現(xiàn)的問題,發(fā)送大量的不同源地址的RA消息(可使atk6-flood_router6),會導致系統(tǒng)CPU飆升(此項未測試)
下面模擬DAD拒絕服務(wù)攻擊:
1.啟動一個RA前綴分配,讓同網(wǎng)段的主機可以獲取地址前綴自動配置;
2.啟動一個DAD攻擊,如下圖:
3.禁用并啟用windows 2008的網(wǎng)卡,報地址沖突:
4.在攻擊主機上,可以看到相應的輸出:
其他flood類型的攻擊,在thc-ipv6工具中都有相關(guān)的支持,大家可自行測試驗證:
防護措施
設(shè)備防護
網(wǎng)絡(luò)欺騙的本質(zhì)上是沒有對來源進行驗證,IPv4網(wǎng)絡(luò)中,針對ARP欺騙、DHCP欺騙等攻擊,在接入設(shè)備上都有相關(guān)的安全特性,如Port Security、DHCP Snooping、IP Source Guard、信任端口等。
在IPv6中,也可采用同樣的防護手段。目前主流廠商的交換機都能同樣支持類似的安全防護特性。這類防護的本質(zhì)是在接入層交換機上建立的一張IP、MAC、Port的可信表項,獲取用戶IP地址與MAC地址的對應關(guān)系。在建立了綁定表項之后,能夠保證一個已經(jīng)獲取了IP地址的用戶只能使用已獲取的地址進行通信,過濾掉所有的不在綁定表項中的IPv6的非法用戶發(fā)送的報文。
另外一種防御手段是通過在端口配置數(shù)據(jù)包偵聽,一旦收到某些類似的數(shù)據(jù)包,則將端口關(guān)閉,例如cisco的RA Guard或root Guard之類。 相關(guān)的防護技術(shù)匯總:ND snooping、DHCP snooping、RA Trust、DHCP Trust、RA Guard、DHCPv6 Guard。
其中ND snooping、DHCP snooping是一種動態(tài)獲取用戶IP、MAC、Port對應關(guān)系的技術(shù),由接入交換機實現(xiàn)。通過已經(jīng)建立的綁定表項,交換機偵聽網(wǎng)絡(luò)上的NDP報文,比較已經(jīng)獲取到的可信表項中的IP與MAC地址,對ND報文進行過濾,丟棄異常的報文。
RA Trust、DHCP Trust屬于信任端口技術(shù):通過將連接DHCP服務(wù)器、網(wǎng)關(guān)路由器的端口配置信任端口,交換機將只轉(zhuǎn)發(fā)來自信任端口的DHCP通告包以及RA包,從而防御DHCP服務(wù)器和RA偽造。
RA Guard、DHCPv6 Guard屬于非信任端口技術(shù),一旦收到RA或DHCP通告數(shù)據(jù)包,則將端口關(guān)閉。 另外還有限速技術(shù),能有效限制端口收發(fā)數(shù)據(jù)包的速率。
主機防護
采用靜態(tài)IP配置
關(guān)閉RA功能:
windows: netsh intipv6 setint[index]routerdiscovery=disabled
Linux: sysctl -w net.ipv6.conf.eth1.accept_ra=0Free
BSD: sysctl net.inet6.ip6.accept_rtadv=0
5.2、擴展頭安全
在IPv6中,節(jié)點必須從IPv6報頭開始,處理/緊跟IPv6報頭鏈中的每個擴展報頭,直到發(fā)現(xiàn)最后一個報頭,以此來對上層協(xié)議的內(nèi)容進行檢測。如下圖:
由于IPv6擴展頭具有可變性,除了逐跳選項外,并沒有嚴格限制順序。某些安全設(shè)備或者無法識別多個擴展頭,因此無法檢查應用層內(nèi)容,導致安全策略繞過,甚至拒絕服務(wù)。例如:
另外,針對IPv6不同的擴展頭部,具體的功能選項由頭部中相關(guān)的字段和內(nèi)容決定,攻擊者通過構(gòu)建特殊的包頭數(shù)據(jù),可以針對不同擴展頭實現(xiàn)不同的攻擊方式。
5.2.1、Smurf Attacks
Smurf Attacks發(fā)生在“目標選項”擴展頭中,如下圖,目標選項擴展頭中,Option Type里面8個bit中,前2個bit的值決定了節(jié)點対于該數(shù)據(jù)包的回復動作。當值設(shè)置為10時,收到該數(shù)據(jù)包的節(jié)點會丟棄該數(shù)據(jù)包,并且返回一個ICMP消息包。
看到這里,大家應該已經(jīng)知道這個攻擊的思路,如下:
采用受害者地址作為源IP,構(gòu)造以10開頭的Option Type值,將數(shù)據(jù)包發(fā)送到標識所有主機的組播地址: FF02::1,收到數(shù)據(jù)包的主機,都會回送一個icmp給到受害者。
5.2.2、分片安全
概述
在IPv6網(wǎng)絡(luò)中,只有發(fā)起者可以進行IP分片,節(jié)點會根據(jù)鏈路MTU的大小自動進行分片,IPv6支持的鏈路層最小MTU是1280字節(jié)。針對分片包,中間節(jié)點只會簡單進行傳遞,只有接收節(jié)點才進行分片重組,因為路由器不能對數(shù)據(jù)報進行分片,當要傳遞一個過大的數(shù)據(jù)報時就只能將其丟棄,并返回一個 ICMPv6 Packet Too Big 信息。 一個分片擴展包頭如下:
需要關(guān)注的字段如下:
Next Header:標識下一個擴展頭的類型。
Fragment Offset:分片的偏移量。
M:1表示還有分片,0表示當前是最后一個分片。
Identification:定義屬于同一數(shù)據(jù)包的分片,同屬1個數(shù)據(jù)包的分片該標識內(nèi)容一致。
一個分片的示例如下:
從上圖可以看到,IPv6 數(shù)據(jù)包分為兩部分
不可分段部分 (Unfragmentable Part):主報頭和某些指定擴展頭,如Hop-By-Hop Options, Destination Options、Routing。
可分段部分 (Fragmentable Part):數(shù)據(jù)包的數(shù)據(jù)部分和其他擴展頭,如AH、ESP 、Destination Options等。
另外,關(guān)于分片還有以下規(guī)定:
如果在接收第一個到達的分片后的60秒內(nèi)沒有接收到其他的分片,則必須放棄此數(shù)據(jù)包的重新組裝,并且必須丟棄接收到的該數(shù)據(jù)包的所有片段并返回一個ICMP包。[RFC 2460, 1998]
除了最后一個分片,每個分片必須都是8字節(jié)的整數(shù)倍,否則目標節(jié)點將會丟棄該數(shù)據(jù)包并返回一個ICMP包。[RFC 2460, 1998]
如果組裝后的數(shù)據(jù)包長度超過65535個字節(jié),則必須丟棄該數(shù)據(jù)包并返回一個ICMP包。[RFC 2460, 1998]
當重新組裝IPv6數(shù)據(jù)報時,如果確定其一個或多個組成分片存在重疊的部分,那么整個數(shù)據(jù)報(以及任何組成片段,包括那些尚未接收到的片段)必須被靜靜地丟棄。[RFC 5722, 2009]
IPv6分片的安全問題主要來源于以上這些規(guī)定,通過構(gòu)造不符合上述規(guī)定的數(shù)據(jù)包,可能導致以下問題:
繞過安全設(shè)備:有些安全設(shè)備無法進行分片包重組或有效識別,將攻擊payload拆分為分片,可以繞過安全設(shè)備的檢查。
繞過安全特性:例如RA Guard。
拒絕服務(wù):通過發(fā)送大量的分片包,來消耗目標節(jié)點的性能,有些節(jié)點不能很好的處理分片,也可能導致拒絕服務(wù)。
根據(jù)不同的響應信息,檢測目標機器的指紋信息。
遠程代碼執(zhí)行。
根據(jù)上面的介紹,針對IPv6分片主要攻擊方式如下:
Atomic Fragments
Tiny Fragments
Packet Too Big messages
Predictable Fragment IDs
Fragmentation Overlapping
下面的截圖來自:(https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10780&pmv=print&actp=&searchid=&type=currentpaging),廠商已經(jīng)修復。
在kali的thc-ipv6工具中,atk6-firewall6 、atk6-fragmentation6 、atk6-implementation6等工具可以測試IPv6實現(xiàn)和分片支持情況,另外scapy也可以用于靈活的構(gòu)建數(shù)據(jù)包。
防護措施
在安全設(shè)備選型上,要測試設(shè)備是否能檢測分片包并對分片包進行重組及識別,一般情況下,通過IPv6 Ready Phase-2認證的產(chǎn)品應該沒問題。
配置分片的最長等待時間。
如果網(wǎng)絡(luò)中MTU滿足情況,可以配置策略直接丟棄分片包。
安全設(shè)備配置默認禁止的策略。
5.2.3、秘密通道
IPv6擴展包頭,大的負載能力,默認啟用的協(xié)議棧,過渡期間的各自自動化隧道等能力特別合適構(gòu)建傳輸通道,通過在合適的包頭位置填充數(shù)據(jù),就能利用IPv6構(gòu)建通道,傳輸數(shù)據(jù)。 來自thc-ipv6的工具就帶了類似的支持:
5.2.4、其他
類似的擴展頭安全問題還有”IPv6路由頭部“,這個擴展頭部為發(fā)送方提供了一種IPv6數(shù)據(jù)包路徑控制機制,以控制數(shù)據(jù)包通過網(wǎng)絡(luò)的路徑。路由擴展頭部有兩個不同版本,分別稱為類型0(RH0)和類型2(RH2)。正是RH0會出現(xiàn)DoS的安全隱患。出于安全方面的考慮已被否決[RFC5095], RH2被定義為與移動IP共同使用。RH0本質(zhì)是因為它可以在擴展頭中攜帶多個數(shù)據(jù)包經(jīng)過的路由器節(jié)點列表,攻擊者可以多次指定相鄰兩個路由器,在兩個路由器之間形成路由環(huán)路。 其他擴展頭部安全問題,主要是利用構(gòu)造畸形的數(shù)據(jù)包,導致處理設(shè)備出錯或者消耗性能等。在kali的thc-ipv6工具中,有專門針對擴展頭的構(gòu)造攻擊工具,如下圖:
另外,針對擴展頭還有一個很強大的工具:chiron
5.3、過渡階段安全
5.3.1、雙棧機制安全風險
1.過渡期間雙棧部署的網(wǎng)絡(luò)中同時運行著IPv4、IPv6兩套網(wǎng)絡(luò),增加了設(shè)備/系統(tǒng)的暴露面,也意味著防火墻、安全網(wǎng)關(guān)等防護設(shè)備需同時配置雙棧策略,導致策略管理復雜度加倍,防護被穿透的機會加倍。在windows中,啟用了防火墻的系統(tǒng),IPv6也能得到防護;在linux系統(tǒng)中,IPv6采用ip6tables,可能存在沒有任何防護策略的情況。
2.在IPv4網(wǎng)絡(luò)中,多數(shù)設(shè)備缺省啟動了IPv6協(xié)議,并且自動配置了鏈路本地地址,使得IPv4網(wǎng)絡(luò)中存在隱蔽的 IPv6 通道,由于該 IPv6 通道并沒有進行防護配置,攻擊者可以利用IPv6通道實施攻擊。例如前言部分介紹的MITM6案例,就是利用了IPv6網(wǎng)絡(luò)攻擊IPv4。
3.雙棧系統(tǒng)的復雜性也會增加網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)負擔,導致網(wǎng)絡(luò)節(jié)點的故障率增加。
建議在沒有使用IPv6的情況下,關(guān)閉該協(xié)議棧。
5.3.2、自動隧道安全
1.利用IPv6隧道機制,可作為攻擊者外聯(lián)通道。目前很多設(shè)備默認開啟了IPv6協(xié)議,并且邊界安全設(shè)備可能沒有配置完善IPv6檢測策略,另外自動化隧道機制可以非常簡單的啟用一個外聯(lián)通道。早在2003年,來自blackhat的資料,就已經(jīng)講述了IPv6控制通道的情況。如下圖:
(截圖來源:https://www.blackhat.com/presentations/bh-federal-03/bh-federal-03-warfield/bh-fed-03-paper-warfield.doc)
2.構(gòu)造欺騙數(shù)據(jù)包,形成路由環(huán)路,造成拒絕服務(wù)。下面引用(https://www.usenix.org/legacy/events/woot09/tech/slides/nakibly.pdf))的示例,介紹基于隧道的路由環(huán)路攻擊場景:
(示例來源:https://www.usenix.org/legacy/events/woot09/tech/slides/nakibly.pdf)
攻擊者在ISATAP內(nèi)部,發(fā)送一個構(gòu)造的隧道數(shù)據(jù)包,源地址是2002::*,目標地址是::0200:5EFE:。
ISATAP路由器收到該數(shù)據(jù)包后,從目的地址取出IPb,作為隧道的目標地址,將IPv6數(shù)據(jù)包封裝進去,通過IPv4網(wǎng)絡(luò)發(fā)給IPb。
6to4路由器接收到該數(shù)據(jù)包,解封后發(fā)現(xiàn)目標IP是::0200:5EFE:,通過查找路由表,將數(shù)據(jù)包通過IPv6網(wǎng)絡(luò)發(fā)回ISATAP路由器。
ISATAP路由器收到該數(shù)據(jù)包后,繼續(xù)該過程,形成環(huán)路。
5.3.3、防護措施
要盡可能采用靜態(tài)配置隧道,以降低動態(tài)隧道的偽造和非法接入威脅。
防火墻要設(shè)置對非授權(quán)隧道報文的過濾,同時識別各種隧道協(xié)議(一般是協(xié)議號41),能夠?qū)λ淼缊笪牡膬?nèi)嵌封裝報文做訪問控制。
在防火墻設(shè)備上實現(xiàn)出站過濾,只允許授權(quán)隧道端點,避免惡意外聯(lián)隧道。
不使用IPv6的情況下,關(guān)閉主機的IPv6協(xié)議棧。
5.4、結(jié)尾
我們無法去論斷IPv6在什么時候會真正普及起來,但不可否認的是,它已經(jīng)進入了我們生活。提前籌備,未雨綢繆,總歸是對的。 本文內(nèi)容源于網(wǎng)上相關(guān)文章資料的學習和參考,如有不正之處或侵權(quán),請及時聯(lián)系修正,謝謝。
參考資料
《TCP/IP詳解-卷一:協(xié)議》W.Richard Stevens
RFC3587
RFC2460
RFC2373
RFC1981
RFC2461
IPv6 Attack & Defense Strategies
SeND (RFC 3971, March 2005)
RA-Guard, PACL (RFC 6105, February 2011)
A Complete Guide on IPv6 Attack and Defense
Security challenges in IPv6 from the campus perspective
IPv6的接入層安全技術(shù) IPv6系列安全篇——SAVI技術(shù)解析
淺談IPv6協(xié)議安全及攻擊
Attacking IPv6 Implementation Using Fragmentation
中國移動-ipv6安全白皮書