浅谈IPv6的入侵与防御
|
媒介 最近的客户,以前年开始举办ipv4到ipv6的过渡,到今朝为止,大部门装备处于双栈可能部门体系没有举办过渡更新。 由于事实是甲方,以是事变推进的很妥当,到交到我们手上的时辰,我们只必要输出关于对ipv6的进攻与防止及优化方案。 伊始 说到ipv6,许多人也许都有一些相识,以是假如上来就ping方针域名的话,100%理会的是ipv4的地点。
如图所示,由于方针处事器客户已经在防火墙上配置了禁ping,以是这里我们只看理会的地点,很明明,这是ipv4地点。 那么我们怎样理会为ipv6的地点,让它走ipv6的流量呢。 在linux下: (1) ping6 (域名可能ipv6地点)
不外假如pc哀求端设置错误的环境下,也许会呈现:
windows下当支持ipv6的时辰怎样理会ipv6呢? (2) ping -6 (ipv6地点)
设置 1. windows
DNS处事器配置为240c:6666。 简朴的原则就是:跃点数越小,收集优先级越高。跃点数的理论赋值范畴是 1 ~ 999,但跃点数低于10 ,也许会导致某些收集会见失败。 2. 根基设置: (1) 进攻端
(2) 处事端
ipv6近况: IPv6对比IPv4固然在协议安详性方面举办了改造,但传输数据报的根基机制没有产生改变,依然存在一些和IPv4沟通的进攻,如针对应用层(HTTP)、传输层(TCP)的进攻,同样对IPv6收集组成较大威胁。因为IPv6协议宣布较早,跟着IPv6推广的慢慢扩大、一些新型进攻方法也不绝呈现,如操作IPv6扩展报头、NDP协议以及ICMPv6的进攻,都是针对IPv6协议存在的种种缺陷。其它,IPv4向IPv6过渡恒久共存也激发新的安详挑衅,如双栈机制过滤不严、操作地道机制绕过安详装备等等。 综上所述,在计划验证方案时,按验证的偏向分为三类:IPv4和IPv6共有安详、IPv6特有安详、IPv4/v6过渡恒久共存的安详。 首要评估客户网站安详装备对基于IPv6流量的传统收集及应用进攻的防护结果,验证选取一些典范进攻方法,如SQL注入、XSS、长途溢出等举办测试。 测试用例计划如下:
首要评估客户外网网站安详装备对操作IPv6协议裂痕提倡进攻的防护结果。 操作IPv6协议裂痕的进攻,今朝已知的IPv6进攻本领有NDP诱骗进攻、路由重定向进攻、ICMPv6协议进攻(Overlarge Ping等)、基于IPv6的SYN Flood进攻等,个中NDP中诱骗进攻、路由重定向进攻基于LAN的进攻,不属于本次验证范畴,因此验证选取ICMPv6协议进攻、基于IPv6的SYN Flood进攻等举办测试。测试用例计划如下: 测试编号B-01测试项IPv6协议CVE裂痕组合测试 测试目标验证防火墙等安详装备对IPv6协议已知裂痕(CVE裂痕)的防护结果。
首要评估客户外网网站安详装备在支持双栈协议的收集情形下,对过渡机制下面对安详题目的防护结果。双栈机制应承会见路径沿途装备同时支持IPv4与IPv6数据包,假如进攻者节制一台IPv4装备,可以成立IPv6地点的地道,行使两种协议协同作战,从而绕过防火墙可能IDS装备。 本次验证,假设进攻者已节制处事端主机,通过实行成立IPv6地道,测试对IDS装备的穿透结果。测试用例计划如下:
3. 测试总结: 客户购置了大量的安详装备,最后只在2台装备上捕获到了IPV6的进攻流量。感应海内ipv6的安详成长,任重道远。
颠末验证测试,发明IPv6收集的安详防护,存在以下题目: (1)部门安详装备,现实对IPv6的支持不敷。如部门安详装备无法查询出IPv6进攻日记,乃至存在IPv6收集连通性的题目。如通过某台IPS装备,Ping外网网站的IPv4和IPv6地点测试,收集连通性存在差别。
IPv4地点收集可达IPv6地点收集不行达。 (2)安详装备对通过IPv6over4地道实验的内网穿透检测手段不敷。此类内网穿透,凡是产生在防火墙内部,防火墙难以检测。通过成立IP6over4地道,又使得进攻潜伏,可以绕过IPS等安详装备 跋文 ipv4转向ipv6的大潮水是不行更换的,就如5G一样,固然此刻由于各类百般的缘故起因,推进的不是很快,可是总有一天,这个期间会光降,以是有乐趣的兄弟可以开始进修了。 在写方案时期,查阅许多学术论文,零几年的文章有许多,不得不感应年华流逝,和前人的高瞻远瞩。 因涉及敏感信息,部门打码,文中器材及剧本暂不果真。
(编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
