IPv6协议及安详浅谈
|
一个分片的示譬喻下: 从上图可以看到,IPv6 数据包分为两部门
其它,关于分片尚有以下划定:
IPv6分片的安详题目首要来历于以上这些划定,通过结构不切合上述划定的数据包,也许导致以下题目:
按照上面的先容,针对IPv6分片首要进攻方法如下:
下面的截图来自:(https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10780&pmv=print&actp=&searchid=&type=currentpaging),厂商已经修复。 在kali的thc-ipv6器材中,atk6-firewall6 、atk6-fragmentation6 、atk6-implementation6等器材可以测试IPv6实现和分片支持环境,其它scapy也可以用于机动的构建数据包。 防护法子
5.2.3、奥秘通道 IPv6扩展包头,大的负载手段,默认启用的协议栈,过渡时代的各自自动化地道等手段出格吻合构建传输通道,通过在吻合的包头位置填凑数据,就能操作IPv6构建通道,传输数据。 来自thc-ipv6的器材就带了相同的支持: 5.2.4、其他 相同的扩展头安详题目尚有”IPv6路由头部“,这个扩展头部为发送方提供了一种IPv6数据包路径节制机制,以节制数据包通过收集的路径。路由扩展头部有两个差异版本,别离称为范例0(RH0)和范例2(RH2)。正是RH0会呈现DoS的安详隐患。出于安详方面的思量已被反对[RFC5095], RH2被界说为与移动IP配合行使。RH0本质是由于它可以在扩展头中携带多个数据包颠末的路由器节点列表,进攻者可以多次指定相邻两个路由器,在两个路由器之间形成路由环路。 其他扩展头部安详题目,首要是操作结构畸形的数据包,导致处理赏罚装备堕落可能耗损机能等。在kali的thc-ipv6器材中,有专门针对扩展头的结构进攻器材,如下图: 其它,针对扩展头尚有一个很强盛的器材:chiron 5.3、过渡阶段安详 5.3.1、双栈机制安详风险 1.过渡时代双栈陈设的收集中同时运行着IPv4、IPv6两套收集,增进了装备/体系的袒露面,也意味着防火墙、安详网关等防护装备需同时设置双栈计策,导致计策打点伟大度更加,防护被穿透的机遇更加。在windows中,启用了防火墙的体系,IPv6也能获得防护;在linux体系中,IPv6回收ip6tables,也许存在没有任何防护计策的环境。 2.在IPv4收集中,大都装备缺省启动了IPv6协议,而且自动设置了链路当地地点,使得IPv4收集中存在潜伏的 IPv6 通道,因为该 IPv6 通道并没有举办防护设置,进攻者可以操作IPv6通道实验进攻。譬喻媒介部门先容的MITM6案例,就是操作了IPv6收集进攻IPv4。 3.双栈体系的伟大性也会增进收集节点的数据转发承担,导致收集节点的妨碍率增进。 提议在没有行使IPv6的环境下,封锁该协议栈。 5.3.2、自动地道安详 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
