IPv6协议及安全浅谈

 1、媒介

在我国，IPv6一向在稳步成长，早已不是多年前只在尝试情形中存在的场景了，许多互联网大厂、高校都用上了IPv6，部门地点宽带用户也行使了IPv6。就在前些日子，安详研究员Dirk-jan Mollema颁发基于委派进攻并团结NTLM Relaying，实现对同网段的在域主机举办进攻文章详情，个中就行使了基于IPv6的mitm6器材，通过IPv6收集实现进攻。

尽量IPv6成长了许多年，但相对许多人而言，它照旧一个生疏的工具，必要我们慢慢去相识和熟悉，以备后续的事变和糊口必要。IPv6内允许多，因为篇幅有限，无法具体描写，本文仅先容IPv6相对要害的构成部门及其相干安详性。

2、IPv6协议

2.1、从一个包布局熟悉IPv6

(图片来历：https://pcedu.pconline.com.cn/1038/10387664.html)

IPv6在RFC2460中描写，对比IPv4，IPv6具有以下特性：

1. 牢靠的报文布局，更高效的封装和机能。
2. Source/Destination Address：128位bit的地点空间，号称地球上每个沙子都能分派到独立的IP地点。
3. Flow Label：流标签手段，实现流量标志区分。
4. 可扩展头部：在牢靠头部后头，可以链式附加很多扩展头部，实现更多成果支持。

2.2、看懂IPv6地点

和IPv4差异，IPv6回收16进制来暗示，将整个地点分为8个段，每段之间用冒号离隔，每段的长度为16位，暗示如下： XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX/X，而且IPv6有地点简化的写法，通过下图可以相识简化写法。

(图片来历：https://baijiahao.baidu.com/s?id=1611121709439510290&wfr=spider&for=pc)

2.3、差异地点浸染大不沟通

在RFC2373界说了IPv6的地点范例，我们必要相识的首要范譬喻下：

1. 全局单播地点：IPv6公网地点，全部以2或3开头的地点属于该类地点，掩码是64位。
2. 链路当地地点：链路当地地点很是重要，用于邻人发明、地点设置、路由协议的协商等。顾名思义，它仅用于当地链路通信，在当地链路有用，无法跨下一跳。全部以 FE80开头的地点属于该类地点。凡是环境下，启用IPv6协议的接口会按照MAC地点，自动天生一个链路当地地点，这个机制称为EUI-64。
3. 站点当地地点：站点当地地点相同IPv4中的私网地点，这些地点无法在互联网长举办路由。全部以 FEC0开头的地点属于该类地点。
4. 组播地点：组播地点用来暗示一组装备或接口，全部以 FF开头的地点属于该类地点。个中 FF02::1暗示当地链路上的全部主机， FF02::2暗示当地链路上的全部路由器。

3、邻人发明协议(NDP)

3.1、NDP是什么

在IPv6收集中，回收NDP协议代替ARP来进修MAC地点，NDP的数据封装在ICMP v6包中，它首要实现了以下成果：

1. 链路地点打点：维护一个IP地点和MAC的相关状态表
2. 无状态地点自动设置(SLAAC)：可以或许在没有DHCP处事器的环境下实现主机自动进修设置IPv6地点
3. 路由器重定向：与IPv4一样

3.2.1、主机之间怎样通讯

链路地点打点既然是更换ARP的成果，它所实现的就是辅佐主机找到方针IP的MAC地点，而且维护这些IP地点和MAC的对应相关，在须要的时辰举办删除和更新。在IPv6收集中，为了进修一个MAC地点，一个简朴的NDP交互进程大抵如下：

(图片来历：https://blog.csdn.net/qq_38265137/article/details/80466128)

1. 当一个主机第一次与对方通讯时，它会在收集中发送一个邻人哀求(NS)包，这个NS包携带了发送者的IP和MAC地点，以及发送者必要哀求MAC地点的方针IP，这个NS包被发送到一个“被哀求节点多播地点”;
2. 拥有方针IP的主机遇侦听“被哀求节点多播地点”，当它收到这个NS数据包后，就知道谁要找它，然后这个主机遇用一个邻人告示(NA)单播回应NS哀求，汇报对方本身的MAC地点信息。

通过这样一个简朴的进程，两边就可以或许进修并建设一条IP-MAC对应记录。NDP有伟大的状态机制，这里不做具体先容。想相识的可查察H3C IPv6邻人发明经典教材。

这里必要表明一个名词，那就是“被哀求节点组播地点”，这是一种非凡的组播地点，每一个主机设置好单播IPv6地点后，城市按照这个IP地点自动天生一个对应的“被哀求节点组播地点”，这个“被哀求节点组播地点”只在当地链路上有用，且在链路上独一。这个“被哀求节点组播地点”的前缀是：FF02::1:FFxx:xxxx/104，后24位是接口IPv6地点的后24位。

3.2.2、无感知的IP地点自动设置

在IPv6收集中，我们可以不必要DHCP实现主机自动获取收集的前缀信息、链路情形信息、并检测地点斗嘴等，完成节点无感知接入收集。一个简朴的地点设置交互进程如下：

(图片来历：https://blog.csdn.net/qq_38265137/article/details/80466128)

1. 在IPv6收集中，网关会周期性发送RA数据包到多播地点 fe02::1以公布本身的存在。这个时辰，收集上的主机遇吸取到RA包，通过RA包携带的信息，主机可以进修到接入收集所必要设置的地点信息，从而自动举办IP地点的设置。
2. 反过来，当主机接入到一个IPv6收集中时，主机遇自动提倡一个RS包哀求地点设置，目标地点为标识全部路由器的多播地点( fe02::2)。路由器收到RS包后，必要顿时发送一个RA包以回应该主机，以便主机举办地点设置。

3.2.3、DAD-地点斗嘴检测机制

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!