IPv6协议及安全浅谈
|
3.禁用并启用windows 2008的网卡,报地点斗嘴: 4.在进攻主机上,可以看到响应的输出: 其他flood范例的进攻,在thc-ipv6器材中都有相干的支持,各人可自行测试验证: 防护法子 装备防护 收集诱骗的本质上是没有对来历举办验证,IPv4收集中,针对ARP诱骗、DHCP诱骗等进攻,在接入装备上都有相干的安详特征,如Port Security、DHCP Snooping、IP Source Guard、信赖端口等。 在IPv6中,也可回收同样的防护本领。今朝主流厂商的互换机都能同样支持相同的安详防护特征。这类防护的本质是在接入层互换机上成立的一张IP、MAC、Port的可信表项,获取用户IP地点与MAC地点的对应相关。在成立了绑定表项之后,可以或许担保一个已经获取了IP地点的用户只能行使已获取的地点举办通讯,过滤掉全部的不在绑定表项中的IPv6的犯科用户发送的报文。 其它一种防止本领是通过在端口设置数据包侦听,一旦收到某些相同的数据包,则将端口封锁,譬喻cisco的RA Guard或root Guard之类。 相干的防护技能汇总:ND snooping、DHCP snooping、RA Trust、DHCP Trust、RA Guard、DHCPv6 Guard。 个中ND snooping、DHCP snooping是一种动态获取用户IP、MAC、Port对应相关的技能,由接入互换机实现。通过已经成立的绑定表项,互换机侦听收集上的NDP报文,较量已经获取到的可信表项中的IP与MAC地点,对ND报文举办过滤,扬弃非常的报文。 RA Trust、DHCP Trust属于信赖端口技能:通过将毗连DHCP处事器、网关路由器的端口设置信赖端口,互换机将只转发来自信赖端口的DHCP告示包以及RA包,从而防止DHCP处事器和RA伪造。 RA Guard、DHCPv6 Guard属于非信赖端口技能,一旦收到RA或DHCP告示数据包,则将端口封锁。 其它尚有限速技能,能有用限定端口收发数据包的速度。 主机防护
5.2、扩展头安详 在IPv6中,节点必需从IPv6报头开始,处理赏罚/紧跟IPv6报头链中的每个扩展报头,直到发明最后一个报头,以此来对上层协议的内容举办检测。如下图: 因为IPv6扩展头具有可变性,除了逐跳选项外,并没有严酷限定次序。某些安详装备可能无法辨认多个扩展头,因此无法搜查应用层内容,导致安详计策绕过,乃至拒绝处事。譬喻: 其它,针对IPv6差异的扩展头部,详细的成果选项由头部中相干的字段和内容抉择,进攻者通过构建非凡的包头数据,可以针对差异扩展头实现差异的进攻方法。 5.2.1、Smurf Attacks Smurf Attacks产生在“方针选项”扩展头中,如下图,方针选项扩展头中,Option Type内里8个bit中,前2个bit的值抉择了节点対于该数据包的回覆举措。当值配置为10时,收到该数据包的节点会扬弃该数据包,而且返回一个ICMP动静包。 看到这里,各人应该已经知道这个进攻的思绪,如下: 回收受害者地点作为源IP,结构以10开头的Option Type值,将数据包发送到标识全部主机的组播地点: FF02::1,收到数据包的主机,城市回送一个icmp给到受害者。 5.2.2、分片安详 概述 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
