擊破IPv6安全神話

然而，RFC 4941規(guī)定除了傳統(tǒng)SLAAC地址外還要生成臨時(shí)地址(而不是替代它們)，臨時(shí)地址用于出站通訊，而傳統(tǒng)SLAAC地址用于服務(wù)器功能(例如入站通訊)。因此，這些地址并不能緩解主機(jī)掃描攻擊，因?yàn)樵诓捎门R時(shí)地址的主機(jī)上仍然配置了可預(yù)測(cè)的SLAAC地址(但OpenBSD除外，OpenBSD在啟用隱私地址時(shí)，禁用了傳統(tǒng)SLAAC地址)。

過渡/共存技術(shù)

有很多IPv4到IPv6的過渡技術(shù)或者共存技術(shù)(例如6to4和Teredo)為IPv6全球單播地址指定了特殊語法，在大多數(shù)情況下是在IPv6中嵌入IPv4地址，作為IPv6的地址的一部分。由于有很多這方面的技術(shù)，本文將不深入到具體細(xì)節(jié)，但需要注意這些地址遵循特定的模式，所以能減小IPv6地址搜索范圍。

如何緩解IPv6主機(jī)掃描攻擊

緩解IPv6主機(jī)掃描攻擊最聰明的辦法是從IPv6地址刪除任何明顯的模式。IETF的6man工作組目前正在研究一種生成IPv6地址的方法，它有以下特點(diǎn)：

• 產(chǎn)生的接口ID不容易被預(yù)測(cè)出

• 產(chǎn)生的接口ID在每個(gè)子網(wǎng)內(nèi)是穩(wěn)定的，但是當(dāng)主機(jī)從一個(gè)網(wǎng)絡(luò)移動(dòng)到另一個(gè)網(wǎng)絡(luò)時(shí)，接口ID會(huì)跟著變化

• 產(chǎn)生的接口ID獨(dú)立于底層鏈路層地址

為了確保IPv6部署的安全性，IETF必須完成此標(biāo)準(zhǔn)化工作，并且更重要的是，需要供應(yīng)商部署它。一旦這些工作都到位了，這些不可預(yù)測(cè)的地址將讓攻擊者的IPv6主機(jī)掃描攻擊更難以執(zhí)行。

其他緩解IPv6主機(jī)掃描攻擊的措施包括使用基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(IPS)：當(dāng)在本地子網(wǎng)接收到大量針對(duì)不同IPv6地址的探測(cè)數(shù)據(jù)包時(shí)(尤其是當(dāng)很多目標(biāo)地址不存在時(shí))，可以從特定來源地址阻止入站數(shù)據(jù)包，來應(yīng)對(duì)主機(jī)掃描攻擊活動(dòng)。另一種方法是為基于DHCPv6和手動(dòng)配置的系統(tǒng)配置不可預(yù)測(cè)的地址。雖然windows系統(tǒng)生成不可預(yù)測(cè)地址，所有其他端點(diǎn)(包括基于思科和Linux的設(shè)備)還需要一些額外的配置，既可以啟用DHCPv6服務(wù)器來發(fā)布不可預(yù)測(cè)地址，也可以手動(dòng)配置系統(tǒng)，這樣他們就可以使用不可預(yù)測(cè)地址。很顯然，DHCPv6的方法應(yīng)該是首選方法，因?yàn)樗菀讛U(kuò)展。然而，并不是所有DHCPv6軟件都有這個(gè)功能，因此可能唯一的方法應(yīng)該是手動(dòng)配置每個(gè)系統(tǒng)的IPv6地址(當(dāng)然這個(gè)工作會(huì)非常痛苦)。

讀了本文關(guān)于IPv6地址在互聯(lián)網(wǎng)上的分配方式的分析，大家應(yīng)該提高認(rèn)識(shí)：雖然IPv6的主機(jī)掃描攻擊在很大程度上受到了阻止，但I(xiàn)ETF和供應(yīng)商仍然有很多工作要做，以增加IPv6主機(jī)掃描攻擊的難度。