IPv6协议漏洞将威胁核心路由器安全

本文涉及的产品
云防火墙,500元 1000GB
简介:

目前随着互联网应用的不断加深,在全球范围内IPv4地址都呈现出逐渐枯竭的状况,而面向IPv6地址过渡的呼声变得越来越强。不过,对于现在网络设备来说,IPv6准备好了吗?

IPv6易受碎片攻击 威胁核心路由器安全

  IPv6协议尚有待完善

作为旨在替代传统IPv4协议的IPv6,其在协议制定和演进之时,便考虑设计成能够修补IPv4协议中的安全缺陷,并将原IPv4的安全性选项IPSec(IP安全协议)加入IPv6协议中,以消除现行采用IPv4协议所产生的网络安全问题。

不过实际上,像IPv6这样的新通信协议同样也会出现一些无法预期的设计漏洞,而且当网络系统以及终端设备向IPv6协议过渡时也会衍生出各种各样的新安全弱点。

以长期以来一直被怀疑会引发IPv6安全漏洞的“原子碎片”向量为例,就被网络专家指出,可能会导致大规模核心网络路由器遭受碎片攻击。

针对IPv4,碎片攻击是一个相当普遍的攻击手段,其主要目的为规避防火墙及入侵检测系统的侦测,将易被察觉的恶意数字签名(data signature)分散到数个封包中,造成防火墙及入侵检测系统难以有效侦测出其原封包的意图。

而在IPv6仅有来源端可分割封包,其被分割的封包大小可依来源端到目的端路径所测得的最大MTU来指定,一般正常的IPv6封包为1280字节(bytes),也就是IPv6最小的封包大小,而最后一个传送的封包大小通常会小于1280字节。同时,要处理重叠的碎片为相当困难的一件事,原因在于不同的目地端系统使用不同的方式来重组封包。

对IPv6而言,当主机接收到小于1280字节(最小IPv6 MTU)的报文时,已无法将其分段为若干片段,这时便会发送包含偏移值为0、MF位为0的碎片头信息的IPv6原子碎片。关键的是,这些原子碎片会成为拒绝服务(DoS)的攻击向量,进而威胁到核心路由器的安全运行。

因此,目前来自国际互联网工程任务组(IETF)贡献者之一的Fernando Gont已经正式提交了RFC 8021文件,将IPv6协议中存在的此种情况,归类到“认为有害”列表上,以敦促业界重视该问题。

由于IPv6协议中的此漏洞会存在于采用该协议的任何产品中,这就意味着当前主流核心网络设备供应商,如思科、瞻博网络、爱立信、华为等都必须给予重视并处理,才能避免协议层面漏洞引发原子碎片攻击的风险。

本文转自d1net(转载)

相关文章
|
4月前
|
安全 Shell 网络安全
常见的网络安全协议有哪些?
【8月更文挑战第7天】
1041 6
|
4月前
|
监控 网络协议 网络安全
配置OSPF身份验证以增强网络安全防护
【8月更文挑战第24天】
83 0
|
6月前
|
边缘计算 安全 物联网
【网卡可能存在的后门】以太网控制器IP核中的潜在安全威胁与自主化思考
本文探讨了2011年作者在FPGA上开发以太网控制器时发现的一个潜在后门。该后门利用以太网协议的特性,通过特定数据触发网卡进入死亡模式,持续产生中断,导致设备无法正常关闭,对无操作系统的嵌入式设备构成威胁。尽管有操作系统的设备受此影响较小,但WiFi网卡可能因广播攻击而受影响。作者强调网卡安全的重要性,认为其比CPU更需自主化,并指出防止CPU后门的关键在于确保驱动和代码无后门,而非仅仅自主化CPU。
|
6月前
|
负载均衡 网络协议 安全
|
网络协议 数据库 Windows
网络协议与攻击模拟-15-DNS协议
网络协议与攻击模拟-15-DNS协议
103 0
|
安全 算法 Serverless
网络安全——网络层安全协议(3)
网络安全——网络层安全协议(3)
145 0
|
安全 网络协议 算法
网络安全——网络层安全协议(2)
网络安全——网络层安全协议(2)
167 0
|
安全 网络安全 数据安全/隐私保护
网络安全——网络层安全协议
网络安全——网络层安全协议
207 0
|
网络性能优化 网络安全 网络架构