- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
IPv6网络广播安全性分析
随着互联网的高速普及,网络广播已经成为电台传播的新兴媒介,它吸收了各种媒体的优点。而IPV6作为接替IPv4的存在,网络广播应用也只是时间问题。因此,IPV6网络广播安全就成为我们需要考虑的重要问题。
随着互联网用户的不断增长,原有的IP地址已经出现了匮乏的征兆。为了解决这个问题,新的IPV6协议产生了,这是能够无限制地增加IP网址数量、拥有巨大网址空间、数据传输质量提高、安全性增强等特点的新一代互联网协议。在未来的发展中,随着客户终端的增加,电台也将会逐步在网络广播系统中使用IPV6协议,以适应新的主流技术的需要。
以IPv4协议为核心的互联网,因其简单性、灵活性和可扩展性获得了巨大成功。然而,随着电脑的普及,互联网用户与日俱增,现有IPv4因其地址空间严重不足、数据传输缺乏质量保证等特点,在一定程度上限制了音视频等信号的传输,进一步阻碍了网络广播的发展。因此,互联网技术的迅猛发展,促使全新的以IPV6协议为核心的互联网升级换代,在网络保密性、完整性方面有了更好的改进。它以更大的优势在互联网协议中占据更加重要的位置。随着IPV6标准体系的不断完善,IPV6逐步优化了协议体系结构,为业务发展创造机会,IPV6作为灵活、可扩展的下一代网络核心协议,已逐渐从实验阶段走向实际应用。在不久的将来,IPV6终将代替IPv4,适应网络发展的需求。
IPV6是一种新的协议。普遍认为,IPV6因有IPsec而比IPv4更安全,前景是广阔的。但在实际部署IPV6网络时,由于技术能力和现有设施不足,导致IPV6网络广播安全措施不够完善,在发展过程中还存在诸多安全隐患,还有许多技术问题需要解决。逐步消除IPV6协议带来的安全隐患,是值得探讨的一个课题。
IPV6协议因其特有的脆弱性,易于受到多方面的攻击:
1、利用DNS攻击
新一代互联网协议IPV6离不开DNS(域名系统)。IPV6网络中的DNS服务器,是一个容易被黑客作为攻击对象的关键主机。由于IPV6的地址空间太大,很多IPV6的网络都会使用动态的DNS服务。一旦攻击者攻占了这台动态DNS服务器,就可以得到大量在线IPV6的主机地址。因为IPV6的地址是128位,不好记忆。网络管理员可能会使用好记的IPV6地址,这些地址可能会被编辑成类似字典的东西,攻击者很有可能根据这些特征猜到IPV6主机。此外,攻击者可以利用这些信息掌握网络中其它网络通信设备,并利用这些信息实施攻击。比如,攻击者可以宣告错误的网络前缀、路由信息等,从而使网络不能正常工作,或将网络流量导向错误的地方。因此,网络管理员在对主机赋予IPV6地址时,应该尽量对自己的IPV6地址进行随机化,使用不容易记忆的地址,能在一定程度上减少主机被黑客发现的机会。对于关键主机的安全需要特别重视,否则,黑客就会着手攻击整个网络。
2、邻居发现协议NDP(NeighborDiscoveryProtocol)
邻居发现协议ND(NeighborDiscoveryProtocol)是IPV6协议一个重要的组成部分,它实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。因此,攻击者往往利用它来发送错误的路由器宣告、错误的重定向消息等,让IP数据流向不确定的方向,进而可以达到拒绝服务、拦截和修改数据的目的。
邻居发现协议通过规定跳限制域最大域255来防止链路外的攻击。但对链路内攻击却无法阻止,因为内攻击者可以利用IPV6无状态地址自动配置,很方便地接入同一链路进行攻击。如下图所示:如果甲想要知道乙的MAC地址,就要发送NS(NeighborSolication)给多有的节点,攻击者接收到此请求,就会发送NA响应甲,即可达到中间人攻击。
IETF在2002年成立了安全邻居发现协议工作组SEND(SecureNeighborDiscovery)以来,研究和解决邻居发现协议中的安全问题,并通过了RFC3971安全邻居发现协议SEND。
3、广播放大攻击(Smurf)
Smurf攻击是以最初发动这种攻击的程序名"Smurf"来命名的,这种攻击方法结合使用了IP欺骗和ICMP回复方法,使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统服务。广播放大攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,淹没受害主机,最终导致该网络所有主机都对ICMP应答请求做出答复,导致网络阻塞。还有更严重的问题是,Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。攻击者为了达到目的,通常会伪造大量的echo请求包给目标A和B,这些包的源IPV6地址不是攻击者本身的地址,而是受害者某个全球单播地址,目标收到echo请求后都会将echo响应发往受害者,这样的反射流将会大量消耗受害者或者受害者所在网络的带宽和处理资源。如下图所示:
RFC2463规定不会对组播或链路广播地址回复。为了防止广播放大攻击,就要对IPV6组播地址进行ingress过滤(RFC2267,RFC2827)和升级系统支持RFC2463。
4、数据包头更改和分片技术
攻击者可以增加无限的IPV6扩展包头,来探测和攻击分片技术。当需要传输的IP数据包超过链路所能支持的最大传输单元(mtu)时,一个原始IP数据包将被拆分成多个分片包;当属于同一个原始IP数据包的分片包到达目的节点之后,由目的节点完成分片包的重组。由于IPV6比较特殊,中间的网络设备不参与分片和组装,IPV6的分片操作只能在源节点进行。所以,为了减少受到攻击的几率,我们应该对网络设备的分片、不需要的扩展包头、小于128字节的数据包等进行提前过滤。
5、蠕虫和病毒
蠕虫是一种通过网络传播的恶性病毒,在传播性、潜伏性、不可预见性、针对性、隐蔽性、破坏性等方面具有病毒的一些共性,同时具有文件寄生(有的只存在于内存中)、对网络造成拒绝服务以及和黑客技术相结合等一些个性特征。蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。网络的发展使蠕虫可以在很短时间内蔓延整个网络,造成网络瘫痪,可见其破坏性不是一般病毒所能与之相提并论的,这造就了一个谈毒色变的的网络世界!传统的蠕虫和病毒在IPV6中没有太大变化,但由于IPV6地址空间巨大,难以逐一扫描,蠕虫和病毒的传播会比较困难,针对TCP/IP(e.g.Slammertypes)不再有效。但是E-MailWorms将继续存在,而MessengerandP2PWorms也将来临,因此,防范病毒不但要从管理上着力,还要从技术措施上着手,安装蠕虫和病毒检测系统是必不可少的。
凡涉及网络上信息的保密性、可用性、真实性等,都是网络安全研究的领域。尽管IPV6协议在网络安全上做了多项改进,但是其引入也带来新的安全问题。目前,多数网络攻击和威胁来自应用层而非IP层,因此,保护网络信息安全,除了技术改进,还需配合认证体系、加密体系、密钥分发体系、可信计算体系等多种手段。在完善IPV6网络的安全问题上,我们还有很长的路要走。
随着技术的不断进步,电台的计算机网络系统也将逐步引入IPV6进行试验。在时机成熟的条件下,将会考虑在部分网络中试运行IPV6。如果在IPV6网络广播安全性及性能上有较大提高,就可能大范围铺开新的IP协议的使用。这不但是技术上的一次突破,也将在安全性上得到较好的完善,从而保证网络广播系统的各种网络稳定安全运行。
来源:ZDNet网络频道
上一篇:基于散列DMA的高速串口驱动设计
下一篇:1-wire系统中TM卡的单片机等效替换