IPv6协议及安全浅谈

一个分片的示例如下：

从上图可以看到，IPv6 数据包分为两部分

1. 不可分段部分 (Unfragmentable Part)：主报头和某些指定扩展头，如Hop-By-Hop Options, Destination Options、Routing。
2. 可分段部分 (Fragmentable Part)：数据包的数据部分和其他扩展头，如AH、ESP 、Destination Options等。

另外，关于分片还有以下规定：

1. 如果在接收第一个到达的分片后的60秒内没有接收到其他的分片，则必须放弃此数据包的重新组装，并且必须丢弃接收到的该数据包的所有片段并返回一个ICMP包。[RFC 2460, 1998]
2. 除了最后一个分片，每个分片必须都是8字节的整数倍，否则目标节点将会丢弃该数据包并返回一个ICMP包。[RFC 2460, 1998]
3. 如果组装后的数据包长度超过65535个字节，则必须丢弃该数据包并返回一个ICMP包。[RFC 2460, 1998]
4. 当重新组装IPv6数据报时，如果确定其一个或多个组成分片存在重叠的部分，那么整个数据报(以及任何组成片段，包括那些尚未接收到的片段)必须被静静地丢弃。[RFC 5722, 2009]

IPv6分片的安全问题主要来源于以上这些规定，通过构造不符合上述规定的数据包，可能导致以下问题：

1. 绕过安全设备：有些安全设备无法进行分片包重组或有效识别，将攻击payload拆分为分片，可以绕过安全设备的检查。
2. 绕过安全特性：例如RA Guard。
3. 拒绝服务：通过发送大量的分片包，来消耗目标节点的性能，有些节点不能很好的处理分片，也可能导致拒绝服务。
4. 根据不同的响应信息，检测目标机器的指纹信息。
5. 远程代码执行。

根据上面的介绍，针对IPv6分片主要攻击方式如下：

1. Atomic Fragments
2. Tiny Fragments
3. Packet Too Big messages
4. Predictable Fragment IDs
5. Fragmentation Overlapping

下面的截图来自：(https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10780&pmv=print&actp=&searchid=&type=currentpaging)，厂商已经修复。

在kali的thc-ipv6工具中，atk6-firewall6 、atk6-fragmentation6 、atk6-implementation6等工具可以测试IPv6实现和分片支持情况，另外scapy也可以用于灵活的构建数据包。

防护措施

1. 在安全设备选型上，要测试设备是否能检测分片包并对分片包进行重组及识别，一般情况下，通过IPv6 Ready Phase-2认证的产品应该没问题。
2. 配置分片的最长等待时间。
3. 如果网络中MTU满足情况，可以配置策略直接丢弃分片包。
4. 安全设备配置默认禁止的策略。

5.2.3、秘密通道

IPv6扩展包头，大的负载能力，默认启用的协议栈，过渡期间的各自自动化隧道等能力特别合适构建传输通道，通过在合适的包头位置填充数据，就能利用IPv6构建通道，传输数据。 来自thc-ipv6的工具就带了类似的支持：

5.2.4、其他

类似的扩展头安全问题还有”IPv6路由头部“，这个扩展头部为发送方提供了一种IPv6数据包路径控制机制，以控制数据包通过网络的路径。路由扩展头部有两个不同版本，分别称为类型0(RH0)和类型2(RH2)。正是RH0会出现DoS的安全隐患。出于安全方面的考虑已被否决[RFC5095], RH2被定义为与移动IP共同使用。RH0本质是因为它可以在扩展头中携带多个数据包经过的路由器节点列表，攻击者可以多次指定相邻两个路由器，在两个路由器之间形成路由环路。 其他扩展头部安全问题，主要是利用构造畸形的数据包，导致处理设备出错或者消耗性能等。在kali的thc-ipv6工具中，有专门针对扩展头的构造攻击工具，如下图：

另外，针对扩展头还有一个很强大的工具：chiron

5.3、过渡阶段安全

5.3.1、双栈机制安全风险

1.过渡期间双栈部署的网络中同时运行着IPv4、IPv6两套网络，增加了设备/系统的暴露面，也意味着防火墙、安全网关等防护设备需同时配置双栈策略，导致策略管理复杂度加倍，防护被穿透的机会加倍。在windows中，启用了防火墙的系统，IPv6也能得到防护;在linux系统中，IPv6采用ip6tables，可能存在没有任何防护策略的情况。

2.在IPv4网络中，多数设备缺省启动了IPv6协议，并且自动配置了链路本地地址，使得IPv4网络中存在隐蔽的 IPv6 通道，由于该 IPv6 通道并没有进行防护配置，攻击者可以利用IPv6通道实施攻击。例如前言部分介绍的MITM6案例，就是利用了IPv6网络攻击IPv4。

3.双栈系统的复杂性也会增加网络节点的数据转发负担，导致网络节点的故障率增加。

建议在没有使用IPv6的情况下，关闭该协议栈。

5.3.2、自动隧道安全

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!