国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 系統(tǒng)安全 >

傳統(tǒng)SLAAC地址對IPv6尋址的安然影響

時(shí)間:2013-07-05 11:18來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
IPv6主動(dòng)建設(shè)地址愈來愈存眷于IPv6尋址編制的安然性和保密性。IPv6主動(dòng)建設(shè)地址有3個(gè)安然含義:它們縮小了報(bào)復(fù)打擊者倡議地址掃描報(bào)復(fù)打擊的搜刮范圍,它們可以聯(lián)系關(guān)系一個(gè)收集的節(jié)點(diǎn)勾
Tags系統(tǒng)安全(735)IPv6(3)SLAAC(1)地址分配(1)  

  IPv6主動(dòng)建設(shè)地址愈來愈存眷于IPv6尋址編制的安然性和保密性。IPv6主動(dòng)建設(shè)地址有3個(gè)安然含義:它們縮小了報(bào)復(fù)打擊者倡議地址掃描報(bào)復(fù)打擊的搜刮范圍,它們可以聯(lián)系關(guān)系一個(gè)收集的節(jié)點(diǎn)勾當(dāng),和它們可以更輕松地跟蹤主機(jī)。安然工程師和咨詢師Fernando Gont介紹了一些抵制這些標(biāo)題問題標(biāo)編制,并且覺得需要投進(jìn)更多工作。

  IPv6引進(jìn)了兩個(gè)不合的地址建設(shè)機(jī)制:無狀況地址主動(dòng)建設(shè)(SLAAC)和有狀況第6版動(dòng)態(tài)主機(jī)建設(shè)和談(DHCPv6)。在DHCPv6中,地址由一個(gè)DHCPv6辦事器集中治理;是以,DHCPv6辦事器可以利用良多地址分派策略(如持續(xù)地址和隨機(jī)地址)。而SLAAC是一個(gè)集平分派地址的編制,每個(gè)節(jié)點(diǎn)都可以基于本地策略主動(dòng)建設(shè)IPv6尋址編制。

  在SLAAC中,利用的具體策略取決于底層鏈路層手藝。在以太網(wǎng)上,IETF尺度劃定IPv6地址由主動(dòng)建設(shè)的前綴與嵌進(jìn)底層鏈路地址的接口ID(IID)構(gòu)成。具體來講,IID的步調(diào)生成以下:

  1.獲得底層收集接口的以太網(wǎng)地址。

  2. 反轉(zhuǎn)以太網(wǎng)地址的IEEE組織獨(dú)一標(biāo)識(shí)(OUI)的U/L位。

  3. 在以太網(wǎng)地址的3個(gè)高位和3個(gè)低位之間插進(jìn)值0xfffe。

  然后,獲得的64位將用于生成IPv6地址。

  在成立IID以后,它們共享3個(gè)屬性。第一,IID(起碼在理論上)必需是全局獨(dú)一的,因?yàn)樗鼈兊膩須v以太網(wǎng)地址凡是是獨(dú)一的。第二,它們遵守必然的模式,這些模式也源于底層以太網(wǎng)地址。例如,不異供給商制造的設(shè)備有不異的IID高5位:它們與IEEE OUI對應(yīng),別的2個(gè)字節(jié)保留0xfffe。第三,它們在一個(gè)或多個(gè)收集中保持不變,除非手動(dòng)點(diǎn)竄了底層以太網(wǎng)地址,或改換了底層收集接口卡(NIC)。

  傳統(tǒng)SLAAC地址帶來的標(biāo)題問題

  從底層以太網(wǎng)地址生成IID是一種生成全局獨(dú)一ID的好編制;這類編制也能夠避免在收集中呈現(xiàn)反復(fù)的IPv6地址。但是,安然社區(qū)很快發(fā)現(xiàn),這類編制會(huì)對安然性和保密性產(chǎn)生負(fù)面影響。除此以外,這類編制也縮小了報(bào)復(fù)打擊履行IPv6地址掃描報(bào)復(fù)打擊的搜刮范圍。它還承諾報(bào)復(fù)打擊者聯(lián)系關(guān)系特定收集內(nèi)和多個(gè)收集間的節(jié)點(diǎn)勾當(dāng)。

  本文將介紹傳統(tǒng)SLAAC地址對保密性的影響,出格是統(tǒng)一個(gè)收集內(nèi)和多個(gè)收集之間的主機(jī)勾當(dāng)聯(lián)系關(guān)系(主機(jī)跟蹤)。

  正如之前所提到的,在IPv6地址的IID中嵌進(jìn)底層網(wǎng)卡MAC地址,將使該地址保持不變(除非改換NIC)。成果,它將成為報(bào)復(fù)打擊者跟蹤收集中節(jié)點(diǎn)勾當(dāng)?shù)氖侄?。例如,假定有一個(gè)節(jié)點(diǎn)連接前綴為2001:db8:1::/64的收集,然后主動(dòng)獲得地址2001:db8:1::a00:27ff:fe89:7878。假定節(jié)點(diǎn)從收集斷開,然后再從頭連接收集,它就會(huì)主動(dòng)獲得不異的地址(一樣,假定底層NIC未改換)。是以,報(bào)復(fù)打擊者可能將不異節(jié)點(diǎn)與IPv6地址2001:db8:1::a00:27ff:fe89:7878相干的所有收集勾當(dāng)連接在一路。這凡是就稱為一個(gè)收集中節(jié)點(diǎn)勾當(dāng)?shù)穆?lián)系關(guān)系。

  操縱“超等Cookie”實(shí)現(xiàn)主機(jī)跟蹤

  SLAAC IID不但會(huì)在一個(gè)收集中保持不變,也會(huì)在多個(gè)收集中保持不變。這是因?yàn)?,它們只依托于底層NIC的MAC地址(這個(gè)地址是不會(huì)改變的)。因?yàn)檫@些接口標(biāo)識(shí)凡是也是全局獨(dú)一的(因?yàn)榈讓覯AC地址凡是是全局獨(dú)一的),是以便可以輕松聯(lián)系關(guān)系節(jié)點(diǎn)在各個(gè)收集中的勾當(dāng)。例如,假定有一個(gè)節(jié)點(diǎn)連接一個(gè)前綴為2001:db8:1::/64的收集,然后主動(dòng)獲得地址2001:db8:1::a00:27ff:fe89:7878。這個(gè)節(jié)點(diǎn)先從收集斷開,然后再連接到一個(gè)前綴為2001:db8:2::/64的收集,這時(shí)候再主動(dòng)獲得到地址2001:db8:2::a00:27ff:fe89:7878。全局獨(dú)一且保持不變的接口ID a00:27ff:fe89:7878明顯成為節(jié)點(diǎn)的標(biāo)識(shí),從而可以將節(jié)點(diǎn)在多個(gè)收集的勾當(dāng)聯(lián)系關(guān)系在一路。這凡是稱為主機(jī)跟蹤。

------分隔線----------------------------

推薦內(nèi)容