国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全

若何匹敵傳統(tǒng)SLAAC地址的主動主機跟蹤?

時間:2013-07-08 09:39來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
為應(yīng)對傳統(tǒng)SLAAC地址的保密性標題問題,IETF提出了RFC 4941“IPv6主動建設(shè)無狀況地址的保密性擴大”;它凡是稱為“姑且地址”。RFC 4941尺度化的方案首要經(jīng)由過程以下編制實現(xiàn): ● 姑且地址是利
Tags系統(tǒng)安全(735)傳統(tǒng)SLAAC(1)主機跟蹤(1)  

  為應(yīng)對傳統(tǒng)SLAAC地址的保密性標題問題,IETF提出了RFC 4941“IPv6主動建設(shè)無狀況地址的保密性擴大”;它凡是稱為“姑且地址”。RFC 4941尺度化的方案首要經(jīng)由過程以下編制實現(xiàn):

  ● 姑且地址是利用隨機IID不竭反復(fù)生成的IPv6地址。

  ● 這些姑且地址包含傳統(tǒng)的SLAAC地址。也就是說,實現(xiàn)RFC 4941的節(jié)點不但包含姑且地址,也包含傳統(tǒng)(固定的)SLAAC地址。

  ● 姑且地址將用于外出連接,而傳統(tǒng)的SLAAC地址用于進進連接。也就是說,只有當需要地址不會時,才能利用傳統(tǒng)的SLAAC地址。

  可是,姑且地址也有良多錯誤謬誤。它們也沒法避免地址掃描報復(fù)打擊,它們其實不克不及完全匹敵主機跟蹤,并且凡是會增加收集把持復(fù)雜性。并且,在利用傳統(tǒng)SLAAS地址的時辰會同時利用姑且地址(而不是替代),所以姑且地址幾近沒法抵當?shù)刂窉呙鑸髲?fù)打擊。

  對主機跟蹤,姑且地址不克不及完全解決這些標題問題。例如,假定有一個報復(fù)打擊者知道受報復(fù)打擊節(jié)點的傳統(tǒng)SLAAC地址所利用IID,那么這個報復(fù)打擊者也就知道了所報復(fù)打擊節(jié)點可能連接的方針收集。在這類環(huán)境下,報復(fù)打擊者便可以操縱收集前綴和所報復(fù)打擊節(jié)點利用的不變IID,主動讓受報復(fù)打擊的節(jié)點連接各個方針收集。

  這里的關(guān)頭概念是,只要IID在收集保持不變,報復(fù)打擊者便可能操縱它倡議主機跟蹤報復(fù)打擊。啟用姑且地址只能匹敵被動主機跟蹤報復(fù)打擊(例如,經(jīng)由過程連接報復(fù)打擊者所操控辦事器的受報復(fù)打擊節(jié)點倡議的報復(fù)打擊)。但是,主動主機跟蹤報復(fù)打擊(報復(fù)打擊者向方針發(fā)送偵測數(shù)據(jù)包)仍然沒法避免。

  匹敵主動主機跟蹤

  SI6 Networks的IPv6東西套件scan6東西是一個專門用于倡議主動IPv6主機跟蹤的IPv6地址掃描東西。它供給了良多選項,可以指定報復(fù)打擊節(jié)點可能連接的收集和所利用的固定接口ID。

  例如,假定有一個報復(fù)打擊者知道一個傳統(tǒng)SLAAC地址為a00:27ff:fe89:7878的節(jié)點IID,那么這個節(jié)點可能只能連接收集2001:db8:1::/64和2001:db8:2::/64。這時候,報復(fù)打擊者便可以用scan6履行以下號令:

  # sudo scan6 -i eth0 -d 2001:db8:1::/64 -d 2001:db8:2::/64 -W a00:27ff:fe89:7878 -l -z 60 -t -v

  如許scan6便可以每隔60秒鐘報復(fù)打擊IPv6地址2001:db8:1::a00:27ff:fe89:7878和2001:db8:2::a00:27ff:fe89:7878。正如之前所提到的,即便方針節(jié)點利用姑且地址,這類報復(fù)打擊也可能生效,因為姑且地址也包含傳統(tǒng)SLAAC地址。

  scan6東西還可以從各個文件獲得方針I(yè)ID和方針收集前綴。例如,這個東西可以履行以下號令:

  # sudo scan6 -i eth0 -m PREFIXES-TXT -w IIDS.TXT -l -z 60 -t -v

  在這類環(huán)境中,scan6東西將從文件PREFIXES.TXT獲得方針I(yè)Pv6前綴,從文件IIDS.TXT獲得方針節(jié)點的IID。

  可能的解決編制

  明顯,姑且地址可以匹敵聯(lián)系關(guān)系一個收集內(nèi)部節(jié)點勾當,因為它們會讓長途報復(fù)打擊者很難將良多通信實例聯(lián)系關(guān)系到統(tǒng)一個節(jié)點。

  完全消弭主機跟蹤報復(fù)打擊則要求避免節(jié)點利用在多個收集中保持不變的IID。有一篇IETF提案“一種經(jīng)由過程IPv6無狀況主動建設(shè)(SLAAC)生成固定加強保密地址的編制”專門措置這個標題問題。它包含:

  ● 產(chǎn)生的IPv6地址將在收集中保持不變(例如,在連接統(tǒng)一個收集時,主機總能獲得不異的地址),所以收集把持不會遭到負面影響。

  ● 當主機從一個收集切換到另外一個收集時,它的IPv6地址會產(chǎn)生改變(從而匹敵主機跟蹤報復(fù)打擊)。

  這個尺度估計將在本年年底完成。當然有良多供給商暗示成心撐持這類編制,可是這類編制仍然需要一按時候才能遍及擺設(shè),解決IPv6尋址安然和保密標題問題。

------分隔線----------------------------

推薦內(nèi)容