前言

最近的客戶，從前年開始進(jìn)行ipv4到ipv6的過渡，到目前為止，大部分設(shè)備處于雙?；蛘卟糠窒到y(tǒng)沒有進(jìn)行過渡更新。

因?yàn)楫吘故羌追剑怨ぷ魍七M(jìn)的很穩(wěn)健，到交到我們手上的時(shí)候，我們只需要輸出關(guān)于對(duì)ipv6的攻擊與防御及優(yōu)化方案。

伊始

說到ipv6，很多人可能都有一些了解，所以如果上來就ping目標(biāo)域名的話，100%解析的是ipv4的地址。

如圖所示，因?yàn)槟繕?biāo)服務(wù)器客戶已經(jīng)在防火墻上設(shè)置了禁ping，所以這里我們只看解析的地址，很明顯，這是ipv4地址。

那么我們?nèi)绾谓馕鰹閕pv6的地址，讓它走ipv6的流量呢。

在linux下：

(1) ping6 (域名或者ipv6地址)

不過如果pc請(qǐng)求端配置錯(cuò)誤的情況下，可能會(huì)出現(xiàn)：

windows下當(dāng)支持ipv6的時(shí)候如何解析ipv6呢?

(2) ping -6 (ipv6地址)

配置

1. windows

DNS服務(wù)器設(shè)置為240c:6666。

簡(jiǎn)單的原則就是：躍點(diǎn)數(shù)越小，網(wǎng)絡(luò)優(yōu)先級(jí)越高。躍點(diǎn)數(shù)的理論賦值范圍是 1 ~ 999，但躍點(diǎn)數(shù)低于10 ，可能會(huì)導(dǎo)致某些網(wǎng)絡(luò)訪問失敗。

2. 基本配置：

(1) 攻擊端

• 硬件：阿里云IPv6主機(jī)一臺(tái)
• 網(wǎng)絡(luò)：IPv6地址(xxxx)

(2) 服務(wù)端

• 硬件：外網(wǎng)網(wǎng)站同配置的冗余主機(jī)
• 網(wǎng)絡(luò)：IPv6地址(xxxx)
• 驗(yàn)證工具：IPv6攻擊工具套件、AWVS漏洞，pocsuite。

ipv6現(xiàn)狀：

IPv6相比IPv4雖然在協(xié)議安全性方面進(jìn)行了改進(jìn)，但傳輸數(shù)據(jù)報(bào)的基本機(jī)制沒有發(fā)生改變，依然存在一些和IPv4相同的攻擊，如針對(duì)應(yīng)用層(HTTP)、傳輸層(TCP)的攻擊，同樣對(duì)IPv6網(wǎng)絡(luò)構(gòu)成較大威脅。由于IPv6協(xié)議發(fā)布較早，隨著IPv6推廣的逐步擴(kuò)大、一些新型攻擊方式也不斷出現(xiàn)，如利用IPv6擴(kuò)展報(bào)頭、NDP協(xié)議以及ICMPv6的攻擊，都是針對(duì)IPv6協(xié)議存在的各類缺陷。另外，IPv4向IPv6過渡長期共存也引發(fā)新的安全挑戰(zhàn)，如雙棧機(jī)制過濾不嚴(yán)、利用隧道機(jī)制繞過安全設(shè)備等等。

綜上所述，在設(shè)計(jì)驗(yàn)證方案時(shí)，按驗(yàn)證的方向分為三類：IPv4和IPv6共有安全、IPv6特有安全、IPv4/v6過渡長期共存的安全。

主要評(píng)估客戶網(wǎng)站安全設(shè)備對(duì)基于IPv6流量的傳統(tǒng)網(wǎng)絡(luò)及應(yīng)用攻擊的防護(hù)效果，驗(yàn)證選取一些典型攻擊方式，如SQL注入、XSS、遠(yuǎn)程溢出等進(jìn)行測(cè)試。

測(cè)試用例設(shè)計(jì)如下：

主要評(píng)估客戶外網(wǎng)網(wǎng)站安全設(shè)備對(duì)利用IPv6協(xié)議漏洞發(fā)起攻擊的防護(hù)效果。

利用IPv6協(xié)議漏洞的攻擊，目前已知的IPv6攻擊手段有NDP欺騙攻擊、路由重定向攻擊、ICMPv6協(xié)議攻擊(Overlarge Ping等)、基于IPv6的SYN Flood攻擊等，其中NDP中欺騙攻擊、路由重定向攻擊基于LAN的攻擊，不屬于本次驗(yàn)證范圍，因此驗(yàn)證選取ICMPv6協(xié)議攻擊、基于IPv6的SYN Flood攻擊等進(jìn)行測(cè)試。測(cè)試用例設(shè)計(jì)如下：

測(cè)試編號(hào)B-01測(cè)試項(xiàng)IPv6協(xié)議CVE漏洞組合測(cè)試

測(cè)試目的驗(yàn)證防火墻等安全設(shè)備對(duì)IPv6協(xié)議已知漏洞(CVE漏洞)的防護(hù)效果。

主要評(píng)估客戶外網(wǎng)網(wǎng)站安全設(shè)備在支持雙棧協(xié)議的網(wǎng)絡(luò)環(huán)境下，對(duì)過渡機(jī)制下面臨安全問題的防護(hù)效果。雙棧機(jī)制允許訪問路徑沿途設(shè)備同時(shí)支持IPv4與IPv6數(shù)據(jù)包，如果攻擊者控制一臺(tái)IPv4設(shè)備，可以建立IPv6地址的隧道，使用兩種協(xié)議協(xié)同作戰(zhàn)，從而繞過防火墻或者IDS設(shè)備。

本次驗(yàn)證，假設(shè)攻擊者已控制服務(wù)端主機(jī)，通過嘗試建立IPv6隧道，測(cè)試對(duì)IDS設(shè)備的穿透效果。測(cè)試用例設(shè)計(jì)如下：

3. 測(cè)試總結(jié)：

客戶購買了大量的安全設(shè)備，最后只在2臺(tái)設(shè)備上捕捉到了IPV6的攻擊流量。感慨國內(nèi)ipv6的安全發(fā)展，任重道遠(yuǎn)。

經(jīng)過驗(yàn)證測(cè)試，發(fā)現(xiàn)IPv6網(wǎng)絡(luò)的安全防護(hù)，存在以下問題：

(1)部分安全設(shè)備，實(shí)際對(duì)IPv6的支持不足。如部分安全設(shè)備無法查詢出IPv6攻擊日志，甚至存在IPv6網(wǎng)絡(luò)連通性的問題。如通過某臺(tái)IPS設(shè)備，Ping外網(wǎng)網(wǎng)站的IPv4和IPv6地址測(cè)試，網(wǎng)絡(luò)連通性存在差異。

IPv4地址網(wǎng)絡(luò)可達(dá)IPv6地址網(wǎng)絡(luò)不可達(dá)。

(2)安全設(shè)備對(duì)通過IPv6over4隧道實(shí)施的內(nèi)網(wǎng)穿透檢測(cè)能力不足。此類內(nèi)網(wǎng)穿透，通常發(fā)生在防火墻內(nèi)部，防火墻難以檢測(cè)。通過建立IP6over4隧道，又使得攻擊隱蔽，可以繞過IPS等安全設(shè)備

后記

ipv4轉(zhuǎn)向ipv6的大潮流是不可替代的，就如5G一樣，雖然現(xiàn)在因?yàn)楦鞣N各樣的原因，推進(jìn)的不是很快，但是總有一天，這個(gè)時(shí)代會(huì)來臨，所以有興趣的兄弟可以開始學(xué)習(xí)了。

在寫方案時(shí)期，查閱很多學(xué)術(shù)論文，零幾年的文章有很多，不得不感慨時(shí)光流逝，和前人的高瞻遠(yuǎn)矚。

因涉及敏感信息，部分打碼，文中工具及腳本暫不公開。