扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:ZDNet China 2007年5月29日
关键字: Fielding专栏 IPv6 安全管理 路由器 CISCO
最早部署IPv6的人都应该知道由于IPv6规范的小疏漏,IPv6也有可能遭受DDoS攻击。这个漏洞是由Type 0路由头引发的。
Type 0路由头在IPv4时代就表现出了严重的安全隐患,因此在IPv4的默认引擎下是禁用Type 0路由头的。Type 0路由头功能可以让某些数据解释为源路由内容丢失,从而被黑客利用制造出死循环形式的拒绝服务攻击。比如一个发给节点A的数据包被标记为经过节点B再返回节点A,如此反复。在IPv4规范中,数据包头部最多添加九个路由节点,而在IPv6中,这个限制被放宽到88个地址,明显增加了这种潜在威胁的发生可能和危害。The Register的报告表示,有网络工程师表示“这就好像是将IPv4的丢失源路由机制引入到IPv6环境并加强了它的破坏性。”
解决这个办法有两种方案:要么完全接受这个功能,要么确保大家都关闭这个功能。很多基于BSD操作系统的路由器在默认状态下就是关闭该功能的,所有包含Type 0路由头的数据包都会被丢弃。
不过令人惊讶的是,Cisco并没有在这方面有过多的关注。虽然在大多数Cisco路由器中,IPv6都是禁用状态,但是一旦开启IPv6,Type 0路由头一般情况下就不会被过滤掉了。
Cisco后来发布了一份公告以及相应的补丁,在公告中Cisco表示,这一漏洞有可能导致内存崩溃,并有可能导致远程代码执行。这个漏洞有可能导致路由器被黑客入侵,如果远程代码执行失败,那么就有可能对路由器造成拒绝服务攻击。
到目前为止,我们还没有看到有这个漏洞的攻击报道,但是这主要是由于IPv6网络的普及率还相当低。随着技术的普及,IPv6的采用率会越来越高,届时有可能会出现由于这个漏洞而引发的攻击事件。
IPv6的发展动力来自于IPv4网络地址的缺乏。几年前网络IP地址缺乏的危机被过分宣传,导致市场对IPv6的开发需求急迫,而引入无类别域间路由选择(CIDR)和网络地址转换(NAT)在短期内减缓了人们对于IP地址的需求。来自Cisco和APNIC的报告显示,根据目前未利用的IP地址的回收情况,基于IPv4规范的IP地址将在2011年-2023年之间耗尽。而美国白宫的管理办公室也要求所有联邦机构的主干网络必须在2008年6月以前转换到IPv6,国土安全部更是在2008年以前就要求完成向IPv6的迁移。
这也提醒了其他机构,虽然向IPv6迁移并不是一个急迫的任务,但是最终总是要从现有的IPv4架构转换到IPv6的。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。