最可怕的IPv6攻击类型简介与解析

IPv6是如今在网上日益得到采用的下一代寻址方案,它取代了互联网的主要通信协议IPv4;但安全专家们表示,越来越多的攻击在钻IPv6已知漏洞的空子。

总部设在弗吉尼亚州费尔法克斯市的IT工程公司Salient Federal Solutions声称,如今的实际环境中出现了IPv6攻击事件,这些攻击利用了这个新兴协议的隧道功能、路由报头、DNS广播和恶意路由公布等。这家公司声称,如果使用能够支持IPv6的深层数据包检查工具,就可以消除所有这些威胁。该公司及其他网络厂商销售这类工具。

Salient公司网络安全卓越中心的负责人Lisa Donnan说:“我们的确看到了这些攻击,只是说不出来在哪里看到。”今年3月,Salient Federal Solutions收购了IPv6咨询和培训公司Command Information。

Salient Federal 看到的头号攻击归咎于众多的IPv6流量在IPv4网络上通过隧道来传送,尤其是使用内置在微软Windows Vista和Windows 7中的Teredo机制。IPv6流量在IPv4网络上通过隧道来传送存在的这个安全漏洞至少五年前就已知道了,但现在仍被不法分子钻空子。

Salient Federal Systems的高级主管兼IPv6网络架构师Jeremy Duncan说:“IPv6隧道机制让攻击者得以肆无忌惮地渗入到网络。”

Duncan担心的是uTorrent,这是支持IPv6的免费客户端,面向用于共享音乐和电影等大文件的BitTorrent对等协议。Duncan表示,uTorrent在Teredo上运行起来很顺畅;BitTorrent用户社区发现,IPv6是规避网络拥塞控制措施的一个方法,互联网服务提供商(ISP)经常采用控制措施来管理IPv4网络上的BitTorrent流量。

Duncan表示,另一款BitTorrent应用软件Vuze的用户也往往偏爱IPv6,而不是IPv4。

Duncan说:“BitTorrent的用户发现,提供商不会遏制IPv6方面的流量。这对运营商们来说是个问题。它们之所以无法遏制IPv6流量,就是由于没在检查这种流量。”

Salient Federal表示,它还看到了针对IPv6的类型0路由报头(Type 0 Routing Header)发动的攻击。类型0路由报头是IPv6的一项功能,让网络运营商可以识别一路上哪些路由器可以接收数据包。互联网工程任务组(IETF)在2007年就建议,应该禁用IPv6的这项功能,原因是该功能可能被用于拒绝服务攻击。IETF还认为这个威胁的危害性“特别大”。

不过,Salient Federal看到它监控的IPv6生产型网络同样受到了针对类型0路由报头的攻击。比如说,Command Information最后查明,这种攻击起源于它自己的其中一只没有在使用的边界路由器。攻击的源头是远在中国的一个科研网络。一旦这种攻击得逞,中国黑客就可以将恶意流量,从Command Information那只遭到攻击的边界路由器发送到其他网络。

Duncan说:“网络管理人员必须关闭路由器中的这项功能。几年前,所有思科路由器在默认情况下都启用这项功能。比较新的路由器则关闭了这项功能;问题就出在比较旧的路由器上。”

与IPv6相关的另一种威胁来自互联网的DNS系统播送所谓的四A记录(Quad A record)的方式,IPv6用到这种记录。Duncan表示,四A查询出现在该公司监控的每一个网络上,尽管那些网络中有许多并不支持IPv6流量。

四A查询播出去后,这无异于表明网络上的一些节点能够支持IPv6,然后不法分子就可以用基于IPv6的攻击来锁定这些节点。因为网络本身不支持IPv6,所以网络管理人员很可能没有使用深层数据包检查工具来监控IPv6流量。

Duncan把播送四A记录的IPv4网络称为“装满子弹的火枪”。

Duncan说:“如果公司企业拥有能够支持IPv4,但不支持IPv6的设备,黑客们就知道缺少IPv6方面的网络管理。他们就很容易向该企业的邮件服务器发送洪水般的垃圾邮件,而垃圾邮件里面含有恶意软件。他们只需要拥有更高权限的某个用户打开含有恶意软件的某一封垃圾邮件,而该恶意软件就可以透过防火墙在隧道里打开IPv6。”

Duncan指出,他还没有见过四A漏洞被人钻空子的情况,不过他认为这是企业面临的一个重大威胁。

Duncan说:“我们还没有看到利用这个漏洞的具体案例,但见过许多IPv6隧道流量并没有加以检查。每家企业播出去的四A记录可能多达成千上万条……解决办法就是,如果你没有在使用IPv6,就要牢牢锁住它,另外使用深层数据包检查工具。”

最后,Salient Federal声称,它看到了IPv6的恶意路由器公告;不过该公司承认,还没有看到哪个不怀好意的人发送这种恶意公告。IETF在今年2月曾提醒防范恶意路由器公告这种威胁,指出这个安全漏洞可能被用于发动拒绝服务攻击或中间人攻击。

这种威胁来自这个事实:由于IPv6具有的自动配置功能,能够支持IPv6的工作站总是会侦听路由器公告。然而,由于网络管理员的失误或黑客攻击,这些工作站可能会受到假公告的欺骗。无线网络和有线网络都存在IPv6的恶意路由公告这个问题。

Duncan说:“企业需要在自己的交换机和路由器上部署像思科的RA Guard这些修复程序;但之后,你要让网络的核心部分能够支持IPv6。你还要在网络的核心部分使用深层数据包检查功能。”

Duncan竭力劝告公司在各自的网络上实施IPv6,并落实合适的安全控制措施,比如深层数据包检查工具,那样他们就能管理与IPv6有关的漏洞了。

他说:“企业必须确保,自己的安全厂商能够防范这些特定的IPv6漏洞。”他竭力劝告公司企业,要对系统工程师和网络工程师进行IPv6方面的培训,并制定一项IPv6网络安全计划。

Duncan表示,企业网络的管理人员对IPv6日益有所了解,但是他们对于相关的安全问题还不够关注。他说:“对于IPv6安全的关注程度不如对于IPv4安全的关注。”

Donnan表示,这个问题让人担忧,那是因为美国公司很容易遭到别国发动的IPv6攻击。

Donnan说:“如今存在背后有政府撑腰的黑客活动,黑客们对于IPv6又非常精通。”

许多运营商和企业纷纷迁移到IPv6,因为互联网上使用IPv4的地址即将告罄。之前未分配的IPv4地址在今年2月就已经用光了;亚太地区在4月份就用光了,就剩下专门留给新兴公司的少数几个IPv4地址。美国互联网号码注册机构(ARIN)负责为北美的网络运营商分配IP地址;该组织表示,它提供的IPv4地址会在今年分配完毕。

IPv4使用32位地址,可以支持直接连接到互联网的43亿个设备;而IPv6使用128位地址,可以连接的设备数量几乎没有限制:2128个。IPv6有望提供比IPv4速度更快、成本更低的互联网服务,还可以使用网络地址转换(NAT)设备,延长IPv4的使用寿命。