频道栏目
首页 > 安全 > 网络安全 > 正文

黑客张大民在 IPv6里的幸福与烦恼

2004-10-27 18:29:30           
收藏   我要投稿
IPv6和IPv4的网络安全性之比较

  前言:这个是给CIW写的,征得他们同意后,先在这里发一下。考虑到面向的读者有可能不象论坛上的兄弟这么专业,我把这个写的有点科普,请做技术的兄弟不要笑话另外,如果里面有哪些技术上不准确的地方,请一定一定指出,以便保证质量。先谢过了。

  张大民是在国内互联网黑客圈子里小有名气的黑客。不但知道如何使用各种黑客工具来找到所谓的“肉鸡”,也就是漏洞大开的主机。而且知道如何把它们组织起来,做一些事情。张大民对互联网的结构也小有研究,知道整个互联港口如何运行和其中的弱点。张大民不甘心只使用别人开发的黑客程序,只做一个script kiddie(脚本小子)。他还努力学习网络安全知识,想成为一个白帽子黑客,能独立找到程序中的漏洞。

  而且,张大民对如何攻击网络结构,而不是单一的一台电脑也很感兴趣,对各种层次上的数据报文也很有研究。由于对网络安全的热爱和不懈的努力,张大民逐渐在国内的黑客圈子里建立了一定的权威。但他并没有就此满足,而是对新出现的网络技术一直感兴趣,并尽量从网络安全方面来加以学习。最近,国家对IPv6的支持越来越明显,政府已经把实行IPv6作为一个战略目标来进行,将来国内的互联网将以运行IPv6为主。黑客张大民也对IPv6,尤其是IPv6的安全性产生了极大的兴趣,想好好研究一番,成为一个精通IPv6安全的网络黑客。

  张大民是攻击IPv4的黑客高手了,对网络侦察,第三层第四层报文的源地址伪装,基本的针对IPv4的攻击手段如拒绝服务的攻击(DOS),病毒和网络蠕虫都小有研究。对于一些基本的攻击工具象Land,Smurf等都烂熟于胸。但让张大民头痛的是,关于如何攻击IPv6的资料很少,在国内自己还是开始进行研究的先驱,到底如何下手呢?张大民的名气也不是白得的,他想出来一个很聪明的方法:既然我知道如何攻击IPv4,那我就用相同的方法和工具来攻击IPv6,研究一下这些攻击方法在IPv6上可行与不可行,在这个研究过程中,也对IPv6的安全性有了了解。

  张大民对能想到这个方法很满意,也说做就做,开始了他对IPv6安全性的研究。

  网络侦察

  首先张大民开始了对IPv6网络侦察的研究。对IPv4网络的侦察是张大民要做的日常工作。如使用ping进行IPv4地址段的主机扫描,来看哪一个IPv4的主机在线上。使用NMAP对一段IP地址进行端口扫描,看主机都提供哪些网络服务。对主机上运行的应用程序进行脆弱性扫描等等。网络侦察是黑客进行网络攻击的第一步,肉鸡都是这么找出来的。那对IPv6的网络如何进行侦察呢?张大民首先发现,IPv6的地址是128位的,也就是说,有可能2的128次方个IPv6网络地址。而且和IPv4可变长度的子网掩码不同的是,IPv6中规定所有的子网掩码长度统一是64位。也就是说,任何一个IPv6的网络,都可能有2的64次方台主机。这个发现让张大民倒吸了一口冷气,因为他知道,2的64次方是一个非常大的数字。整个IPv4的可能的IP地址数目也就是2的32次方个,而在IPv6上,一个网络上可能的主机数目就远远超过了这个数目,这是一个天文数字。

  我们再也不愁缺少IP地址了,张大民在想,如果火星上的母鸡也想要一个IP地址也没问题了。但对于这些天文数字的IP地址数目,让我如何进行网络侦察啊!大民想到这里,心情变得非常沮丧。他也做了一下计算,用现在的电脑,如果能每秒钟进行一百万千主机的扫描,哪怕只对IPv6中一个单一的小网络进行网络侦察,扫描整个2的64次方个IPv6地址,也要至少二十八年的时间。 “我可没这个功夫”,张大民沮丧的想。看样子在IPv6的世界中,对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。

  难道IPv6就真的没有安全问题了么?黑客张大民不甘心,而且以他多年的网络安全工作经验,他知道任何网络系统都是有安全问题的。他潜下心来,对IPv6和相关的技术进行了研究,还是发现了一下在IPv6世界里找到主机的方法。首先,不管是IPv4还是IPv6,都需要使用DNS,还是应该很容易发现一个IPv6网络中的DNS服务器的。也就是说,虽然无法对整个网络进行系统的网络侦察,但在每个IPv6的网络中,总有那么几台主机是大家都知道网络名字的,也可以对这些主机进行攻击。

  而且,因为IPv6的地址空间实在是太大了,很多IPv6的网络都会使用动态的DNS服务。而如果攻击者可以攻占这台动态DNS服务器,就可以得到大量的在线IPv6的主机地址。另外,因为IPv6的地址是128位,很不好记,网络管理员们可能会常常使用一下好记的IPv6地址,这些好记的IPv6地址可能会被编辑成一个类似字典的东西,系统的找到IPv6主机的可能性小,但猜到IPv6主机的可能性会大一些。而且由郁IPv6和IPv4要共存相当长一段时间,很多网络管理员会把IPv4的地址放到IPv6地址的后32位中,黑客也可能按照这个方法来猜测可能的在线IPv6地址。

  研究到这里,张大民的心情稍微好了一些,看样子虽然难度增大了,但还不是没有办法的。随着研究的深入,张大民发现,IPv6中的组发地址(定义在RFC2375中)定义方式也给攻击者带来了一些机会。例如,IPv6地址FF05::3是所有的DHCP服务器,就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的DHCP服务器。所以可能会有一些专门攻击这些服务器的拒绝服务的攻击。

  张大民以黑客自居,但也是一个网络安全工作者,在对如何对IPv6网络进行侦察做了研究后,他也提出了一些最佳的管理方法来防止黑客对IPv6网络进行网络侦察。

  ·网络管理员在对主机赋予IPv6地址时,不应该使用好记的地址,也要尽量对自己网络中的IPv6地址进行随机化,这样会在很到程度上减少这些主机被黑客发现的机会。当然,对IPv6地址随机化也可能会带来管理上的困难,如果你忘记了用过的IPv6地址,再找起来会很困难。张大民的建议是:对只在网络内部使用的主机,使用统一容易记忆的IPv6地址来方便管理。对要上互联网的主机使用随机的IPv6地址来减少这些主机被黑客发现的可能性。

  ·在网络的边界过滤一些私有的IPv6地址,拒绝这些地址进入和流出网络。前面提到的IPv6地址FF05::3,就应该在网络的边界进行过滤。

  ·对于系统上的关键主机,使用标准的,但不是显而易见的IPv6地址命名方式。主要的目的是增加外部黑客猜测IPv6网络地址的难度。

  ·在防火墙上过滤掉不需要的IPv6服务。虽然有观点说实行IPv6后,就不需要防火墙了,但在实际的工程实践中,防火墙还要存在相当长的一段时间。

  ·对主机和应用程序要加强保护。在IPv4中是这样,在IPv6中就更是这样,因为目前的防火墙和IDS还都不支持IPv6,如果把IPv6的主机放到互联网上,这台主机受到的保护就更少了,需要特殊加以注意。

  远程接入

  通过多年对IPv4系统的研究,张大民对IPv4系统的开放程度深有了解。IPv4的设计思想是:让任何一台主机都可以连接到任何一台主机。例如,如果网络上的一台服务器有一个全局的IPv4地址,但这台服务器只是让单位内部的人员使用的,并不想接受外部的访问。倒IPv4并不提供任何功能来保证这台主机只能由单位内部的人员进行访问,网络管理员必须在单位的网络边界进行某种配置,或安装防火墙来防止外部网络无关人员对这台服务器进行非法访问。

  张大民在IPv6中发现,在IPv6的地址概念中,有了link-local(本地子网)地址和site-Iocal(本地网络)地址的概念。而且一台主机的一个网卡上可以有多个IPv6的地址。例如,一台主机上可以只有一个link local的地址,那么这台主机只能和一个子网内部的其它主机通讯:一台主机上可以有一个link local和一个site local的地址,那么这台主机不但可以和一个子网内部的其它主机通讯,也可以和单位其它的主机通讯;一台主机上可以有一个link local和一个site local的地址,还有一个全局的IPv6地址,那么这台主机不但可以和一个子网内部的其它主机通讯,可以和单位其它的主机通讯,也可以和全球上任何其它有IPv6全局地址的主机建立联系。

  “从安全角度来说,这样的地址分配为网络管理员加强网络安全管理提供了方便”,张大民暗自着想。因为这样,如果有的主机只需要和一个子网内的其它主机建立联系,那么网络管理员就可以只给它分配一个link local的IPv6地址;如果一台服务器只为单位内部的员工提供访问,那么就可以只给这台主机分配一个site local的IPv6地址。单位网络外部的任何人员都无法访问这些主机,而且也不需要再单独安装防火墙什么的对这些主机加以特殊保护了。如果对哪些连接到互联网的主机,如果在分配IPv6全局地址时尽量随机一些,难猜一些,哪有可以保证这些全局地址不容易被黑客发现,又多加了一层安全措施。
 
  对于网络管理员来说,IPv6的地址设计方法加强了网络安全,但对于黑客来说,增加了攻击网络的难度。 “希望有的管理员不按照这样的地址分配,这样黑客还是有机可乘的”,张大民又稍微有点沮丧。但他知道不是每个管理员都把网络安全放在第一位的,不论是在IPv4还是在IPv6的世界中,粗心大意的网络管理员管理的网络水远是黑客们第一个找到的目标。

  张大民还注意到,IPv4中的IP选项的部分被IPv6中的扩展报文头所代替了。这个发现让黑客张大民大喜过望,又稍微找回了一点幸福的感觉。因为IPv4的选项部分就已经很复杂了,网络管理员对这一部分管理上的疏忽常常给黑客可乘之机。IPv6中一定也会有这种情况的发生。果然不出张大民所料,经过了一番研究,他发现IPv6中规定,所有的IPv6的主机都要求接受并处理IPv6的路由扩展报文头,并转发路由扩展报文头内的报文。“那我就可以修改这个路由扩展报文头来改变报文的转发方向了!”,张大民高兴的想。这样也可以绕过一些单位网络的防火墙。找到了这个问题之后,作为一个有责任感的网络安全工作者,张大民对网络管理员提出了如下的

相关TAG标签 张大民 黑客
上一篇:PPG加密资源任我下载
下一篇:黑客张大民的小城奇遇
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站