文档介绍:1. IPv6基础介绍 3
头结构 4
IPv6头结构特点及与IPv4头结构比较 6
扩展地址 7
简化的包头 7
对扩展和选项支持的改进 8
流 10
身份验证和保密 11
分段 12
ICMPv6 15
2 IPv6在安全上的改进 18
巨大的地址空间 18
地址分配及寻址模式 19
内置IPSEC协议和端对端的安全实现 20
分片机制的改变 21
广播地址的取消 21
IPv6对NAT的限制 22
3. IPv6面临的独特威胁 23
真实MAC地址信息的泄露 24
过渡技术导致的弱点 24
DoS/DDoS威胁 26
ICMPv6协议脆弱性 26
消息伪造 26
27
DoS攻击 27
对上层协议的攻击 27
(NDP) 27
29
路由发现协议脆弱性分析 29
30
ICMPv6 echo request/reply报文的安全脆弱性分析 31
32
其他威胁 32
4 IPv6对其余各层协议的影响 33
应用层 34
传输层 34
链路层 35
5 对现有安全技术和设备的影响 36
防火墙 36
*** 38
入侵检测技术 39
图表目录
图表 1 IPv6头结构 5
图表 2 IPv4与v6头结构对比 7
图表 3 ICMPv6格式 16
1. IPv6基础介绍
的快速发展人们越来越意识到IPv4协议在设计上存在着巨大的缺陷,的使用和发展。尤其在地址资源、管理和安全等方面体现出的问题,已经无法通过简单的对协议的修订来予以解决。尤其是在地址资源方面,IPv4所能提供的地址空间早已濒临耗尽。虽然一些相关技术如NAT、CIDR(Classless Inter-Domain Routing)的提出部分缓解并延缓了这一过程,但是无法从根本上解决这一问题。
全新版本IP协议IPv6(也叫IP-NG:下一代IP)继承了IPv4的很多特点,同时针对其内在的问题对协议进行了大量修改,发展趋势的服务功能。目前,IPv6主要部分已经开发完成并得到了相关厂商和用户的广泛支持,部分厂商已于多年前就能提供可支持IPv6协议的设备,一些用户也进行了成功的部署和应用,IPv6已经不再只是实验室中的技术。但是IPv6仍然存在很多问题没有解决,协议还在持续开发改进之中。
IPv6从设计之始就把提供足够的地址资源作为主要目标之一。相对于仅有32位地址空间的IPv4,IPv6的地址空间扩展到了128位,发展的瓶颈。从IPv4的发展进程中积累的经验可知,巨大的地址空间同时也意味着路由表的急剧增长,这样就需要对网络基础设施建设增加投入,也对有效管理提出了更高要求。IPv6为了避免这些问题,提出了多种新技术来提高地址分配的效率和路由性能,包括新的寻址模型,地址分配规则、移动网络技术和自动配置技术等[23]。限于篇幅,本文不在这里详细介绍这些技术,有兴趣的读者可以查找相关资料。
头结构
图表 1 IPv6头结构
在I P v 4中,所有包头以3 2位为单位,即基本的长度单位是4个字节。在I P v 6中,包头以6 4位为单位,且包头的总长度是4 0字节。I P v 6协议为对其包头定义了以下字段(如图表1):
•版本。长度为4位,对于I P v 6,该字段必须为6。
•类别。长度为8位,指明为该包提供了某种“区分服务”。RFC 1883中最初定义该字段只有4位,并命名为“优先级字段”,后来该字段的名字改为“类别”,在最新的I P v 6I n t e r n e t草案中,称之为“业务流类别”。该字段的定义独立于I P v 6,目前尚未在任何R F C中定义。该字段的默认值是全0。
•流标签。长度为2 0位,用于标识属于同一业务流的包。一个节点可以同时作为多个业务流的发送源。流标签和源节点地址唯一标识了一个业务流。在RFC 1883中这个字段最初被设计为2 4位,但当类别字段的长度增加到8位后,流标签字段被迫减小长度来作补偿。
•净荷长度。长度为1 6位,其中包括包净荷的字节长度,即I P v 6头后的包中包含的字节数。这意味着在计算净荷长度时包含了I P v 6扩展头的长度。
•下一个头。这个字段指出了I P v 6头后所跟的头字段中的协议类型。