IPv6協(xié)議面臨的網(wǎng)絡(luò)安全隱患分析
本文引用地址:http://butianyuan.cn/article/153432.htm
移動IPv6的隱患
移動計算與普通計算的環(huán)境存在較大的區(qū)別,如多數(shù)情況移動計算是在無線環(huán)境下,容易受到竊聽、重發(fā)攻擊以及其他主動攻擊,且移動節(jié)點需要不斷更改通信地址,因此,其協(xié)議架構(gòu)的復(fù)雜性,使得移動IPv6的安全性問題凸顯。
IPv6的安全機制對網(wǎng)絡(luò)安全體系的挑戰(zhàn)隱患
第一,由網(wǎng)絡(luò)層的傳輸中采用加密方式帶來的隱患分析。1. 針對密碼的攻擊,對一些老版本的操作系統(tǒng),有的組件不是在驗證網(wǎng)絡(luò)傳輸標(biāo)識信息時進(jìn)行信息保護(hù),于是,竊聽者可以捕獲有效的用戶名及其密碼,掌握合法用戶權(quán)限,進(jìn)入機器內(nèi)部破壞。2. 針對密鑰的攻擊,IPv6下,IPSec的兩種工作模式都要交換密鑰,一旦攻擊者破解到正確的密鑰,就可以得到安全通信的訪問權(quán),監(jiān)聽發(fā)送者或接收者的傳輸數(shù)據(jù),甚至解密或竄改數(shù)據(jù)。3. 加密耗時過長引發(fā)的DoS攻擊,加密需要很大的計算量,如果黑客向目標(biāo)主機發(fā)送大規(guī)??此坪戏ㄊ聦嵣蠀s是任意填充的加密數(shù)據(jù)包,目標(biāo)主機將耗費大量CPU時間來檢測數(shù)據(jù)包而無法回應(yīng)其他用戶的通信請求,造成DoS。第二,對傳統(tǒng)防火墻的沖擊,現(xiàn)行的防火墻有三種基本類型,即包過濾型、代理服務(wù)器型和復(fù)合型。其中代理服務(wù)器型防火墻工作在應(yīng)用層,受IPv6的影響較小,另外兩種防火墻都將遭到巨大沖擊。第三,對傳統(tǒng)的入侵檢測系統(tǒng)的影響,入侵檢測(IDS)是防火墻后的第二道安全保障?;诰W(wǎng)絡(luò)IDS可以直接從網(wǎng)絡(luò)數(shù)據(jù)流中捕獲其所需要的審計數(shù)據(jù),從中檢索可疑行為。但是,IPv6數(shù)據(jù)已經(jīng)經(jīng)過加密,如果黑客利用加密后的數(shù)據(jù)包實施攻擊,基于網(wǎng)絡(luò)IDS就很難檢測到任何入侵行為。
IPv6編址機制的隱患
IPv6中流量竊聽將成為攻擊者安全分析的主要途徑,面對龐大的地址空間,漏洞掃描、惡意主機檢測等安全機制的部署難度將激增。IPv6引入了IPv4兼容地址、本地鏈路地址、全局聚合單播地址和隨機生成地址等全新的編址機制。其中,本地鏈路地址可自動根據(jù)網(wǎng)絡(luò)接口標(biāo)識符生成而無需DHCP自動配置協(xié)議等外部機制干預(yù),實現(xiàn)不可路由的本地鏈路級端對端通信,因此移動的惡意主機可以隨時連入本地鏈路,非法訪問甚至是攻擊相鄰的主機和網(wǎng)關(guān)。
本文從IPv4向IPv6過渡技術(shù),IPv6中組播技術(shù)缺陷,無狀態(tài)地址自動配置,鄰居發(fā)現(xiàn)協(xié)議,IPv6中PKI管理系統(tǒng),移動IPv6,IPv6的安全機制對網(wǎng)絡(luò)安全體系的挑戰(zhàn)以及IPv6編址機制等8個方面指出了IPv6網(wǎng)絡(luò)存在的安全隱患。說明IPv6網(wǎng)絡(luò)在安全方面還遠(yuǎn)沒有達(dá)到我們期望的高度。需要在IPv6網(wǎng)絡(luò)的推廣與應(yīng)用中不斷改進(jìn)與完善。
對于計算機網(wǎng)絡(luò)來說,安全永遠(yuǎn)只是相對的。新的技術(shù)只能暫時解決目前的安全問題,但新一輪的問題又會接踵而來。討論IPv6網(wǎng)絡(luò)安全隱患的目的在于我們要提前認(rèn)清IPv6存在的安全隱患,未雨綢繆,防患于未然。在IPv6網(wǎng)絡(luò)的應(yīng)用中不斷改進(jìn)、逐步提高,才能使人們最終擁有一個高效、安全的下一代互聯(lián)網(wǎng)。
電機保護(hù)器相關(guān)文章:電機保護(hù)器原理
評論