购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.1 下一代互联网背景

1.1.1 下一代互联网的发展

目前,世界上著名的下一代互联网计划(组织)及其试验网主要包括:美国的Internet2计划的主干网Abilene、第二代欧盟学术网的主干网GEANT2、亚太地区先进网络APAN及其主干网、跨欧亚高速网络TEIN2及其主干网、中国的CNGI及其主干网、日本的第二代学术网SUPERSINET和加拿大新一代学术网CA×net4等。

下一代互联网的主要特征有如下几点。

(1)更大。采用IPv6协议,使下一代互联网具有非常巨大的地址空间,网络规模将更大,接入网络的终端种类和数量更多,网络应用更广泛。

(2)更快。100MB/s以上的端到端高性能通信。

(3)更安全。可进行网络对象识别、身份认证和访问授权,具有数据加密和完整性,实现一个可信任的网络。

(4)更及时。提供组播服务,进行服务质量控制,可开发大规模实时交互应用。

(5)更方便。无处不在的移动和无线通信应用。

(6)更可管理。有序的管理、有效的运营、及时的维护。

(7)更有效。有赢利模式,可创造重大社会效益和经济效益。

在世界范围内,由IPv4向IPv6的协议转型已经启动,下一代互联网IPv6具有比IPv4大得多的地址空间,IPv6采用128位地址长度,几乎可以不受限制地提供地址,可以形象地说,地球上的每一粒沙子都能获得一个IPv6地址。在IPv6的设计过程中,除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其他问题。IPv6的主要优势体现在以下几方面:扩大了地址空间,提高了网络的整体吞吐量,改善了服务质量(QoS),安全性有了更好的保证,支持即插即用,能更好地实现多播功能。

目前IPv4地址逐步用完,如欧洲的IPv4地址在2012年已经用完,美国也在2015年3月20日耗尽IPv4地址。亚太地区首先于2011年用完IPv4地址,我国在2011年至今IPv4地址总数基本维持不变,目前约有3.3亿个。

而将来选用新协议IPv6是必然趋势,目前已经有相当数量的互联网用户和其使用的网络已经换成IPv6。互联网协会称:“IPv6部署的步伐正在迅速加快!谷歌测得的IPv6数字于2014年2月10日超过3%的里程碑,而仅在不足五个月超过2%的里程碑。在这以前,从1%到2%花掉11个月。”但截止到2014年7月,我国IPv6的地址数仅为约1.7万个,仅比2013年年底增长0.1%。

互联网进入IPv4和IPv6共存的阶段,而IPv6的部署规模将更大。虽然IPv6并不等同于下一代互联网,但下一代互联网必然选择 IPv6。国际互联网普遍认同的是,互联网的核心问题是目前的IP地址、前缀、路由的增长态势在很长一段时期内不会改变,而且用IPv6取代IPv4是维持当前增长趋势或创造一种全新的可持续增长方式的唯一途径。

早在2003年12月,我国便启动了中国下一代互联网示范工程CNGI的建设。在 CNGI示范网的试验过程中,从关键设备 IPv6路由器到相关软件及应用,初步形成了仅次于美国的下一代互联网产业群,彻底改变了第一代互联网时期受制于人的被动局面。目前,我国三大电信运营商已经迈出了商用化的实质性步伐。中国电信率先启动向下一代互联网过渡的试点工作,在湖南长沙、江苏无锡、四川成都、广东广州、浙江杭州和山东济南等六个城市提供IPv6试商用工作。中国移动、中国联通也紧随其后,百度、新浪、腾讯等大型网站宣布将支持IPv6。除此之外,IPv6过渡还涉及IT支撑系统、终端等各个环节。

目前,中国下一代互联网示范工程中的相关国产设备及产品占50%以上,部分甚至达到80%。因此,IPv6在提高中国在全球下一代互联网产业中的战略地位和高端装备出口的竞争力方面,是一次难得的战略发展机遇。中国下一代互联网研究与产业化获得重大突破:现已建成包括6个核心网络、22个城市59个节点及北京和上海两个国际交换中心的网络,以及含273个驻地网的IPv6示范网络。2013年12月25日,国家发展和改革委员会等四部委公布下一代互联网示范城市建设名单,16个下一代互联网示范城市(群)将把IPv6下一代互联网作为基础设施,全面快速推进,中国下一代互联网建设将进入快车道。

中国下一代互联网示范工程中已经开展了大规模的基于下一代互联网的应用研究,如视频监控、环境监测等,并服务于北京奥运会,开通了基于IPv6的奥运官方网站。依托6大核心网,先后布置了与产业化相关的项目103项,参与企业多达数十家。取得了一系列具有自主知识产权的技术成果,共申请国内专利800多项、国外专利几十项;形成了国家标准4项,提交国标草案10多项,中国通信标准化协会等行业标准10多项。中国下一代互联网示范工程核心网已经完成建设任务,该核心网由6个主干网、两个国际交换中心及相应的传输链路组成,6个主干网由在北京和上海的国际交换中心实现互联。目前CERNET2、中国电信、中国网通/中科院、中国移动、中国联通和中国铁通这6个主干网含国际交换中心已全部完成验收。向互联网标准组织IETF申请互联网标准草案9项,已获批准2项,这也是中国第一次进入互联网核心标准领域。这一项目得到八个部委的联合支持,由五大全国性电信运营商和教育科研网、100多所高校和研究单位、几十个设备制造商承担,上万人参与,产学研用合作,在中国通信网络科技工程建设史上是第一次,对中国下一代互联网技术和产业的发展具有深刻影响。由中国下一代互联网示范工程(CNGI)项目是由国家发展和改革委员会主导,由中国工程院、科技部、教育部、中科院等八部委联合于2003年酝酿并启动的。下一轮的互联网竞争对中国来讲是一个绝好的发展机会。在下一代互联网建设中,中国应利用自己的优势,把技术开发放在第一位,并尽快实现相关产品的产业化。

随着全球技术变革的不断加快、经济和社会的不断发展,互联网发展及其应用水平不断提高,应用领域不断拓展。随着互联网IP地址的枯竭,以及对互联网安全性和管理、维护、运营的更高要求,下一代互联网建设逐步受到重视。20世纪末以来,欧美日韩等发达国家相继启动了下一代互联网研究和试验计划,力求在新一轮产业技术和国家经济竞争中占据主动,美国、欧洲、日本等发达国家和地区在审视技术路线和发展趋势后,又制定了下一代互联网发展计划。欧盟已经明确要求在2010年前推动25%的个人及机构试用,美国也在今年突然加快了IPv6的部署与实施,所申请的IPv6地址从世界排名11位突然上升到第一位,中国仅处于第16位。中国在下一代互联网研究与建设上取得了一定的成果,但面临的形势依然严峻。下一代互联网的研究开发特别是产业化是一个长期过程,国际竞争日趋激烈,各方面应高度重视,并予以积极支持。在成果面前,仍需要保持清醒的头脑,增强工作紧迫感,保证中国在下一代互联网产业发展及科研上的领先优势,继续抢占国际下一代互联网竞争的战略制高点。

综上所述,互联网是人类社会重要的信息基础设施,对经济社会发展和国家安全具有战略意义,与构建和谐社会、建设创新型国家和走新型工业化道路等重大战略的实施紧密相关,需要从战略高度加以重视,中国在下一代互联网关键技术及产业上的突破,必将对中国的经济和产业转型产生重要而深远的意义,为后续发展提供重要的推动力。为抓住机遇,推进中国信息产业发展和信息化建设,促进产业发展,必须加速发展中国的下一代互联网产业。

1.1.2 下一代互联网中的IPv6技术

1.IPv6的技术特点

针对目前互联网协议IPv4的不足,IETF提出了下一代互联网协议IPv6,因而其主要技术特点也是针对IPv4而言的。IPv6的128位地址结构提供了充足的地址空间。近乎无限的IP地址空间是部署IPv6网络最大的优势。IPv6层次化的网络结构提高了路由效率。IPv6地址长度为128位,可提供远大于IPv4的地址空间和网络前缀,因此可以方便地进行网络的层次化部署。IPv6报文头简洁、灵活,效率更高,易于扩展,IPv6和IPv4相比,去除了IHL、identifiers、Flags、Fragment Offset、Header Checksum、Options、Paddiing域,只增加了流标签域,因此IPv6报文头的处理较IPv4大大简化,提高了处理效率。另外,IPv6为了更好地支持各种选项处理,提出了扩展头的概念,新增选项时不必修改现有结构就能做到,理论上可以无限扩展,体现了优异的灵活性。

(1)扩展地址,地址空间增大,IP 地址由32位增加到128位,地址结构更加层次化,地址空间增加到能支持3.4×1038台主机。

(2)简化头格式,IP包头格式简化,IPv4中的校验和、IHL(Internet Header Length)、鉴定标识、分段偏移等字段在新IPv6中不再保留。IPv6仅包含7个字段,简化了数据报文头部,减少了路由表长度,同时,减少了路由器处理报头的时间,减少了报文通过网络的延迟。

(3)支持扩展和选项的改进,对选项的更好支持,以前必需的字段现在只是选项,更加灵活,便于分组处理。

(4)增加了流标识,可以标记数据所属的流类型以便路由器进行相应的处理,提供特定的QoS(Quality of Service)。

(5)源端分割,只在发送者端分段,路由器不再执行分段功能,发送者应该检查所建立路径所需的最小MTU(Maximum Transmission Unit)。

(6)路由选择:IPv6路由与物理接口而不是接口关联(绑定)。IPv6与IPv4的源地址选择功能不同。允许重复路由以提高稳健性,但在路由查找时将忽略重复路由。

(7)不需要SUM区域检查(Header Checksum):在路由器中检查SUM区域的协议数据包被移除,数据包在网络传输前已通过检查。另外,高层协议如TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)也允许自我确认,在大多数情况下移除SUM区域检查不会产生严重的问题。

(8)最大传输单元MTU:IPv6的MTU结构化下限为1280B。也就是,IPv6将不会在低于此极限时对信息包分段。要通过小于1280MTU的链路发送IPv6,链路层必须明确地对IPv6信息包进行分段和合并。

(9)可扩展协议:不像IPv4,IPv6不再定义未来的所有可能协议,允许发送人添加数据包信息,这样就使IPv6比IPv4有更广泛的灵活性,以后可以设计新需求。

(10)安全性:身份验证和加密功能,在 IPv6中,为支持认证,进行数据完整性及数据保密的扩展。

2.IPv6的优势

以IPv6协议为核心技术的下一代互联网将具备网络传输速度更快、网络规模更大、网络更加安全、网络应用更加广泛等特征,这同时也是IPv6固有的优势。

1)网络更加安全

IPv6网络上防病毒、防攻击、防入侵等网络安全技术是必不可少的内容。从技术上说,下一代互联网可在网络对象接入时对其进行识别并且访问授权,这种数据加密的做法增强了网络对象身份认同的机制,也提高了数据完整性。从网络体系结构上来说,IPv6技术能保证网络上信息的真实性和可追溯性,使网络服务更加安全可靠且具有信服力。

在下一代互联网的应用中,IPv6的安全问题有别于现有的安全需求,原来的Internet安全机制只建立于应用程序级,如E-mail加密、SNMPv2网络管理安全、接入安全(HTTP、SSL)等,无法在IP层保证Internet 的安全。IP级的安全保证分组的鉴权和私密特性主要由IP的AH和ESP标记来实现。IPv6实现了IP级的安全,具体有如下内容。

(1)安全协议套:安全协议套是发送者和接收者的双向约定,安全协议套只由目标地址和安全参数索引(SPI)确定。

(2)包头认证:包头认证提供了数据完整性和分组的鉴权。

(3)安全包头封装:ESP根据用户的不同需求支持IP分组的私密和数据完整性。它既可用于传送层(如TCP、UDP、ICMP)的加密,称传送层模式ESP;又可用于整个分组的加密,称隧道模式ESP。

(4)ESPDES-CBC方式:ESP处理一般必须执行DES-CBC加密算法,数据分为以64 位为单位的块进行处理,解密逻辑的输入是现行数据和先前加密数据块的与或。

(5)鉴权加私密方式:根据不同的业务模式,两种IP 安全机制可以按一定的顺序结合,从而达到分组传送加密的目的。按顺序的不同,该方式有鉴权之前加密和加密之前鉴权两种。

2)网络管理更加有效

IPv6可发挥管理有序、运营有效和维护及时等作用。但是目前下一代互联网管理系统处于缓慢发展阶段,面向IPv6的网管技术也处于起步阶段,产品化方面很不成熟,所以需要克服原有IPv4网络管理的弊端,在此基础上完善基于IPv6的下一代互联网网络管理系统。

3)无线和移动技术更便捷

互联网是人们获得信息的十分重要的手段之一,为实现信息社会中人们在任意场所不断获取海量信息的需求,下一代互联网必须全力支持无线接入及移动漫游的功能。随着智能手机的普及,移动互联网越来越与人们的生活息息相关,移动客户端的使用者无时无刻、随时随地都进行着移动网络接入活动,因此,大力建设、快速提高无线移动通信技术,实现无线通信应用迫在眉睫。

4)技术应用性更好

与IPv4相比,IPv6具有如下一些技术特性的优势。

(1)IPv6具有更大的地址空间。现在,IPv4采用32位地址长度,约有43亿个地址,而IPv6采用128位地址长度,可以有无限多的地址,有足够的地址资源。地址的丰富程度将完全解决在 IPv4互联网应用上的很多限制。例如 IP地址,每一个电话、每一个带电的东西,都可以有一个IP地址,真正形成一个数字家庭。IPv6的技术优势目前在一定程度上解决了IPv4互联网存在的问题,这是IPv4向IPv6演进的重要动力之一。

(2)IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)来表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。

(3)IPv6增加了增强的组播(Multicast)支持及对流的控制(Flow Control),这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台。IPv6的包头结构中新增了优先级字段和流标签字段,IPv6包头的新字段定义了数据流如何识别和处理。IPv6包头中的流标识(Flow Label)字段用于识别数据流身份,利用该字段,IPv6允许终端用户对通信质量提出要求。路由器可以根据该字段标识出同属于某一特定数据流的所有包,并按需对这些包提供特定的处理。由于数据流身份信息包含在 IPv6包头中,因此即使是经过IPsec加密的数据包,也可以获得QoS支持。

(4)IPv6加入了对自动配置(Auto Configuration)的支持。IPv6协议支持无状态自动配置方式,它是指计算机接入Internet时可自动获取IP地址的地址自动配置功能。在 IPv6中,任何一个与用户主机直连的 IPv6路由器在不需要DHCP 服务器的条件下都可为主机自动配置地址及相关参数,用户只要将设备接入互联网即可方便地使用IPv6网络,实现了“即插即用”。这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。

(5)IPv6具有更高的安全性。在使用IPv6的网络中,用户可以对网络层的数据进行加密并对IP报文进行校验,IPv6中的加密与鉴别选项提供了分组的保密性与完整性。极大地增强了网络的安全性。IPv6的安全机制是基于 IPSec 协议实现的,在IPv4中,IPSec为可选项,而在IPv6中是内置的,成为必选项。IPSec提供了两种安全机制:数据完整性、数据机密性,分别通过数据认证与数据加密来实现,数据认证保证传输的完整性,防范数据在传输过程中被非法改动,数据加密保证数据传输的安全,防范数据被非法截获后的信息外泄,从而有效地保证了端到端数据传输的安全性。

(6)允许扩充。如果新的技术或应用需要,IPv6允许对协议进行扩充。

(7)更好的头部格式。IPv6使用新的头部格式,其选项与基本头部分开,如果需要,可将选项插入到基本头部与上层数据之间。这就简化和加速了路由选择过程,因为大多数选项不需要由路由选择。

(8)新的选项。IPv6有一些新的选项来实现附加功能。

3.IPv4到IPv6的过渡

采用长度为128位IP地址的IPv6协议彻底解决了IPv4地址不足的难题,并在地址容量、安全性、网络管理、移动性及服务质量等方面有明显的改进,是下一代互联网络协议采用的核心标准之一。IPv6与IPv4不兼容,但它同所有其他的TCP/IP协议族中的协议兼容,即IPv6完全可以取代IPv4。在IPv6成为主流协议之前,首先使用 IPv6协议栈的网络希望能与当前仍被 IPv4支撑着的Internet进行正常通信,因此必须开发出IPv4/6互通技术以保证IPv4能够平稳过渡到IPv6。此外,互通技术应该对信息传递做到高效无缝。国际上IETF组建了专门的NGTRANS工作组,开展对于IPv4/6过渡问题和高效无缝互通问题的研究。目前已经出现了多种过渡技术和互通方案,这些技术各有特点,用于解决不同过渡时期、不同环境下的通信问题,有些已经相当成熟并形成了 RFC,有些还有待完善。

IPv4向IPv6过渡的阶段所采用的过渡技术主要包括:双栈(DualStack)技术、隧道封装(Tunneling)技术和协议转换技术(PT)。

1)IPv6/IPv4双栈技术(DualStack)

双栈节点与IPv4节点通信时使用IPv4协议栈,与IPv6节点通信时使用IPv6协议栈。

双栈技术是 IPv4向 IPv6过渡的一种有效的技术。网络中的节点同时支持IPv4和IPv6协议栈,源节点根据目的节点的不同选用不同的协议栈,而网络设备根据报文的协议类型不同选择不同的协议栈进行处理和转发。

双栈可以在一个单一的设备上实现,也可以是一个双栈骨干网。对于双栈骨干网,其中的所有设备必须同时支持IPv4/IPv6协议栈,连接双栈网络的接口必须同时配置IPv4地址和IPv6地址。

双栈过渡技术示意图如图1-1所示。

图1-1 双栈过渡技术示意图

双栈节点具有三种工作模式:

(1)只运行IPv6协议,表现为IPv6节点;

(2)只运行IPv4协议,表现为IPv4节点;

(3)双栈模式,同时打开IPv6和IPv4协议。

双栈技术是IPv4向IPv6过渡的基础,所有其他过渡技术都以此为基础。

2)隧道封装技术

隧道封装技术(Tunneling)提供了两个 IPv6站点之间通过 IPv4网络实现通信连接,以及两个IPv4站点之间通过IPv6网络实现通信连接的技术。

隧道(Tunnel)是指一种协议封装到另一种协议中的技术。隧道技术只要求隧道两端(也就是两种协议边界的相交点)的设备支持两种协议。IPv6穿越IPv4隧道技术利用现有的IPv4网络为互相独立的IPv6网络提供连通性,IPv6报文被封装在IPv4报文中穿越IPv4网络,实现IPv6报文的透明传输。

这种技术的优点是,不用把所有的设备都升级为双栈,只要求IPv4/IPv6网络的边缘设备实现双栈和隧道功能。除边缘节点外,其他节点不需要支持双协议栈,可以大大利用现有的IPv4网络资源。但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。

IPv6网络边缘设备收到IPv6网络的IPv6报文后,将IPv6报文封装在IPv4报文中,成为一个IPv4报文,在IPv4网络中传输到目的IPv6网络的边缘设备后,解封装去掉外部IPv4头,恢复原来的IPv6报文,进行IPv6转发。

IPv6穿越IPv4隧道封装示意图如图1-2所示。

用于IPv6穿越IPv4网络的隧道技术主要有:

(1)IPv6手工配置隧道;

(2)6to4自动隧道;

图1-2 IPv6穿越IPv4隧道封装示意图

(3)ISATAP自动隧道;

(4)IPv6 over IPv4 GRE隧道;

(5)6PE隧道。

3)IPv4/IPv6协议转换技术(PT)

IPv4/IPv6协议转换技术提供了IPv4网络与IPv6网络之间的互访技术。IPv6穿越IPv4技术是为了实现IPv6节点之间的互通,而IPv6/IPv4互通技术是为了实现不同协议之间的互通,也就是使IPv6主机可以访问IPv4主机,IPv4主机可以访问IPv6主机。相关的技术有以下几种。

(1)SIIT(Stateless IP/ICMP Translation)。

SIIT(Stateless IP/ICMP Translation),无状态IP/ICMP翻译技术用于对IP和 ICMP 报文进行协议转换,这种转换不记录流的状态,只根据单个报文将一个IPv6报文头转换为IPv4报文头,或将IPv4报文头转换为IPv6报文头。SIIT不需要IPv6主机获取一个IPv4地址,但对于SIIT设备来说,每一个IPv6主机都有一个虚拟的临时IPv4地址。

在SIIT中有以下几种地址类型。

IPv4-mapped:地址的形式为“0::FFFF:a.b.c.d”,表示不支持 IPv6的节点,这种地址是IPv4节点在IPv6侧的映射地址。

IPv4-translated:地址的形式为“0::FFFF:0:a.b.c.d”,表示一个支持 IPv6的节点。该地址在发送到IPv4侧时需要翻译为IPv4地址。

SIIT技术使用特定的地址空间来完成IPv4地址与IPv6地址的转换。因为SIIT无法进行地址复用,所以地址池的空间限制了IPv6节点的数量。在通信过程中,当SIIT中IPv4地址池中的地址分配完时,如果有新的IPv6节点需要同IPv4节点通信,就会因为没有剩余的IPv4地址空间而导致SIIT无法进行协议转换,造成通信失败。所以SIIT技术所能应用的网络规模不能很大。另外,由于无状态,所以不能很好地支持应用层数据中内嵌地址的应用。

(2)NAT-PT。

NAT-PT(Network Address Translation-Protocol Translation),允许只支持IPv6协议的主机与只支持IPv4协议的主机进行互连,一个位于IPv4和IPv6网络边界的设备负责在IPv4报文与IPv6报文之间进行翻译转换。NAT-PT把SIIT协议转换技术和IPv4网络中动态地址转换技术(NAT)结合在一起,它利用了SIIT技术的工作机制,同时又利用了传统的IPv4下的NAT技术来动态地给访问IPv4节点的IPv6节点分配IPv4地址,很好地解决了SIIT技术中全局IPv4地址池规模有限的问题。同时,通过传输层端口转换技术使多个IPv6主机共用一个IPv4地址。

如图1-3所示,NAT-PT设备上需要设置IPv4主机的转换规则、IPv6主机的转换规则、IPv6主机使用的IPv4地址。报文经过NAT-PT设备时,根据NAT-PT的转换规则对报文进行协议转换。转换规则分为如下几种。

① IPv4主机的静态规则:一个IPv4主机对应一个虚拟的IPv6地址。

② IPv4主机的动态规则:一组IPv4主机的地址如何映射成IPv6地址。通常是指定一个96位的前缀添加在原IPv4地址前面,组成一个IPv6地址。

③ IPv6主机的静态转换规则:一个IPv6主机对应一个虚拟IPv4地址。

④ IPv6主机的动态转换规则:一组IPv6主机与IPv4地址的对应关系,IPv4地址是多个IPv6主机共享的资源。

图1-3 IPv6穿越IPV4隧道封装示意图

1.1.3 下一代互联网面临的安全问题

现实中,Internet 上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危,每天上网时打开实时防病毒程序还不够,还要继续使用个人防火墙,并打开实时防木马程序。诸多人把这些都归咎于IPv4网络。在IPv6网络中,它设计的时候充分研究了以前IPv4的各种问题,在安全性上得到了大大的提高。但是不是IPv6就没有安全问题了?答案是否定的。

病毒和互联网蠕虫是最让人头疼的网络攻击行为,但这种传播方式在 IPv6网络中不再适用了,因为IPv6的地址空间实在是太大了,如果这些病毒或蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机,就犹如大海捞针。在IPv6的世界中,对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。所以,在IPv6的世界里,病毒、互联网蠕虫的传播将变得非常困难。

但是,基于应用层的病毒和互联网蠕虫是一定会存在的,电子邮件的病毒还是会继续传播。此外,还需要注意IPv6网络中的关键主机的安全。IPv6中的组发地址定义方式给攻击者带来了一些机会。例如,IPv6地址FF05::3是所有的DHCP服务器,就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的DHCP服务器,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。

IPv6解决了当前IPv4的大部分安全性问题,在安全性方面增加了很多特性,保证了数据通信的安全,提高了安全性。但随着网络技术的不断发展,网络攻击者的技术手段也在不断进步和多样化,IPv4向IPv6过渡过程中也产生了新的安全性问题,新的报头也面临着各种各样的安全性挑战。

1)IPv6邻居发现协议的问题

IPv6具有即插即用的特性,而该特征就是通过邻居发现协议(NDP,Neighbor Discovery Protocol)来实现的。NDP消息通常应该在链路本地的范围内收发,因此,封装NDP消息的数据包也始终使用IPv6链路本地地址,或者链路本地范围内的多播地址。在NDP的相关定义中,没有定义安全机制来保证链路上节点的可信度,无法识别节点的仿冒行为,容易受到黑客攻击,造成拒绝服务。在这种协议下,链路上的任何节点都可能伪造路由器通告报文(Router Advertisement)进行欺骗,造成报文被错误地发送到伪造路由器上,从而方便黑客修改、丢弃或重放报文,造成安全威胁。

2)邻居发现地址欺骗

攻击者伪造网关的IPv6地址,发送携带虚假的源MAC地址和网关IPv6地址的邻居通告消息NA,使接收者更新邻居表,存储错误MAC地址,导致发送给网关的合法报文无法到达。邻居缓存正确的MAC地址被新的MAC地址所覆盖,如果这个新的链接路层地址是无效的,则对被攻击者进行拒绝服务攻击。但是这种攻击只能持续有限的时间,因为在一段时间后邻居不可达检测机制将丢弃坏的链接层地址,重新组播去发现其链路层地址。不过,攻击者可以在这段时间内继续使用伪造的MAC地址保持响应请求。

在这个过程中,攻击者伪造邻居通告消息NA,将自己伪造成网关,根据邻居通告数据包结构,将target字段设置成网关IPv6地址,将数据链路层地址设置为虚假MAC地址;将源MAC地址设置成虚假MAC地址;将源IPv6地址设置成网关IPv6地址。因为攻击者不知道本地终端的IPv6地址,所以目的MAC和目的IP都设置为组播地址,目的MAC地址为33:33:00:00:00:01,目的IPv6地址设置成FF01::1;R位设置为1,声明自己为网关,O位设置为1,声明此邻居通告可以改写邻居表中对应的条目。构造完成后,攻击者频繁地发送伪造的邻居通告消息NA,终端收到后将会查找本地的邻居表,找到网关所对应的条目,更新其IPv6地址对应的MAC地址,此时终端用户将会把去网关的数据包错误地转发至攻击者。伪造NA实现地址欺骗示意图如图1-4所示。

图1-4 伪造NA实现地址欺骗

(1)终端A发送伪造的邻居通告消息 NA,交换机收到此消息后读取源MAC地址,并将此伪造的MAC与F0/1接口绑定,并添加进本地MAC地址表,因为目的地址为组播地址,交换机向除了源端口之外的所有端口转发该伪造邻居通告消息。

(2)终端B及其他所有终端都会收到此伪造的邻居通告消息,并根据消息内容更新自己的邻居表,将网关的IPv6地址与伪造的MAC地址进行对应。

(3)此时对于终端B与网关通行的数据,目的MAC地址通过查询邻居表,设置成为伪造的MAC地址,并将数据发送。

(4)当交换机收到数据后,根据目的MAC地址查询MAC地址表,发现此MAC地址对应的接口为F0/1,将数据转发到F0/1接口。

(5)终端A收到此数据后,发现目的MAC地址并不是自身网卡中的MAC地址,则丢弃该数据。攻击者通过不断地发送伪造的邻居通告消息NA,造成了中断用户邻居表被恶意篡改,破坏了本地网络内所有终端与网关的通信,影响了网络的正常使用。

攻击者同样可以使用伪造的邻居请求消息NS进行此种类型的攻击,因为终端会根据邻居请求中的IPv6地址及其中的MAC来更新本地邻居表中的缓存,所以攻击者也可以通过伪造邻居请求消息实现这种攻击。

3)IPv6网络的非法访问

ACL(访问控制列表)用于在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等信息,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。包括标准 ACL、扩展 ACL 等类型。在IPv6网络中,也要通过配置ACL策略对接入层进行控制。在IPv6中,由于对私有地址进行了扩展,使得配置ACL更加困难,因此也会带来一些安全问题。

4)IP数据包分片攻击

在IPv6进行交换通信时,如果主机所发送的数据包长度超过最大传输单元MTU(Maximum Transmission Unit),此时,IPv6主机取用分片操作措施,对数据包进行分片处理。这种方式提供了合理的控制机制,但也带来了安全性问题,如黑客把攻击包拆分成若干片,数据传输到网关时对网络进行攻击,造成网关处理耗时,浪费资源。

5)IPv6路由协议认证安全问题

在目前的IPv4网络通信中,由于IPv4协议本身没有相关的加密认证措施,所以路由信息协议(RIP)、开放式最短路径优先(OSPF)协议、边界网关协议(BGP)、链接状态路由协议(ISIS)等都有自己的认证方式,进行合法性识别。RIP和OSPF协议都在路由协议包中定义了认证字段。在IPv6网络的R/Png、OSPFv3协议中,通过IPv6的认证来实现路由协议的认证。这也是IETF(Internet工程任务组,Internet Engineering Task Force)的规定。但BGP仍然采用TCP层的加密认证机制,ISIS 协议也在原有的路由认证方式下工作。另外,路由设备制造厂在生产设备时,是否能实现基于IPSec的IPv6路由协议进行通信还有待验证。

6)IPv6的组地址发现安全问题

在IPv6网络中,恶意代码、网络蠕虫的传播将变得非常困难,但也不可杜绝基于应用层的恶意代码,电子邮件等病毒还会继续传播。IPv6网络地址长,不便记忆,管理人员可以通过对关键设备配置特殊的地址进行管理。这种方式给管理带来了方便,但也给恶意代码扫描和探测带来了便利;IPv6中引入的组播和任播地址(如所有节点地址用“ff01∷1”和“ff02∷1”、所有路由器地址用“ff01∷2、ff02∷2、ff05∷2”)作为网络中的关键设备,给黑客攻击提供了关键攻击目标。由于IPv6中的组发地址定义方式的局限性,给黑客带来了攻击机会。例如IPv6地址包括所有DHCP服务器,如果黑客利用这种机制向这个地址发布IPv6报文,则这个报文就会通过网络顺利到达网络中各个DHCP服务器,造成拒绝服务等网络攻击。

7)IPv6的ICMPv6攻击

ICMPv6是Internet Control Message Protocol Version 6的简称,译为第六版互联网控制信息协议,是 IPv6协议族的一个组成部分。通过 IP 包传送的 ICMP 信息主要用于涉及网络操作或错误操作的不可达信息。ICM Pv6报文有可能被用来发起各种攻击。地址容易被仿冒,欺骗目的节点,造成目的节点更新网络状态信息等错误。

8)无状态地址自动配置问题

IPv6协议的一个突出特点是支持网络节点的地址自动配置,这极大地简化了网络管理者的工作,但也带来了一些网络安全问题。这种机制方便了非授权用户接入网络,造成使用威胁。另外,在IPv6协议中,在使用无状态地址配置的过程中,重复地址检测也会带来拒绝服务攻击的可能性,任何节点在邻居多方请求临时地址时进行正确应答,此时,其他节点就认为是重复地址,从而拒绝网络服务。

在IPv4环境下,安全隔离与信息交换系统采用协议剥离/重组技术、应用代理、接入认证、地址映射等技术有效地解决了IP协议引起的地址欺骗、碎片攻击、违规网络访问、ICMP泛洪攻击、路由等安全性问题,而IPv4向IPv6过渡过程中产生的上述协议安全问题同样可以采用上述技术加以解决,因此,迫切需要支持IPv6协议的安全隔离与信息交换系统对IPv6网络进行安全防护。 51hEkx4LFK4MN5tthC9Xe0X750mGnxh/yMnU3WmCf1YcJqgOJeEYqQTARwnMPlWE

点击中间区域
呼出菜单
上一章
目录
下一章
×