IPv6的邻接点欺骗攻击

　　IPv6的邻居发现协议(ND)使ND协议集成了以前IPv4中一些协议的功能，如IPv4地址解释协议(ARP)、ICMP路由发现功能和ICMP重定向功能，并增加了一些新的功能，如网络前缀地址发现、链路参数发现和地址自动配置等。ND协议主要的安全威胁可以分为以下三种类型：拒绝服务攻击(DoS)、地址欺骗攻击和路由器欺骗攻击。ND协议安全威胁主要有：

　　1. 邻居请求和通告欺骗。攻击者可以通过发送包含虚假MAC地址的邻居请求(NS)报文或邻居通告(NA)报文更新被攻击者的邻居缓存，导致被攻击者将报文转发到虚假MAC地址。

　　2. 地址重复检测的拒绝服务攻击。攻击者通过发送虚假的NA消息，响应子网内所有的重复地址发现的NS请求报文，使被攻击节点无法获得地址，进而实现重复地址发现的拒绝服务攻击。

　　3. 邻居不可达发现欺骗。攻击者持续发送虚假的NA邻居通告报文来响应目标节点的邻居探测NS 报文。

　　4. 路由器通告欺骗。攻击者发送虚假的路由器通告报文响应目标节点的路由器请求报文，以欺骗目标节点选择虚假的路由器作为缺省路由器。

　　5. 虚假路由参数欺骗。攻击者通过发送包含恶意参数的虚假路由器报文来控制或破坏目标节点的通信。

　　6. 虚假的重定向消息。攻击者假冒链路上的路由器做源地址发送虚假的重定向消息给目标节点。

　　IPv6隧道的攻击

　　在IPv4和IPv6共存的过渡阶段，现提出了多种隧道机制，各种各样隧道机制的引入为网络环境增添了新的复杂性，同时也带来了一些新的安全隐患。对隧道机制的加入而产生安全的威胁主要有：

　　1.通过隧道避开安全检测。隧道机制的加入给很多已存在的安全措施带来了新的挑战，包括绕过访问控制列表以及基于网络的源路由控制等。

　　2.隧道机制新特性带来的新威胁。如Teredo隧道会在NAT设备上开放一个端口以方便远程访问隧道客户端，但也为攻击者提供了可以利用的入口;来自ISATAP网络外部的欺骗攻击，攻击者可将大量的协议类型为41的虚假数据包注入ISATAP网络;6to4机制本身设计成会接受和试图解封装所有的IPv4包，这会让欺骗攻击更容易发生。

　　3.隧道地址带来的新威胁。由于很多隧道机制使用一组固定范围的地址，例如6to4隧道有自己特殊的地址前缀，这使得猜测隧道地址变得相对容易。

　　4.针对隧道端点服务器的攻击。隧道端点的服务器是隧道机制中的重要安全环节，如果攻击者修改隧道服务器的配置或进行DOS 攻击，将带来一系列安全问题。

　　IPv4/v6双协议栈的安全威胁

　　双协议栈是一种重要IPv6过渡方法，许多操作系统缺省支持双协议栈，这也使得双协议栈主机不但同时面临IPv4和IPv6两个逻辑通道的安全威胁，也面临双协议的混合攻击。在没有部署IPv6的IPv4网络中，由于部分操作系统缺省启动了IPv6自动地址配置功能，使得IPv4子网内也存在隐蔽的IPv6链路，攻击者可以利用此IPv6链路在子网内实施各种攻击。

　　IPv6虽然增强了网络的安全特性，但由于实施复杂等原因，IPSec在当前的IPv6网络中并未得到广泛使用，IPv6的网络安全问题日益突出，本文针对IPv6的新特性，介绍了IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6 网络安全新威胁，以便人们在设计、部署和维护IPv6 网络中，运用正确的网络安全配置和策略，提高IPv6 网络的安全。

(责任编辑：)