遇到傳統(tǒng)SLAAC地址的主動主機(jī)跟蹤的問題該怎么解決？

發(fā)布時(shí)間：2014-09-19 13:45:08 作者：佚名

這篇文章主要為大家介紹了如何對抗傳統(tǒng)SLAAC地址的主動主機(jī)跟蹤？以及對抗主動主機(jī)跟蹤的方法和工具，需要的朋友可以參考下

　　SLAAC是無狀態(tài)地址自動配置。為應(yīng)對傳統(tǒng)SLAAC地址的保密性問題，IETF提出了RFC 4941“IPv6自動配置無狀態(tài)地址的保密性擴(kuò)展”;它通常稱為“臨時(shí)地址”。RFC 4941標(biāo)準(zhǔn)化的方案主要通過以下方式實(shí)現(xiàn)：

　　1、臨時(shí)地址是使用隨機(jī)IID不斷重復(fù)生成的IPv6地址。

　　2、這些臨時(shí)地址包含傳統(tǒng)的SLAAC地址。也就是說，實(shí)現(xiàn)RFC 4941的節(jié)點(diǎn)不僅包含臨時(shí)地址，也包含傳統(tǒng)(固定的)SLAAC地址。

　　3、臨時(shí)地址將用于外出連接，而傳統(tǒng)的SLAAC地址用于進(jìn)入連接。也就是說，只有當(dāng)需要地址不會時(shí)，才能使用傳統(tǒng)的SLAAC地址。

　　但是，臨時(shí)地址也有許多缺點(diǎn)。它們也無法避免地址掃描攻擊，它們并不能完全對抗主機(jī)跟蹤，而且通常會增加網(wǎng)絡(luò)操作復(fù)雜性。而且，在使用傳統(tǒng)SLAAS地址的時(shí)候會同時(shí)使用臨時(shí)地址(而不是替換)，所以臨時(shí)地址幾乎無法抵抗地址掃描攻擊。

　　對于主機(jī)跟蹤，臨時(shí)地址不能徹底解決這些問題。例如，假設(shè)有一個(gè)攻擊者知道受攻擊節(jié)點(diǎn)的傳統(tǒng)SLAAC地址所使用IID，那么這個(gè)攻擊者也就知道了所攻擊節(jié)點(diǎn)可能連接的目標(biāo)網(wǎng)絡(luò)。在這種情況下，攻擊者就可以利用網(wǎng)絡(luò)前綴和所攻擊節(jié)點(diǎn)使用的不變IID，主動讓受攻擊的節(jié)點(diǎn)連接各個(gè)目標(biāo)網(wǎng)絡(luò)。

　　這里的關(guān)鍵概念是，只要IID在網(wǎng)絡(luò)保持不變，攻擊者就可能利用它發(fā)起主機(jī)跟蹤攻擊。啟用臨時(shí)地址只能對抗被動主機(jī)跟蹤攻擊(例如，通過連接攻擊者所操控服務(wù)器的受攻擊節(jié)點(diǎn)發(fā)起的攻擊)。然而，主動主機(jī)跟蹤攻擊(攻擊者向目標(biāo)發(fā)送偵測數(shù)據(jù)包)仍然無法避免。

　　對抗主動主機(jī)跟蹤

　　SI6 Networks的IPv6工具套件scan6工具是一個(gè)專門用于發(fā)起主動IPv6主機(jī)跟蹤的IPv6地址掃描工具。它提供了許多選項(xiàng)，可以指定攻擊節(jié)點(diǎn)可能連接的網(wǎng)絡(luò)和所使用的固定接口ID。

　　例如，假設(shè)有一個(gè)攻擊者知道一個(gè)傳統(tǒng)SLAAC地址為a00:27ff:fe89:7878的節(jié)點(diǎn)IID，那么這個(gè)節(jié)點(diǎn)可能只能連接網(wǎng)絡(luò)2001:db8:1::/64和2001:db8:2::/64。這時(shí)，攻擊者就可以用scan6執(zhí)行以下命令：

復(fù)制代碼

代碼如下:

　　# sudo scan6 -i eth0 -d 2001:db8:1::/64 -d 2001:db8:2::/64 -W a00:27ff:fe89:7878 -l -z 60 -t -v

　　這樣scan6就可以每隔60秒鐘攻擊IPv6地址2001:db8:1::a00:27ff:fe89:7878和 2001:db8:2::a00:27ff:fe89:7878。正如之前所提到的，即使目標(biāo)節(jié)點(diǎn)使用臨時(shí)地址，這種攻擊也可能生效，因?yàn)榕R時(shí)地址也包含傳統(tǒng)SLAAC地址。

　　scan6工具還可以從各個(gè)文件獲取目標(biāo)IID和目標(biāo)網(wǎng)絡(luò)前綴。例如，這個(gè)工具可以執(zhí)行以下命令：

復(fù)制代碼

代碼如下:

　　# sudo scan6 -i eth0 -m PREFIXES-TXT -w IIDS.TXT -l -z 60 -t -v

　　在這種情況中，scan6工具將從文件PREFIXES.TXT獲取目標(biāo)IPv6前綴，從文件IIDS.TXT獲取目標(biāo)節(jié)點(diǎn)的IID。

　　可能的解決方法

　　顯然，臨時(shí)地址可以對抗關(guān)聯(lián)一個(gè)網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)活動，因?yàn)樗鼈儠屵h(yuǎn)程攻擊者很難將許多通信實(shí)例關(guān)聯(lián)到同一個(gè)節(jié)點(diǎn)。

　　完全消除主機(jī)跟蹤攻擊則要求禁止節(jié)點(diǎn)使用在多個(gè)網(wǎng)絡(luò)中保持不變的IID。有一篇IETF提案“一種通過IPv6無狀態(tài)自動配置(SLAAC)生成固定加強(qiáng)保密地址的方法”專門處理這個(gè)問題。它包括：

　　1、產(chǎn)生的IPv6地址將在網(wǎng)絡(luò)中保持不變(例如，在連接同一個(gè)網(wǎng)絡(luò)時(shí)，主機(jī)總能獲得相同的地址)，所以網(wǎng)絡(luò)操作不會受到負(fù)面影響。

　　2、當(dāng)主機(jī)從一個(gè)網(wǎng)絡(luò)切換到另一個(gè)網(wǎng)絡(luò)時(shí)，它的IPv6地址會發(fā)生變化(從而對抗主機(jī)跟蹤攻擊)。

　　以上就是如果遇到傳統(tǒng)SLAAC地址的主動主機(jī)跟蹤可以利用scan6工具來解決，希望能幫到大家，謝謝閱讀。