SLAAC是無狀態(tài)地址自動配置。為應對傳統(tǒng)SLAAC地址的保密性問題，IETF提出了RFC 4941“IPv6自動配置無狀態(tài)地址的保密性擴展”;它通常稱為“臨時地址”。RFC 4941標準化的方案主要通過以下方式實現(xiàn)：

　　1、臨時地址是使用隨機IID不斷重復生成的IPv6地址。

　　2、這些臨時地址包含傳統(tǒng)的SLAAC地址。也就是說，實現(xiàn)RFC 4941的節(jié)點不僅包含臨時地址，也包含傳統(tǒng)(固定的)SLAAC地址。

　　3、臨時地址將用于外出連接，而傳統(tǒng)的SLAAC地址用于進入連接。也就是說，只有當需要地址不會時，才能使用傳統(tǒng)的SLAAC地址。

　　但是，臨時地址也有許多缺點。它們也無法避免地址掃描攻擊，它們并不能完全對抗主機跟蹤，而且通常會增加網(wǎng)絡操作復雜性。而且，在使用傳統(tǒng)SLAAS地址的時候會同時使用臨時地址(而不是替換)，所以臨時地址幾乎無法抵抗地址掃描攻擊。

　　對于主機跟蹤，臨時地址不能徹底解決這些問題。例如，假設有一個攻擊者知道受攻擊節(jié)點的傳統(tǒng)SLAAC地址所使用IID，那么這個攻擊者也就知道了所攻擊節(jié)點可能連接的目標網(wǎng)絡。在這種情況下，攻擊者就可以利用網(wǎng)絡前綴和所攻擊節(jié)點使用的不變IID，主動讓受攻擊的節(jié)點連接各個目標網(wǎng)絡。

　　這里的關鍵概念是，只要IID在網(wǎng)絡保持不變，攻擊者就可能利用它發(fā)起主機跟蹤攻擊。啟用臨時地址只能對抗被動主機跟蹤攻擊(例如，通過連接攻擊者所操控服務器的受攻擊節(jié)點發(fā)起的攻擊)。然而，主動主機跟蹤攻擊(攻擊者向目標發(fā)送偵測數(shù)據(jù)包)仍然無法避免。

　　對抗主動主機跟蹤

　　SI6 Networks的IPv6工具套件scan6工具是一個專門用于發(fā)起主動IPv6主機跟蹤的IPv6地址掃描工具。它提供了許多選項，可以指定攻擊節(jié)點可能連接的網(wǎng)絡和所使用的固定接口ID。

　　例如，假設有一個攻擊者知道一個傳統(tǒng)SLAAC地址為a00:27ff:fe89:7878的節(jié)點IID，那么這個節(jié)點可能只能連接網(wǎng)絡2001:db8:1::/64和2001:db8:2::/64。這時，攻擊者就可以用scan6執(zhí)行以下命令：

　　這樣scan6就可以每隔60秒鐘攻擊IPv6地址2001:db8:1::a00:27ff:fe89:7878和 2001:db8:2::a00:27ff:fe89:7878。正如之前所提到的，即使目標節(jié)點使用臨時地址，這種攻擊也可能生效，因為臨時地址也包含傳統(tǒng)SLAAC地址。

　　scan6工具還可以從各個文件獲取目標IID和目標網(wǎng)絡前綴。例如，這個工具可以執(zhí)行以下命令：

　　在這種情況中，scan6工具將從文件PREFIXES.TXT獲取目標IPv6前綴，從文件IIDS.TXT獲取目標節(jié)點的IID。

　　可能的解決方法

　　顯然，臨時地址可以對抗關聯(lián)一個網(wǎng)絡內(nèi)部節(jié)點活動，因為它們會讓遠程攻擊者很難將許多通信實例關聯(lián)到同一個節(jié)點。

　　完全消除主機跟蹤攻擊則要求禁止節(jié)點使用在多個網(wǎng)絡中保持不變的IID。有一篇IETF提案“一種通過IPv6無狀態(tài)自動配置(SLAAC)生成固定加強保密地址的方法”專門處理這個問題。它包括：

　　1、產(chǎn)生的IPv6地址將在網(wǎng)絡中保持不變(例如，在連接同一個網(wǎng)絡時，主機總能獲得相同的地址)，所以網(wǎng)絡操作不會受到負面影響。

　　2、當主機從一個網(wǎng)絡切換到另一個網(wǎng)絡時，它的IPv6地址會發(fā)生變化(從而對抗主機跟蹤攻擊)。

　　以上就是如果遇到傳統(tǒng)SLAAC地址的主動主機跟蹤可以利用scan6工具來解決，希望能幫到大家，謝謝閱讀。

最新評論