SLAAC(无状�地�自动�

SLAAC(无状�地�自动�

时间:2020-02-14 14:48 作者:admin 点击:
阅读模式 扫ç �分享至朋å�‹åœˆ

�51CTO.com 独家译稿】 默认设置下的IPv6��导致Windows系统计算机��入侵

如�大家看过太空堡��拉狄加这部�剧,�想一下�,它清楚地告诉我们,六这个数字��是�油的�。看起�很�,但在大家忙忙碌碌�按部就�地工作时,它�悄悄将身形��在其目标之下。没人�识到出了什么状况,直到��已�严�到无法挽�。

互�网上也有类似的六��象,IPv6(新一代的IPng-IP)。眼下最新的�作系统通过它�进行数�传输,一般情况下它都�以算是默认�置了,但普�速度相对�说�然�常缓慢。�因��,�胜�举,目�的情况是它尚处�休眠期,等待�机会一鸣惊人,进而一举�翻IPv4并彻底统治网络。

本文介�的是一项关�IPv6概念层�的有趣应用。我会在�下�的内容中�大家展示,一个攻击者如何对IPv6覆盖之下的纯IPv4网络进行攻击,而借助这一点,中间人攻击(简称MITM)将能够顺利对IPv4的网络数��展开侵袭。

这�新的无状�自动地�分�(简称SLAAC)攻击,如�大家��这�称呼,正是根�其产生过程而得�。

IPv6背景知识介�

除了�加IP地�数�之外,IPv6在很多关键性的处�领域�IPv4�以说采用了完全��的机制。本文并�打算对IPv6进行过多的�讨,但我会把�网络攻击有关的主�特点�大家�出说�。

首先,IPv6没有使用ARP--而代替其功能的是一组称为相邻计算机���议(neighbour discovery protocols)的工具,当我们执行ICMPv6时,它�许主机��本地��中的其它物�地�。此外,具备无线功能的路由器也�以通过本地��上的路由通告(Router Advertisement,简称RA)中的信���知其它计算机,借以���样的功能。

当一�应用IPv6的主机�收到路由通告时,它�以通过一系列处�为其创建一个进程,并为其分�一个有效的IPv6路由地�,这一过程�被称为"无状�地�自动�置(简称SLAAC)"。主机将根�路由通告所使用的�地�为其设置默认网关。

通过对这�自动的主机地�分�机制的分�,我们�以看到,SLAAC的执行��更�是IPv4中的DHCP的处�方�。然而,��SLAAC本身的�,是无法为�入的主机�供所有必�的�置�数信�(例如DNS�务器等详细内容)的,DHCPv6�需�借助其它工具的帮助,�能正确填写所有的匹�资料。事���,它所需�的数��以由路由通告中的信��供,SLAAC和DHCPv6相结�的��以为IPv6��DHCP能为IPv4所�的全部�置工作,但那�是�一�事,�在本文的讨论范围中。

�作��

这�概念层�上的��,我�在Windows 7系统的主机上�践过,但�论上应该适用�任何安装并默认执行IPv6以管�其网络数�传输的�作系统。让我们�一幅网络目标示�图开始�考:

这幅图其�相当直观,整个�程都是IPv4处�方�,边界路由器所在执行的也是常�的网�解�(简称NAT)�防�墙任务。对�这�方�,我们也�以�设,如���安全�施都是针对IPv4中间人攻击,例如ARP欺骗,这类�害所部署的。

�在我们��的是引入一个物�路由器,�目标网络�����收请求。���收请求具有两个网络端�--��信�所针对的�是IPv6端�,而网络��则�通过IPv4端�。我们的目的正是通过�����收请求,在IPv6所覆盖的网络下创建一个寄生的端�。这个端��以由我们完全�制,具体情况如下图所示:

���收请求将�本地网络��路由通告,这将导致主机为其创建IPv6路由功能所匹�的IP地�。它还�备了DHCPv6�务�为我们�供DNS�务器信�,而这一切都在我们的�制之下(��的DNS�务器如上图所示)。我们还无法�到的是将IPv6所管�的网络直�通过IPv6��到互�网--���收请求�能通过目标计算机上的IPv4��入互�网。

所谓Special Sauce

通过引入���收请求所造�的影�目��看还算是良性的。感谢���收请求所�供的路由通告信�,所有目标主机都在其IPv4的��路由��的地�之外,�时�供了IPv6的地�,并且包�DNS�务器信�。但这些还远远�够,�进行�用性�作,我们还需�在攻击中加入其它内容,以使其�得更大的进展。

这�称为"Special Sauce(特别酱料)"的工具��附带�议转�器的网络地�转�器(以帮助IPv6�IPv4节点间互相�通,简称NAT-PT)。NAT-PT方案已�在�际应用中被攻击得�疮百孔���人形。它是由互�网工程任务组(简称IETF)所研�,用�在的眼光�看,它已�被彻底丢进了��的�圾桶。但无论如何,尽管它既过时�乱七八糟,但并�代表它毫无��之处。

NAT-PT是众多IPv4到IPv6过渡机制中的一款,用�解决�旧有处�方�到新�方案的过渡问题。它的作用是将应用IPv6的主机�应用IPv4的主机之间的数�交互进行处�,�将IPv6地�转�为IPv4形�,�之亦然。�击此处�以查看其�作��的书�说�。这正是NAT-PT的功能,�许我们通过攻击IPv6端��将���收请求传输到用以��互�网的IPv4端�上。

�使用NAT-PT,我们首先需�定义一个�链�的/96�缀;它�以是任何通过�由路由器�出的,你��采用的�缀形�。任何被NAT-PT所��的目标地�,其所匹�的�缀�称若是�以由IPv6的地�所解�,�会根�其末尾的三�二�字节内容转化为相应的IPv4地�。

举例说�,我�能会告知自己的NAT-PT,我所选用的�缀�为2001:6f8:608:ace::/96。我们通过DHCPv6为IPv6所�供的DNS�务器地�是2001:6f8:608:ace::c0a8:5802--这个地��指定的�缀是完全匹�的,因此如�NAT-PT根�其最�三�二�字节检索到了数�传输指�(�c0a8:5802),相应内容将会被��并��到真正的DNS�务器的IPv4地�192.168.88.2并进行转�。

以Special Sauce为起点进一步�试

我们离�功�有一步之�。有NAT-PT�驾护航,���收请求�在已��建了一�由IPv6目标端�到IPv4互�网端�的桥�。如�我们能够使通过IPv6的数���样通过��请求(而�是通过�法途径��到IPv4的边界路由器),我们就能够享�自己的SLAAC攻击所带�的�趣了。事���,这一步骤�行起�其�也�常容易。

感谢���收请求,我们的目标端��时具备IPv4�IPv6地�;它们是"��的",��时存在的。���能,具备这���特性的主机会更倾��使用本地的IPv6地�,因此�以说我们的计划已��功了一�。而在最�的�试中,指引我们走完剩下的路途并最终到达终点的伙伴是DNS。

具备��特性的目标端�既有一个IPv4的DNS�务器(由DHCP�务器�法�供)�有一个IPv6的DNS�务器(由���收请求通过DHCPv6�务器�供)。当目标端�中的�一个试图查询谷歌网站时,它会�其IPv6的DNS�务器�出一个DNS查询指令,�A(IPv4)以�AAAA(IPv6)。如�IPv6的DNS�务器能够足够迅速地返�查询结�,那么目标端�将会优先采纳IPv6所�供的地�,而�是IPv4。而我们所��的,正是利用这�机制,将�自网络的数��转移到���收请求那边。而��这一计划的��是,我们IPv6的DNS�务器�应速度一定�快--�则过长的�应返�时间会令目标端�转而使用IPv4的DNS�务器作为替代,这样一�让数��通过���收请求的计划也就破产了。

但我们�如何�能确�任何指定的DNS查询都能通过IPv6地�加以�应?

NAT-PT自有一套妙招,该方案通常包�一组应用层�的网关(简称ALGs),它的作用是在应用层�对IP地�的通信�议进行检查。DNS�是一个�议内容基�ALG的�例,�文件传输�议(简称FTP)一样。通过下�的内容,让我们一起�看看IPv6如何�NAT-PT���作,而DNS ALG�是如何�弄它的欺骗把�的:

需�注�的事项:

而目�关�目标端�, www.google.com 通过IPv6段�2001:6f8:608:ace::d155:8f63已��以��了。这样一�IPv4就完全无法�挥作用了,而目标端�将以如下图所示的方���到谷歌网站:

这样一�,���收请求如今已��得目标端��谷歌网站之间的中间人身份。

让我们总结一下迄今为止所�的工作:

攻击活动�样有充分的�由被��执行,因为:

���收请求的建立

���收请求的执行并���。必需的工具包�有三个,�radvd,dhcp6s以�naptd。��动��行这些工具,我们需�建立自己的网络端�。在下�的这个例�中,eth0是��互�网的IPv4端�,而我将�设它�以�DHCP�务器处�得一个�法的地�。eth1则是使用IPv6的端�,具体�置方案如下:

我们还需�确�IPv6的转�功能处��用状�:

本地��状�中所显示出的IPv6地�,表�主机目�已�在采用IPv6机制了。一旦我们��到���收请求所在的eth1端�,目标主机就会收到路由通告,并�中为自身��一个IPv6地�,然�是�DHCPv6��查询请求以进一步进行�置。而几�在�一时间,ip�置文件的输出结�已�改��如下图所示:

���收请求在IPv4的eth0端�上所进行的相�转�过程则如下图所示(下载地��击此处):

请注�,所有的IP地�都是IPv4形�的,而所有的DNS查询指令都以A的形�加以记录,而�A�AAAA的组�形�,这就是eth1端�所�馈的情况。

进一步�动攻势

��动进一步的攻势,我们有以下几�选择:

如何抵御���收请求

这�攻击很�能出�,因为我们能够将��信�注入到应用IPv6的主机的路由通告中 这类攻击�其它类似的攻击之间的主�区别在�,我们�需�试图改��有的IPv6网络;我们所��的�是建立一�新的�法传输路线。�过,我们的��路由通告是攻击得以�功展开的关键。一旦传输路线被�堵,这类攻击将无法��。

在大部分情况下,��路由通告最多�能算是一�"侵犯"行为,基本上跟开�Windows中的网络��共享功能所造�的��差�多。然而,对�IETF组织�说,这�情形已�相当严�了,因此他们�布了RFC6104警示文件 "IPv6路由通告盗用问题状况说�"。这份文件更专注�讨论由路由通告被"盗用�篡改"所导致的破�,而�是由此带�的安全问题,但第三节中还是给出了一份有用的应对技术方案清�。�憾的是,其中��的大部分应用在�际执行方�对�普通使用者�说难度过高�缺���作性(��"��"项目中的内容)并且所�求的相关硬件过�苛刻(��路由通告指��ACL开关项目中的内容)。�科公�也就这类安全问题�供了一些�示说�,具体信�请 �击此处 �此处进行查看。

如�RFC6104文件中的内容无法使我们�功阻止攻击的�生,也许将它检测定�也�以算是比较积�的备选应对方案。NDPMon正是这么一款相当�IPv6中的ArpWatch的工具,其设计目的在�帮助我们侦测�自网上邻居或是路由器端的�疑数��。

无论如何,无论是RFC6104还是NDPMon都无法有效地帮助我们抵御SLAAC类�的攻击。为什么在部署应对IPv6所带�的��安全问题的�时,就没有人站出�建议"�使用"IPv6机制呢?SLAAC攻击的目标�能是由IPv6管�的IPv4网络,而无法作用�生的IPv6�或��议�网络。由此��,最简�有效的防御手段,就是在所有的主机上�用IPv6机制(��没有特殊的业务方��求):

这�解决方案完全契�了"网络防御"一文中所�到的"最�化"安全�障�本这一概念,虽然它对�尽快普�IPv6机制产生了些许�利的影�。�过管它呢,我们都了解哪�方法最适�自己。

�文链�: http://resources.infosecinstitute.com/slaac-attack/

�51CTO.com独家译稿,����谢�转载��作媒体转载请注��文出处�出处�】

您�能也感兴趣: