IPv6擴展報頭:是好是壞?
IETF最近的一項研究表明,當部署擴展報頭時,發送到公網服務器的IPv6數據包丟包率在10%至50%。這種強度的過濾並不太好,這不僅阻礙了IPv6協議的後續發展,也影響了其基本功能的使用,諸如IPsec,甚或IPv6分片。
雖然從用户角度來看這也是不可取的,不過這樣的過濾也確實是降低安全隱患和操作影響的實用之法,包括普通網絡設備和設置。為什麼會這樣?有安全和操作層面的考慮,另有一些因素解釋了為什麼運營商在IPv6包含有擴展報頭丟包時依舊能理直氣壯。
IPv6擴展報頭帶來的`安全影響
IPv6擴展報頭的安全影響概括如下:
· 逃避安全控制
· 由於實施錯誤的拒絕服務
· 由於處理需求產生的拒絕服務
· 每個擴展報頭特有的問題
IPv6擴展報頭也有操作層面的影響,不過還好是通過當下的實施可以克服的困難。
除了一些產品無法恰當處理IPv6擴展報頭問題,安全產品本身的缺陷會允許逃避安全控制。處理這些擴展報頭相對複雜,也會導致實施錯誤,從而引發拒絕服務(DoS)攻擊。
此外,一些路由器部署只能處理慢路徑上帶有擴展報頭的數據包,這樣一來,帶有擴展報頭的IPv6數據包也可能引起處理需求帶來的DoS攻擊。最後,每個IPv6擴展報頭本身有自己的安全問題,例如,分段報頭能夠引起資源耗盡式攻擊,同時,一些路由報頭類型(如已棄用的0型)能夠引發放大式攻擊。
IPv6擴展報頭操作層面的影響
IPv6擴展報頭也有操作方面的影響,一些常見的丟包原因如下:
· 強制執行基礎設施訪問控制列表(ACL)
· DDoS管理以及用户的過濾需求
· 可能無法執行等價路徑(ECMP)路由以及基於散列的負載分享
· 包轉發引擎的限制
基礎設施ACL是為了濾掉一些為基礎設施認定為不需要的數據包,這些數據包於操作無益的,且能夠被用於實施對路由控制平台的攻擊。用户DDoS保護過濾從本質上來講與之類似,第四層ACL通常需要儘可能部署在網絡邊緣,其目的是為了保護用户邊緣。
在ECMP負載分享情況下,路由器需要制定相關策略,確定每個輸出包使用的鏈接。大多數轉發引擎通過計算一個簡單的哈希函數來實現,計算需要使用IPv6源和目標地址以及一些四層的信息,像是源和目標傳輸協議端口號。然而,使用擴展報頭會組織轉發設備查出傳輸協議端口號。
最後,我們注意到絕大多數現代路由器使用專用硬件來實施,已經在其內部結構中決定如何轉發數據包。這樣的實施只會將有限的數據包考慮在內。因此,當一台現代路由上的硬件轉發引擎由於關鍵信息與前述專有實施限定不匹配而無法做出轉發決定時,路由器則通常會丟棄數據包。
-
木馬病毒的概念及原理
木馬全稱是特洛伊木馬(TrojanHorse),原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。下面是YJBYS小編整理的木馬病毒的概念及原理,希望可以幫到你!在Internet上,特洛伊木馬指一些程序設計人員在其可從網絡上下載(Download)的應用程序或遊戲中,包含...
-
無線路由器局域網組建詳細安裝教程
網絡對於電腦愛好者來説,已經不是一個陌生的名詞;網絡的出現,可以使多台計算機之間快速方便的進行數據交換。以下是YJBYS小編搜索整理的關於無線路由器局域網組建詳細安裝教程,供參考閲讀,希望對大家有所幫助!想了解更多相關信息請持續關注我們應屆畢業生培訓網!無...
-
台式機開機主機沒反應的解決方法
電腦按開機鍵沒有反應,鍵盤燈不亮,不閃,不報警,顯示器正常,但沒有任何信息,怎麼辦?下面小編整理了台式機開機主機沒反應的解決方法,供大家參閲。解方法一:將BIOS電池放電(恢復BIOS出廠默認值)建議插拔一下顯卡、內存,清理一下衞生,並且擦亮顯卡、內存的金手指。電腦開機...
-
雲路由器設置後無法上網怎麼辦
雲路由器設置後無法上網怎麼辦?以下是YJBYS小編搜索整理的相關內容,供參考閲讀,希望對大家有所幫助!想了解更多相關信息請持續關注我們應屆畢業生培訓網!雲路由器設置後無法上網,請點擊網絡狀態,如下:觀察網絡狀態區域的提示信息,如下:請參考對應提示的處理方法:頁面提...