IPv6扩展报头:是好是坏?
IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。这种强度的过滤并不太好,这不仅阻碍了IPv6协议的后续发展,也影响了其基本功能的使用,诸如IPsec,甚或IPv6分片。
虽然从用户角度来看这也是不可取的,不过这样的过滤也确实是降低安全隐患和操作影响的实用之法,包括普通网络设备和设置。为什么会这样?有安全和操作层面的考虑,另有一些因素解释了为什么运营商在IPv6包含有扩展报头丢包时依旧能理直气壮。
IPv6扩展报头带来的`安全影响
IPv6扩展报头的安全影响概括如下:
· 逃避安全控制
· 由于实施错误的拒绝服务
· 由于处理需求产生的拒绝服务
· 每个扩展报头特有的问题
IPv6扩展报头也有操作层面的影响,不过还好是通过当下的实施可以克服的困难。
除了一些产品无法恰当处理IPv6扩展报头问题,安全产品本身的缺陷会允许逃避安全控制。处理这些扩展报头相对复杂,也会导致实施错误,从而引发拒绝服务(DoS)攻击。
此外,一些路由器部署只能处理慢路径上带有扩展报头的数据包,这样一来,带有扩展报头的IPv6数据包也可能引起处理需求带来的DoS攻击。最后,每个IPv6扩展报头本身有自己的安全问题,例如,分段报头能够引起资源耗尽式攻击,同时,一些路由报头类型(如已弃用的0型)能够引发放大式攻击。
IPv6扩展报头操作层面的影响
IPv6扩展报头也有操作方面的影响,一些常见的丢包原因如下:
· 强制执行基础设施访问控制列表(ACL)
· DDoS管理以及用户的过滤需求
· 可能无法执行等价路径(ECMP)路由以及基于散列的负载分享
· 包转发引擎的限制
基础设施ACL是为了滤掉一些为基础设施认定为不需要的数据包,这些数据包于操作无益的,且能够被用于实施对路由控制平台的攻击。用户DDoS保护过滤从本质上来讲与之类似,第四层ACL通常需要尽可能部署在网络边缘,其目的是为了保护用户边缘。
在ECMP负载分享情况下,路由器需要制定相关策略,确定每个输出包使用的链接。大多数转发引擎通过计算一个简单的哈希函数来实现,计算需要使用IPv6源和目标地址以及一些四层的信息,像是源和目标传输协议端口号。然而,使用扩展报头会组织转发设备查出传输协议端口号。
最后,我们注意到绝大多数现代路由器使用专用硬件来实施,已经在其内部结构中决定如何转发数据包。这样的实施只会将有限的数据包考虑在内。因此,当一台现代路由上的硬件转发引擎由于关键信息与前述专有实施限定不匹配而无法做出转发决定时,路由器则通常会丢弃数据包。
-
台式机开机主机没反应的解决方法
电脑按开机键没有反应,键盘灯不亮,不闪,不报警,显示器正常,但没有任何信息,怎么办?下面小编整理了台式机开机主机没反应的解决方法,供大家参阅。解方法一:将BIOS电池放电(恢复BIOS出厂默认值)建议插拔一下显卡、内存,清理一下卫生,并且擦亮显卡、内存的金手指。电脑开机...
-
EIGRP带宽实例配置
EIGRP路由信息在默认情况下占用接口带宽的50%,而串行接口默认的带宽为T1(1.544M),但在实际上串行接口的带宽并不是默认值,这里我们按照需求修改接口的带宽并修改EIGRP占用带宽的百分比例。拓扑图如下:修改带宽占用比:R1(config)#interfaces0/0R1(config-if)#bandwid...
-
2017年计算机网络技术考试巩固试题“附答案”
一、选择题1).下列方式中,利用主机应用系统漏洞进行攻击的是()。攻击B.暴力攻击C.源路由欺骗攻击注入攻击正确答案:D答案解析:漏洞入侵是指黑客利用网络系统的漏洞,采用针对该漏洞的工具或自己设计的针对该漏洞的工具等方式进行入侵、攻击的行为。比较著名的漏洞入...
-
解析动态NAT配置
个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。下面是小编带来的动态NAT配置如下:1.定义内部访问列表2.定义合法IP地址池(合法地址池的名为ABC,合法范围为:到)3.设置复用动态IP地址转换。4.在端口上启用NAT5.验证...