IPv6擴充套件報頭:是好是壞?
IETF最近的一項研究表明,當部署擴充套件報頭時,傳送到公網伺服器的IPv6資料包丟包率在10%至50%。這種強度的過濾並不太好,這不僅阻礙了IPv6協議的後續發展,也影響了其基本功能的使用,諸如IPsec,甚或IPv6分片。
雖然從使用者角度來看這也是不可取的,不過這樣的過濾也確實是降低安全隱患和操作影響的實用之法,包括普通網路裝置和設定。為什麼會這樣?有安全和操作層面的考慮,另有一些因素解釋了為什麼運營商在IPv6包含有擴充套件報頭丟包時依舊能理直氣壯。
IPv6擴充套件報頭帶來的`安全影響
IPv6擴充套件報頭的安全影響概括如下:
· 逃避安全控制
· 由於實施錯誤的拒絕服務
· 由於處理需求產生的拒絕服務
· 每個擴充套件報頭特有的問題
IPv6擴充套件報頭也有操作層面的影響,不過還好是通過當下的實施可以克服的困難。
除了一些產品無法恰當處理IPv6擴充套件報頭問題,安全產品本身的缺陷會允許逃避安全控制。處理這些擴充套件報頭相對複雜,也會導致實施錯誤,從而引發拒絕服務(DoS)攻擊。
此外,一些路由器部署只能處理慢路徑上帶有擴充套件報頭的資料包,這樣一來,帶有擴充套件報頭的IPv6資料包也可能引起處理需求帶來的DoS攻擊。最後,每個IPv6擴充套件報頭本身有自己的安全問題,例如,分段報頭能夠引起資源耗盡式攻擊,同時,一些路由報頭型別(如已棄用的0型)能夠引發放大式攻擊。
IPv6擴充套件報頭操作層面的影響
IPv6擴充套件報頭也有操作方面的影響,一些常見的丟包原因如下:
· 強制執行基礎設施訪問控制列表(ACL)
· DDoS管理以及使用者的過濾需求
· 可能無法執行等價路徑(ECMP)路由以及基於雜湊的負載分享
· 包轉發引擎的限制
基礎設施ACL是為了濾掉一些為基礎設施認定為不需要的資料包,這些資料包於操作無益的,且能夠被用於實施對路由控制平臺的攻擊。使用者DDoS保護過濾從本質上來講與之類似,第四層ACL通常需要儘可能部署在網路邊緣,其目的是為了保護使用者邊緣。
在ECMP負載分享情況下,路由器需要制定相關策略,確定每個輸出包使用的連結。大多數轉發引擎通過計算一個簡單的雜湊函式來實現,計算需要使用IPv6源和目標地址以及一些四層的資訊,像是源和目標傳輸協議埠號。然而,使用擴充套件報頭會組織轉發裝置查出傳輸協議埠號。
最後,我們注意到絕大多數現代路由器使用專用硬體來實施,已經在其內部結構中決定如何轉發資料包。這樣的實施只會將有限的資料包考慮在內。因此,當一臺現代路由上的硬體轉發引擎由於關鍵資訊與前述專有實施限定不匹配而無法做出轉發決定時,路由器則通常會丟棄資料包。
-
計算機網路重點內容
一、網路基礎1、計算機網路定義:地理上分散的自主計算機通過通訊線路和通訊裝置連線起來,在通訊協議的控制下,進行資訊交換和資源共享或協同工作的計算機系統。2、計算機網路由通訊子網和資源子網構成。3、計算機網路按覆蓋的地理範圍可以分為:區域網、廣域網和城...
-
怎麼操作三層交換機智慧流處理技術
隨著時代的進展,網路平臺的發達,那麼什麼才是一項可以使人們獲得更好的通訊生活的技術呢?下面小編帶來操作三層交換機智慧流處理技術的相關知識,希望對你有幫助!交換機在同一時刻可進行多個埠對之間的資料傳輸,然後對不同的流賦予不同的優先級別,在不損失資料交換...
-
加強路由器wifi訊號方法
最讓人煩的問題是什麼?是看電視劇看到關鍵處,突然卡住不動了,那種抓狂的的感覺!這其實是你的WiFi訊號不給力,讓yjbys小編告訴你4個小技巧,擺脫看電視卡的煩惱!一、路由器放置位置放在家裡的中間位置路由器會向四面八方傳送訊號如果你把路由器放在窗邊或是牆角就浪...
-
怎樣學好計算機網路技術
計算機網路技術是通訊技術與計算機技術相結合的產物。計算機網路是按照網路協議,將地球上分散的、獨立的計算機相互連線的集合。連線介質可以是電纜、雙絞線、光纖、微波、載波或通訊衛星。計算機網路具有共享硬體、軟體和資料資源的功能,具有對共享資料資源集中...