IPv6頭信息鏈結(jié)構(gòu)的靈活性優(yōu)于IPv4,因?yàn)樗幌拗茢?shù)據(jù)包可以包含的數(shù)量。然而,這種靈活性也是有代價(jià)的。
任何需要獲取上層信息(如TCP端口號(hào))的系統(tǒng),都需要處理整個(gè)IPv6頭信息鏈。而且,由于當(dāng)前的協(xié)議標(biāo)準(zhǔn)支持任意數(shù)量的擴(kuò)展頭,包括同一種擴(kuò)展頭的多個(gè)實(shí)例,因此它會(huì)對(duì)防火墻等設(shè)備造成多種影響:
防火墻需要解析多個(gè)擴(kuò)展頭,才能夠執(zhí)行深度數(shù)據(jù)包檢測(DPI),它可能會(huì)降低WAN性能,引發(fā)拒絕服務(wù)(DoS)攻擊,或者防火墻被繞過。
組合擴(kuò)展頭和分片可能妨礙數(shù)據(jù)包檢測。
正如前面介紹的,由于當(dāng)前的協(xié)議規(guī)范支持任意數(shù)量的擴(kuò)展頭,包括同一種擴(kuò)展頭類型的多個(gè)實(shí)例,因此防火墻必須能夠細(xì)致地處理包括異常的多IPv6擴(kuò)展頭信息的數(shù)據(jù)包。而這可能被一些攻擊者利用,他們可能故意在數(shù)據(jù)包中加入大量的擴(kuò)展頭,使防火墻在處理上述數(shù)據(jù)包時(shí)浪費(fèi)過多資源。最終,這可能會(huì)引起防火墻性能下降,或者造成防火墻本身出現(xiàn)DoS問題。此外,有一些性能不佳的防火墻在應(yīng)用過濾策略時(shí),可能無法處理整個(gè)IPv6頭信息鏈,從而可能讓一些攻擊者利用擴(kuò)展頭威脅相應(yīng)的防火墻。
IPv6分片也可能被惡意利用,方法與IPv4的類似。例如,為了破壞防火墻的過濾策略,攻擊者可能會(huì)發(fā)送一些重疊的分片,從而影響目標(biāo)主機(jī)的分片重組過程。在IPv6中,這個(gè)問題更為嚴(yán)重,因?yàn)槎鄠€(gè)IPv6擴(kuò)展頭和分片的組合可能產(chǎn)生一些錯(cuò)誤分片,盡管它們的數(shù)據(jù)包大小是“正常的”,但是它們丟失了一些實(shí)施過濾策略通常需要的基本信息,如TCP端口號(hào)。即,數(shù)據(jù)包的第一個(gè)分片可能包含很多IPv6選項(xiàng),以致上層協(xié)議頭可能屬于另一個(gè)分片,而不是第一個(gè)分片。
京公網(wǎng)安備 11010502049343號(hào)