چکیده:
هدف از این مقاله بررسی شایع ترین تهدیدات امنیتی است که می تواند در شبکه های IPv6 بوجود آید و همچنین ارائه مجموعه ای از ابزارهای حسابرسی بر اساس آسیب های شناسایی شده می باشد.
علاوه بر این تکنیک های کاهش برای مسائل امنیتی شرح داده شده، معرفی شده اند. در حال حاضر بیشتر ابزارهای امنیتی open-source یا اختصاصی ، IPv6 را پشتیبانی نمی کنند. ما برای پیاده سازی مناسب چنین ابزارهایی بر پایه تهدیدات متداول IPv6 برنامه ریزی کرده ایم و این آزمایش اسیب پذیری در شرایط استقرار واقعی رخ خواهد داد.
این مقاله بر روی سه نوع از حملاتی که معمولا بر روی شبکه های IPv6 صورت می گیرد تمرکز کرده است.
حمله با هدف شناسایی که به منظور تعیین host در یک زیر شبکه صورت می گیرد.
حملات انکار سرویس که با هدف مختل کردن عملکرد شبکه صورت می گیرد و man-in-the-middle attacks. پیاده سازی های پیشنهادی در پلت فرم Scapy صورت میگیرد.
فهرست مطالب صفحه
فصل اول- آسیبپذیریهای امنیتی IPv6
1-1- حملات در مقابل پروتوکل IPv6.............. 3
1-1-1- چندپخشی (Multicast) ..................... 3
2-1-1- مرحلهی عملیات شناسایی................ 4
3-1-1- حمله ی تقویت شده..................... 7
4-1- پینگ مرگ.............................. 10
5-1- هدر های گسترش دهنده................... 11
6-1- حمله ی Router Alert DoS در هدر آپشن Hop-by-Hop 13
7-1- هدر روتینگ 0 (عدم تایید) ............ 15
8-1- فرار دیواره ی آتش باهدر فرگمنت Fragment Header 19
9-1- اقدامات جبران کننده برای یک گروه IPV6.. 19
فصل دوم - امنیت اینترنت Ipv6
1-2- امنیت اینترنت Ipv6..................... 22
2-2- تهدیدات اینترنتی مقیاس بزرگ........... 23
1-2-2- حمله ی Packet Flooding................... 24
2-2-2- کرم های اینترنتی.................... 30
1-2-2-2- تکثیر کرم......................... 30
2-2-2-2- سرعت انتشار کرم در IPv6............ 32
3-2-2-2- کرم های رایج IPv6.................. 34
4-2-2-2- جلوگیری از کرم های IPv6............ 35
3-2-2- رد سرویس توزیع یافته و سرپوش ها..... 36
1-3-2-2- DdoS در شبکه های IPv6.............. 37
1-3-2-2- حمله فیلترینگ..................... 37
2-3-2-2- ردیابی مهاجم...................... 39
3-3-2-2- سیاهچاله ها و شبکه های Dark Net..... 42
فصل سوم – امنیت شبک های محلی
1-3- چرا لایه 2 مهم است؟.................... 45
2-3- آسیب پذیری های لایه دوم ICMPv6.......... 47
1-2-3- نتایج پیکربندی اتوماتیک آدرس بدون تابعیت 48
2-2-3- پی آمدهای کشف همجوار ............... 53
3-2-3- پیامدهای کشف آدرس تکراری............ 58
4-2-3- نتایج تعیین جهت..................... 61
3-3- حفاظت از پروتکل ICMPv6................. 65
1-3-3- کشف مجاور امن....................... 66
2-3-3- پیاده سازی آدرس های CGA در Cisco IOS... 70
3-3-3- درک چالش های همراه SEND ............. 71
4-3- کشف شبکه ی حملات ICMPv6................. 71
1-4-3- کشف پیامهای RA مخرب ................ 72
2-4-3- کشف حملات NDP........................ 74
5-3- بهبود و تسکین شبکه دربرابر حملات ICMPv6 75
1-5-3- Rafix................................. 76
2-5-3- کاهش محدوده ی هدف.................. 77
3-5-3- وظیفه ی IETF ........................ 78
4-5-3- تداوم امنیت سوئیچ IPv4 به IPv6......... 78
6-3- آدرس های اضافی مستقل برای بهتر و بدتر. 80
1-6-3- تهدیدات DHCPv6 و کاهش................ 86
1-1-6-3- تهدیدات بر علیه DHCPv6............... 89
2-1-6-3- تسکین حملات DHCPv6.................... 90
1-2-1-6-3- تسکین حمله ی قحطی زدگی........... 91
2-2-1-6-3- تسکین حمله ی DoS.................. 91
3-2-1-6-3- تخفیف پیمایش ...................... 93
4-2-1-6-3- تسکین سرور DHCPv6 مخرب.............. 94
چکیده انگلیسی ............................ 96
فهرست منابع .............................. 97
شماره شکل – عنوان شکل صفحه
1-1 پینگ تمام آدرس چندپخشی تمام گره ها...... 3
2 -1- شناسایی............................... 4
3-1- حمله ی Smurf............................. 9
4-1Scapy پیامی را از طریق یک کانال غیر مستقیم در هدر مقصد دلخواه میفرستد....................... 12
5-1- پیام کانال دریافت شد tcpdump ........... 12
6-1- اشباع کردن روتر الرت با Scapy .......... 14
7-1 - عبور از دیواره آتش با RH0............ 15
8-1 - حمله ی هدر روتینگ RH0................ 17
9-1 - هدر فرگمنت........................... 18
1-2 - حمله smurf6............................ 25
2-2- حمله Rsmurf6............................ 27
3-2 - حلقه بازخوردی اینترنت................ 29
4-2- فیلترینگ ورود/خروج اینترنت............ 38
1-3- مکانیسم اعلام روتر عادی................ 49
2-3- هدایت اعلام روتر جعلی به یک رد سرویس... 50
3-3 اصابت روتر- جعلی 6 به یک هاست ویندوز... 53
4-3- کشف مجاور: درخواست.................... 54
5-3- کشف مجاور: اعلام....................... 55
6-3- کش مجاور قربانی قبل از حمله........... 57
7-3- کش مجاور قربانی بعد از حمله........... 58
8-3- کشف آدرس تکراری:رفتار عادی............ 59
9-3- رد سرویس با کشف آدرس تکراری. ......... 60
10-3 - پیکربندی Ipv6 قبل از حمله DAD........ 61
11-3 - شروع حمله DAD ...................... 61
12-3- از دست دادن تمام آدرس های IPv6 ........ 61
13-3- تعیین جهت ترافیک با دستور تغییر جهت ICMPv6 63
14-3- حافظه کش مسیر هاست اصلی.............. 64
15-3 - حافظه کش کانال مسیر آلوده........... 65
16-3- آدرس تولید شده بطور پنهانی........... 67
17-3- استفاده از امضاء در کشف مجاور امن.... 69
18-3- پیکربندی یک CGA...................... 71
19-3- فایل پیکربندی NDPMon ................. 73
20-3- ایمیل تولید شده توسط یک پیام RA مخرب. 74
21-3- ایمیل تولید شده تو.سط اعلام مجاور جعلی 74
22-3- rafixd یک پیام RA مخرب 6 به 2 را کشف می کند. 77
23-3- مسئله حفظ حریم خصوصی با آدرس EUI-64.... 81
24-3- چند آدرس IPv6 در یک هاست ویندوز XP..... 82
25-3- مبادله ی پیام DHCPv6.................. 88
26-3- خصوصیات خطی مشی نرخ محدود شده ی DHCPv6 92
27-3- خطی مشی نرخ محدود شده ی DHCPv6 در عمل. 93