内容简介:*本文原创作者:zhukaiang7,本文属于FreeBuf原创奖励计划,未经许可禁止转载最近的客户,从前年开始进行ipv4到ipv6的过渡,到目前为止,大部分设备处于双栈或者部分系统没有进行过渡更新。因为毕竟是甲方,所以工作推进的很稳健,到交到我们手上的时候,我们只需要输出关于对ipv6的攻击与防御及优化方案。
*本文原创作者:zhukaiang7,本文属于FreeBuf原创奖励计划,未经许可禁止转载
前言
最近的客户,从前年开始进行ipv4到ipv6的过渡,到目前为止,大部分设备处于双栈或者部分系统没有进行过渡更新。
因为毕竟是甲方,所以工作推进的很稳健,到交到我们手上的时候,我们只需要输出关于对ipv6的攻击与防御及优化方案。
伊始
说到ipv6,很多人可能都有一些了解,所以如果上来就ping目标域名的话,100%解析的是ipv4的地址。
如图所示,因为目标服务器客户已经在防火墙上设置了禁ping,所以这里我们只看解析的地址,很明显,这是ipv4地址。
那么我们如何解析为ipv6的地址,让它走ipv6的流量呢。
在 linux 下:
ping6 (域名或者ipv6地址)
不过如果pc请求端配置错误的情况下,可能会出现:
windows下当支持ipv6的时候如何解析ipv6呢?
ping -6 (ipv6地址)
配置
windows
DNS服务器设置为240c:6666。
简单的原则就是:跃点数越小,网络优先级越高。跃点数的理论赋值范围是 1 ~ 999,但跃点数低于10 ,可能会导致某些网络访问失败。
基本配置:
1.攻击端
硬件:阿里云IPv6主机一台
网络:IPv6地址(xxxx)
2.服务端
硬件:外网网站同配置的冗余主机
网络:IPv6地址(xxxx)
验证工具:IPv6攻击 工具 套件、AWVS漏洞,pocsuite。
ipv6现状:
IPv6相比IPv4虽然在协议安全性方面进行了改进,但传输数据报的基本机制没有发生改变,依然存在一些和IPv4相同的攻击,如针对应用层(HTTP)、传输层(TCP)的攻击,同样对IPv6网络构成较大威胁。由于IPv6协议发布较早,随着IPv6推广的逐步扩大、一些新型攻击方式也不断出现,如利用IPv6扩展报头、NDP协议以及ICMPv6的攻击,都是针对IPv6协议存在的各类缺陷。另外,IPv4向IPv6过渡长期共存也引发新的安全挑战,如双栈机制过滤不严、利用隧道机制绕过安全设备等等。
综上所述,在设计验证方案时,按验证的方向分为三类:IPv4和IPv6共有安全、IPv6特有安全、IPv4/v6过渡长期共存的安全。
主要评估客户网站安全设备对基于IPv6流量的传统网络及应用攻击的防护效果,验证选取一些典型攻击方式,如 SQL 注入、XSS、远程溢出等进行测试。
测试用例设计如下:
测试编号 | A-01 | 测试项 | SQL注入攻击 |
---|---|---|---|
测试目的 | 验证网站WAF对IPv6流量SQL注入攻击的防护效果。 | ||
测试方法 | 在攻击端机器上使用AWVS的SQL注入插件对服务端主机IPv6地址进行扫描,模拟真实攻击。 | ||
预期结果 | WAF识别并拦截 |
测试编号 | A-02 | 测试项 | XSS攻击 |
---|---|---|---|
测试目的 | 验证网站WAF对IPv6流量XSS利用攻击的防护效果。 | ||
测试方法 | 在攻击端机器上使用AWVS的XSS插件对服务端主机IPv6地址进行扫描,模拟真实攻击。 | ||
预期结果 | WAF识别并拦截 |
测试编号 | A-03 | 测试项 | Web应用远程代码执行攻击 |
---|---|---|---|
测试目的 | 验证网站WAF对IPv6流量XSS利用攻击的防护效果。 | ||
测试方法 | 在攻击端机器上使用AWVS的远程代码执行插件对服务端主机IPv6地址进行扫描,模拟真实攻击。 | ||
预期结果 | WAF识别并拦截 |
主要评估客户外网网站安全设备对利用IPv6协议漏洞发起攻击的防护效果。
利用IPv6协议漏洞的攻击,目前已知的IPv6攻击手段有NDP欺骗攻击、路由重定向攻击、ICMPv6协议攻击(Overlarge Ping等)、基于IPv6的SYN Flood攻击等,其中NDP中欺骗攻击、路由重定向攻击基于LAN的攻击,不属于本次验证范围,因此验证选取ICMPv6协议攻击、基于IPv6的SYN Flood攻击等进行测试。测试用例设计如下:
测试编号 | B-01 | 测试项 | IPv6协议CVE漏洞组合测试 |
---|---|---|---|
测试目的 | 验证防火墙等安全设备对IPv6协议已知漏洞(CVE漏洞)的防护效果。 | ||
测试方法 | 在测试机上使用IPv6工具包中(CVE漏洞利用组合,含Overlarge Ping、CVE-2003-0429等),构造测试IPv6数据包,发送给服务端主机模拟CVE漏洞利用进行测试。 | ||
预期结果 | 防火墙等安全设备正常过滤 |
测试编号 | B-02 | 测试项 | 基于IPv6的SYN Flood测试 |
---|---|---|---|
测试目的 | 验证防火墙等安全设备对IPv6的SYN Flood之类DOS攻击防护效果。 | ||
测试方法 | 在测试机上使用thc IPv6工具包中thcsyn6,对服务端主机发起SYN Flood测试。 | ||
预期结果 | 防火墙等安全设备正常过滤 |
主要评估客户外网网站安全设备在支持双栈协议的网络环境下,对过渡机制下面临安全问题的防护效果。双栈机制允许访问路径沿途设备同时支持IPv4与IPv6数据包,如果攻击者控制一台IPv4设备,可以建立IPv6地址的隧道,使用两种协议协同作战,从而绕过防火墙或者IDS设备。
本次验证,假设攻击者已控制服务端主机,通过尝试建立IPv6隧道,测试对IDS设备的穿透效果。测试用例设计如下:
测试编号 | C-01 | 测试项 | IPv6内网穿透检测 |
---|---|---|---|
测试目的 | 验证IDS设备对IPv6内网穿透行为的检测效果。 | ||
测试方法 | 1. 使用zerotier等渗透工具在被控服务端与攻击机之间建立IPv4的TCP隧道;2.服务端和攻击机两端均开启并配置IPv6地址,实现IPv6的直连;3.基于IPv6地址,执行command&control操作。 | ||
预期结果 | IPS识别并报警 |
测试总结:
客户购买了大量的安全设备,最后只在2台设备上捕捉到了IPV6的攻击流量。感慨国内ipv6的安全发展,任重道远。
经过验证测试,发现IPv6网络的安全防护,存在以下问题:
(1)部分安全设备,实际对IPv6的支持不足。如部分安全设备无法查询出IPv6攻击日志,甚至存在IPv6网络连通性的问题。如通过某台IPS设备,Ping外网网站的IPv4和IPv6地址测试,网络连通性存在差异。
IPv4地址网络可达IPv6地址网络不可达。
2)安全设备对通过IPv6over4隧道实施的内网穿透检测能力不足。此类内网穿透,通常发生在防火墙内部,防火墙难以检测。通过建立IP6over4隧道,又使得攻击隐蔽,可以绕过IPS等安全设备
后记
ipv4转向ipv6的大潮流是不可替代的,就如5G一样,虽然现在因为各种各样的原因,推进的不是很快,但是总有一天,这个时代会来临,所以有兴趣的兄弟可以开始学习了。
在写方案时期,查阅很多学术论文,零几年的文章有很多,不得不感慨时光流逝,和前人的高瞻远瞩。
因涉及敏感信息,部分打码,文中工具及脚本暂不公开。
*本文原创作者:zhukaiang7,本文属于FreeBuf原创奖励计划,未经许可禁止转载
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- IPFire 2.23 发布,引入新的入侵防御系统
- IPFire 2.23 发布,引入新的入侵防御系统
- 基于主动防御的高安全军事网络防御
- CSS 样式防御
- 点击劫持防御方案
- AccessibilityService分析与防御
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
数学建模(原书第5版)
[美] Frank R. Giordano、[美] William P.Fox、[美] Steven B.Horton / 叶其孝、姜启源 / 机械工业出版社 / 2014-10-1 / 99.00元
《华章数学译丛:数学建模(原书第5版)》旨在指导学生初步掌握数学建模的思想和方法,共分两大部分:离散建模和连续建模,通过本书的学习,学生将有机会在创造性模型和经验模型的构建、模型分析以及模型研究方面进行实践,增强解决问题的能力。 《华章数学译丛:数学建模(原书第5版)》对于用到的数学知识力求深入浅出,涉及的应用领域相当广泛,适合作为高等院校相关专业的数学建模教材和参考书,也可作为参加国内外数......一起来看看 《数学建模(原书第5版)》 这本书的介绍吧!