超级会员免费看
6to4隧道技术详解
1. 隧道安全考虑
配置和自动隧道会引发一些安全问题。自动隧道以能轻松绕过仅过滤IPv4数据包、不按协议类型过滤的过滤器而闻名,可用于发送IPv6流量。此外,隧道可能被用于隐藏数据包的实际源地址。攻击者可以创建带有虚假IPv6源地址的数据包,然后使用其真实的IPv4地址作为源地址进行封装,该数据包将通过所有检测不良源地址的过滤器,直到隧道出口点,在那里它将被解封装并发送到最终接收者。由于解封装,接收者无法识别原始发送者。
为了使隧道值得信赖,应使用适当的加密手段,如IPsec或OpenVPN。同时,需要配置数据包过滤器来防止这些攻击。
2. 6to4隧道概述
6to4隧道结合了配置隧道和自动隧道的优点。内部IPv6地址包含隧道出口点的IPv4地址,但目的节点可能与隧道出口点不同。6to4使用特殊的单播前缀2002::/16,为每个全局路由的单播IPv4地址分配全局路由前缀2002:⟨IPv4地址⟩::/48。
需要注意的是,6to4不能使用RFC 1918中保留的私有IPv4地址(如10.0.0.0/8、172.16.0.0/12和192.168.0.0/16),也不能使用组播地址或回环地址作为嵌入的IPv4地址。由于嵌入的IPv4地址位于IPv6地址内部,需要将十进制的IPv4地址转换为十六进制前缀。在大多数Unix系统上,可以使用以下脚本将IPv4地址转换为关联的6to4前缀:
mk6to4
#! /bin/sh
echo "$1" | tr ’.’ ’ ’ \
| ( read a b c d;
printf "2002:%x:%x\n
订阅专栏 解锁全文
扫一扫
818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
