57、网络安全与数字签名技术解析

网络安全与数字签名技术解析

1. IPv6 邻居发现协议安全漏洞

在网络安全领域，IPv6 邻居发现协议（NDP）存在诸多安全漏洞，攻击者可利用这些漏洞发起多种攻击。

1.1 重放攻击

重放攻击是指攻击者捕获之前的邻居或路由器发现消息，之后再次发送该消息以获取网络访问权限。攻击者可能会捕获 NDP 消息并在稍后重新发送，甚至修改消息内容。当第三方捕获传输中的命令并在稍后重放时，就会发生重放攻击。通过捕获正确的消息，入侵者可能能够访问安全计算机或执行通常加密且不可读的命令，而且往往无需解密命令即可使用。网络用户可以运行嗅探程序来捕获网络上传输的所有数据包。安全通信必须具备保密性、完整性和认证性三个属性。

1.2 DoS 攻击

DoS 攻击旨在使组织的网络服务或资源对合法用户不可用。攻击者可利用 IPv6 的漏洞对 IPv6 网络发起 DoS 攻击。任何故意切断网站或网络与预期用户连接的行为都可被视为 DoS 攻击。此类攻击已成功针对主要在线业务展开，包括 Visa、MasterCard、Twitter 和 WordPress 等。常见的利用 NDP 漏洞的 DoS 攻击如下：
- 重复地址检测（DAD）攻击 ：节点生成接口网络地址时，先向“所有路由器”多播地址（FF02::2）发送 RS 消息以找到路由器并获取网络前缀值。生成临时地址后，使用 DAD 检查地址的唯一性。攻击者会在节点向多播组（FF02::16）发送 NS 数据包后，虚假地回复邻居通告数据包，告知新节点该地址已被使用。新节点会生成另一个地址并重复 DAD 过程，攻击者再次虚假回复，最终新节点会放弃初始化其接口。