elinkcloud 发表于 2021-4-1 17:01:23

IPv6相对IPv4更加安全可靠-亿联云

    ​    ​从正确的角度来看,公平地认为IPv6不一定比IPv4更安全。尽管已实施了很多安全措施,但仍然是微不足道的,而且不是全新的。但是,有一些考虑无疑会提高IPng可靠性水平。

http://i0.hdslb.com/bfs/article/0e47265aff11468799ef4260d95a5567a535e34c.jpg
    ​    ​1、强制使用IPSec:
    ​    ​IPv4还提供IPSec支持。但是,在IPv4中对IPSec的支持是可选的。相反,RFC4301强制在IPv6中使用。 IPSec由一组旨在提供数据通信安全性的加密协议组成。 IPSec包含一些协议,这些协议是其套件的一部分:AH(身份验证头)和ESP(封装安全有效载荷)。第一个提供身份验证和数据完整性,第二个提供这些功能,此外,还提供保密性。在IPv6中,AH标头和ESP标头都定义为扩展标头。IPSec的基本概念是“安全关联”(SA)。 SA由某些参数唯一标识,例如SPI(安全参数索引– AH / ESP标头中的字段),安全协议和目标IP地址。 SA定义了连接的安全服务类型,通常包含用于数据加密的密钥以及要使用的加密算法。 IKE(Internet密钥交换)是用于协商建立新SA所需的参数的过程。以下是有关AH和ESP的一些详细信息:
    ​    ​2、较大的寻址空间:
    ​    ​如上所述,在IPv4中,侦察攻击和端口扫描是相对简单的任务。当前Internet协议中最常见的网段属于C类,分配了8位用于寻址。当前,在这些网段上执行此类攻击所需的时间不超过几分钟。分配64位用于寻址(如在IPv6子网中所期望的)意味着对2 ^ 64(18446744073709551616)主机执行网络扫描。这实际上是不可能的。
    ​    ​3、邻居发现:
    ​    ​ND(邻居发现)是用于路由器和前缀发现的机制。这是一个网络层协议,例如IPv4等效的ARP和RARP。 ND与地址自动配置紧密配合,地址自动配置是IPv6节点用于获取配置信息的机制。 ND和地址自动配置都使IPv6比其前身更加安全。
    ​    ​4、DDoS攻击:
    ​    ​在IPv6中,我们找不到广播地址。这意味着所有产生的放大攻击(如蓝精灵)都将被阻止。 IPv6规范禁止响应到IPv6组播目标地址,链路层组播地址或链路层广播地址的消息而生成ICMPv6数据包。总的来说,通过采用新标准,我们应该在这方面有所改进。
    ​    ​5、路由攻击:
    ​    ​路由攻击是指尝试重定向网络内流量的活动。当前,路由协议使用对等方之间的加密认证(带有预共享密钥的MD5)进行保护。 IPng不会更改此保护机制。 BGP已更新,可携带IPv6路由信息。
    ​    ​6、恶意软件:
    ​    ​IPv6中没有特定的实现方式,该实现方式允许将经典方法更改为恶意软件。但是,由于地址空间大,使用Internet查找易受攻击的主机的蠕虫可能会发现传播困难。
    ​    ​7、嗅探:
    ​    ​这是经典攻击,涉及捕获跨网络传输的数据。 IPv6提供了用于通过IPSec防止此类攻击的技术,但是它并未简化密钥管理的问题。因此,该技术仍可以继续实践。
​      8、L7攻击:
    ​    ​在这里,我们指的是在OSI模型的第7层执行的所有那些类型的攻击。同样考虑到IPSec在全球范围内的采用,这种类型的攻击将几乎保持不变。不能通过采用IPv6来阻止缓冲区溢出,Web应用程序漏洞等。还有另一个考虑因素:如果将IPSec作为端点之间通信的标准实施,则IDS / IPS,防火墙和防病毒等所有设备将只能看到加密的流量,从而加剧了这种攻击。
      9、中间人:
      IPv6遭受的安全风险与我们在影响IPSec协议套件的中间人攻击中可能遇到的安全风险相同。
      10、洪水攻击:
      泛洪攻击是一种拒绝服务(DoS)攻击,攻击者将大量SYN请求发送到目标系统,以淹没服务器并关闭网络/使其对实际流量无响应。简而言之,这就是听起来的样子。洪泛攻击的核心原理保持不变。
了解更多知识,欢迎访问http://www.elinkcloud.cn/article/20210315162042.html

恋网商城 发表于 2021-4-1 23:23:10

很不错的DOS
页: [1]
查看完整版本: IPv6相对IPv4更加安全可靠-亿联云