前言
最近,自去年以来,客户已从ipv4过渡到ipv6。到目前为止,大多数设备都在双栈上,或者某些系统尚未更新。
因为它毕竟是甲方,所以工作非常稳定。说到我们,我们只需要为ipv6导出攻击和防御以及优化解决方案。
开始
说到ipv6,很多人可能有一些了解,所以如果你ping目标域名,100%解析ipv4的地址。
Image.png
如图所示,由于目标服务器客户端已在防火墙上设置了禁止ping,这里我们只查看已解析的地址。显然,这是ipv4地址。
那么我们如何解决ipv6的地址并让它进入ipv6流量呢?
在linux下:
(1)ping6(域名或ipv6地址)
Image.png
但是,如果pc请求端配置不正确,可能会出现:
Image.png
如何在windows下支持ipv6时解析ipv6?
(2)ping -6(ipv6地址)
Image.png
组态
窗户
Image.png
DNS服务器设置为240c: 6666。
简单的原则是跳数越小,网络优先级越高。度量的理论分配范围是1到999,但低于10的跃点可能会导致某些网络访问失败。
2.基本配置:
(1)攻击方
硬件:阿里云IPv6主机
网络:IPv6地址(xxxx)
(2)服务器
硬件:外部网站上具有相同配置的冗余主机
网络:IPv6地址(xxxx)
验证工具:IPv6攻击工具套件,AWVS漏洞,pocsuite。
Ivv6状态:
虽然与IPv4相比,IPv6在协议安全性方面有所改进,但传输数据报的基本机制并未改变。仍有一些类似于IPv4的攻击,例如对应用层(HTTP)和传输层(TCP)的攻击。它还对IPv6网络构成了重大威胁。由于IPv6协议的早期发布,随着IPv6推广的逐步扩展和新型攻击方法的出现,例如使用IPv6扩展报头,NDP协议和ICMPv6攻击,IPv6的所有缺点协议。此外,IPv4到IPv6转换的长期共存也引发了新的安全挑战,例如缺乏对双栈机制的严格过滤,使用隧道机制绕过安全设备等等。总之,在设计验证方案时,根据验证方向将其分为三类:IPv4和IPv6共享安全性,IPv6特定安全性以及IPv4/v6转换的长期共存。
主要评估了客户网站安全设备对基于IPv6流量的传统网络和应用攻击的保护效果,并验证了一些典型的攻击方法的选择,如SQL注入,XSS和远程溢出。
测试用例设计如下:
它主要通过利用IPv6协议漏洞评估客户外部网站安全设备对攻击的保护效果。
IPv6协议漏洞。目前已知的IPv6攻击包括NDP欺骗攻击,路由重定向攻击,ICMPv6攻击(Overlarge Ping等)和基于IPv6的SYN Flood攻击。其中,NDP中的欺骗攻击和路由重定向。此验证中不包括基于LAN攻击的攻击。因此,通过测试ICMPv6攻击和基于IPv6的SYN泛洪攻击来执行测试。测试用例设计如下:
测试编号B-01测试项目IPv6协议CVE漏洞组合测试
测试的目的是验证防火墙等安全设备对已知IPv6协议漏洞(CVE漏洞)的保护效果。
它主要评估客户外部网络网站安全设备在支持双栈协议的网络环境中的安全性。双栈机制允许沿着访问路径的设备支持IPv4和IPv6分组。如果攻击者控制IPv4设备,它可以建立IPv6地址隧道并使用两个协议来协调操作以绕过防火墙或IDS设备。
此验证假定攻击者已通过尝试建立IPv6隧道来控制服务器主机并测试对IDS设备的渗透效应。测试用例设计如下:
3.测试总结:
客户购买了大量安全设备,最终仅在2台设备上捕获了IPV6攻击流量。感觉国内ipv6的安全发展,还有很长的路要走。
Image.png
Image.png
经过验证和测试,发现IPv6网络的安全保护存在以下问题:
(1)部分安全设备,对IPv6的实际支持不足。例如,某些安全设备无法查询IPv6攻击日志,甚至还存在IPv6网络连接问题。例如,通过IPS设备,Ping外部网站的IPv4和IPv6地址测试,网络连接是不同的。
Image.png
Image.png
IPv4地址网络可以到达IPv6地址网络。
(2)安全设备通过IPv6over4隧道的内网渗透检测能力不足。通常在防火墙内部的这种内联网渗透很难被发现。通过建立IP6over4隧道,可以隐藏攻击,并且可以绕过IPS等安全设备。后记
ipv4到ipv6的趋势是不可替代的,就像5G一样。虽然由于种种原因不是很快,但有一天,这个时代将到来,所以有兴趣的兄弟可以开始学习。它是。
在写作期间,我咨询了许多学术论文。在过去几年中有很多文章,我不得不感受到时间的流逝和前人的远见。
由于敏感信息,文本中的部分编码,工具和脚本未公开。