<button id="hu96j"><acronym id="hu96j"></acronym></button><dd id="hu96j"><pre id="hu96j"></pre></dd>
        <video id="hu96j"><font id="hu96j"><th id="hu96j"></th></font></video>
          <nav id="hu96j"></nav>
        <tbody id="hu96j"><center id="hu96j"><video id="hu96j"></video></center></tbody>

      1. <dd id="hu96j"><track id="hu96j"></track></dd>

        <dd id="hu96j"></dd>
        <rp id="hu96j"><acronym id="hu96j"></acronym></rp>
      2. <button id="hu96j"></button>

        • 保存到桌面加入收藏設為首頁
        網絡安全

        IPv6可以解決的網絡安全問題

        時間:2018-05-03 10:27:09   作者:tanym   來源:IDCSPED   閱讀:127166   評論:0
        內容摘要:IPv6基于它的極大IP地址空間以及對應的協議棧安全設計,可以從根本上解決IPv4網絡所面臨的掃描泛濫、攻擊不可追查、易于遭受DDoS攻擊、IP Spoofing攻擊無法從根本上杜絕等頑疾。IPv6可以解決的網絡層攻擊問題如下
        IPv6可以解決的網絡安全問題

          IPv6基于它的極大IP地址空間以及對應的協議棧安全設計,可以從根本上解決IPv4網絡所面臨的掃描泛濫、攻擊不可追查、易于遭受DDoS攻擊、IP Spoofing攻擊無法從根本上杜絕等頑疾。IPv6可以解決的網絡層攻擊問題如下:

          1)實現IP地址管理與源地址檢查,解決IPv4下地址不可靠的問題

          由于IPv6地址構造是可會聚的(aggregateable)、層次化的地址結構,因此IPv6的路由策略是在協議定義中固化的,不再需要逐條在核心路由器上配置,消除了權威機構把控核心路由對國家安全造成的風險。

          IPv6下地址長度很長,不可能再通過人工分配IP,而必須基于自動化的IP地址管理技術。比如:IPv6提供CGA等將地址與用戶證書綁定的地址驗證機制,可以避免IP地址偽造帶來的安全問題。

          總之,由于IPv6協議下地址的分配使用嚴格受控、難以進行地址偽造、易于進行點對點溯源,IPv6可以解決IPv4下基于IP地址偽造的各種攻擊,攻擊活動更易被追查。

         2)消除IPv4下針對復雜IP報文頭的攻擊

          IPv6數據包頭由基本頭不同類型的擴展報頭組成,基本頭和擴展頭功能明確,固定長度,不允許分片,解決了IPv4下針對包頭的碎片攻擊。

          3)防范基于IPv4廣播機制的網絡放大攻擊(Broadcast Amplication Attacks)

          對于類似Smurf這樣的攻擊類型,在RFC2463中已經有禁止機制阻止此類攻擊的發生。ICMPv6取消了廣播,從機制上阻止IPv4下的放大攻擊。

          4)防止已知的碎片攻擊

          IPv6對于碎片機制具有嚴格的限制。比如:IPv6認為MTU小于1280字節的數據包是非法的,處理時會丟棄MTU小于1280字節的數據包(除非它是最后一個包),這有助于防止碎片攻擊。

          IPv6對IPv4下的分片ID的生成機制進行了安全性約束,使得分片ID不能被攻擊者預測,從而使得攻擊者通過預測Fragment ID,發送偽造的碎片報文以發動攻擊的方法在IPv6下不再有效。

        5)可有效抵御網絡蠕蟲攻擊

          基于網絡掃描的傳播方式在IPv4環境下普遍而且非常迅速,典型的蠕蟲算法可以在30分鐘內掃描整個IPv4網絡。但同樣算法要完成對2的64次方(IPv6子網地址空間)IPv6地址的掃描需要花費數億年。病毒及網絡蠕蟲在IPv6的網絡中傳播將會變得很困難。

          6)對DNS域名服務等網絡關鍵基礎設施的安全性提供擴展

          基于IPv6的DNS系統可作為PKI系統的基礎設施,有助于PKI架構在IP網絡中的部署,可抵御網上的身份偽裝與偷竊。

          7)IPsec提供網絡層安全通信保障機制

          根據RFC4301中的定義,IPsec是IPv6協議中的一個可選部分。IPsec在IPv6中的用途,主要是保證IPsec協議棧自身的安全性,使得IPsec協議可以為諸如OSPFv3、RIPng提供無縫的加密和認證,提高整個IPv6網絡抗攻擊的能力。

          當IPv6的用戶使用IPsec協議為用戶應用提供安全服務時,用戶的使用模式與在IPv4下使用IPsec完全相同。

          8)有效防御基于IP的"中間人"等基于IP地址欺騙的攻擊方式

          IPv6有較為健全的認證機制,如果充分利用,有能力在第一跳阻止惡意設備。如果啟用IPv6內增強的端到端鑒別機制,可以最大限度預防中間人攻擊;否則中間人攻擊依然有效。

          9)在IPv6下提供NPT代替IPv4下的NAT,避免基于NAT后的不可溯源

          對于需要在IPv6下隱藏內網地址的用戶,可以使用IPv6 Network Prefix Translation協議(RFC6296)隱藏內部IPv6地址。

          IPv6 NPT技術限制了原本在IPv4 NAT中1:N的地址翻譯,只允許1:1的地址隱藏。NPT協議可以保證外部非授權用戶無法直接對真實IPv6地址建立連接,同時避免IPv4下傳統NAT阻斷網絡端到端的連通性、使IP溯源困難而產生的安全隱患。


        IDCsped 提供最新的IT互聯網資訊,本著分享、傳播的宗旨,我們希望能幫助更多人了解需要的信息!

        部分文章轉載自互聯網、部分是IDCsped原創文章,如果轉載,請注明出處:www.idcsped.com !
        微信號:13430280788  歡迎加微信交流!

        標簽:IPV6安全問題  IPv6  
        相關評論

        銷售電話:13430280788

        Copyright © 2012-2017 | www.idcsped.com 版權所有

          粵公網安備 44010502001126號  粵ICP備12006439號-1
        Powered by OTCMS V3.61
        日韩欧美永久中文字幕视频
          <button id="hu96j"><acronym id="hu96j"></acronym></button><dd id="hu96j"><pre id="hu96j"></pre></dd>
            <video id="hu96j"><font id="hu96j"><th id="hu96j"></th></font></video>
              <nav id="hu96j"></nav>
            <tbody id="hu96j"><center id="hu96j"><video id="hu96j"></video></center></tbody>

          1. <dd id="hu96j"><track id="hu96j"></track></dd>

            <dd id="hu96j"></dd>
            <rp id="hu96j"><acronym id="hu96j"></acronym></rp>
          2. <button id="hu96j"></button>