|
|
楼主 |
发表于 2005-4-28 00:52:08
|
显示全部楼层
QUOTE (jk0wg @ Apr 27 2005, 08:57 PM)
QUOTE (cloudbaby @ Apr 27 2005, 03:16 PM)
你说的也不全对啊!目前是IPV4的时代在IPV6 的环境下是基本上不存在这样的DDOS攻击的!对方无法伪装原地址,无法发送为经过审核的半连接数据包
IPV6要看网络管理员是否配置类似RFC2827的网络过滤器来减少IPv6的地址假冒,而且网络管理员应该向自己的ISP也提出相同的要求,促使他们也配置同样的的网络过滤器。如果ISP不对自己的客户的网络进行总结和过滤,照样可以任意做IPv6的地址假冒,就象在IPv4的时候?样.这样以来只能是较少IPV6地址的假冒.. 但并不能完全避免.. 我们还不知道IPV6时代的DDOS会发展到什么样的程度.. 所以现在讨论为时过早.. 俗话说道高一尺魔高一丈...
根据楼上兄台所说的关于IPV6下的DDOS问题我认为是以目前你所说的DDOS的所有技术都不能破坏IPV6网络,其原因如下:在IPV6中提供了若干重要的安全功能。IPV6规范规定了认证标头(authentication header)和封装安全净荷ESP(Encapsulation Securitypayload),认证功能保证接受方能正确无误地确认IP分组源地址,并且其内容在传输过程中未被篡改的机制;封装安全净荷功能则保证只有合法受信任才能读懂IP分组的内容.这两个功能本来是未IPV6设计的,未其检测其效能及使用性,在IPV4中也能使用;(正如我在上面所说了在IPv4下也是可以防护DDOS的放篡改和消耗带宽等攻击的但是着眼于这样情况下IPV4中所投入的人力物资过大所以这些技术都将在IPV6中启用)安全组合(Security association)认证与封装安全净荷都要利用安全组合.它对收.发,双方使用的密钥和加密算法、对密钥和组合整体的时间限制以及受保护数据的保密级作出规定。接收方仅当拥有与到达的IP分组相符的安全组合时,才能对这些IP分组认证和解密。认证或加密的IPV6分组都具有被称作“安全参数索引SPI(Security parameter index)”的标识域。当利用单播“地址向特定的受信者发送分组时,受信者仅用选定的spi:实际上ISPI真是安全组合的参数之一,发信方为确定安全作息应准护通信对象(即受信者)上在使用的spi。当利用组播地址向多个受信者组成的组播组发送IP分组时,spi真对所有的成员都是相同的-各个成员应依据组地址和sPI指定密钥、算法及其他参数。通常sPI由密钥管理协议确定.认证头标 认证头标(AH)的头标类型代码是51,它通常嵌入在IPV6头标和净荷之间。例如被认证的TcP订组由IPV6头标、认证头标和TCP分组本身组成。除此之外,还可能在AH之前插入寻略头标或在Au与净荷之间插入信宿选项头标(参阅图) IPV6的所有主机必须支持AH,加上AH后并未改变TCP.UDP、ICMP等协议的性能。AH的作用只是保证数据的合法性.网络层抛弃认证失败的分组.并通知这些协议。 图中示出认证头标的格式.它由96比特固定长度域和32比特整数倍的可变长厦域构成.固定长度域包括:下“个头标代码,以32比特为单位的AH净荷长度,16比特连。组成的保留域,32比特的标识安全组合的spi,以及32比特的序列号。紧接其后的是认证数据(authentication data)。下面对各域进行说明:图片显示!(请大家原谅因为没有图片发表权限所以不能上传给大家看IPv6的格式)下?头标:8比特,指示在认证头标之后的下一有效载荷的类型。净荷长度:8比特,认证头标的总长度(以32比特为单位)减2.保留域:16比特,用于将来使用,该域的值必须被清0.安全参数索引:任意的32比特数值,与信宿IP地址及安全协议相结合,能唯一确定该报文的安全组合.但是:数值0保留用于特别用途;数值1-255被LANA保留将来使用. 序列号:32比特,单调递增无符号计数值。用于防止重发攻击(anti-replay attack)。 认证数据:长度可变。包含有关该Ip分组的完整性检查值ICV(integrity check value)。该域的长度必须是32比特的整数倍,可以包含填充域。AH头标的总长度必须是64比特整数倍.任何实现都必须支持这种填充。 所谓认证数据是指利用商定的保密信息对净荷数据、IPv6头标。扩展头标的许多域和安全组合计算校验和(checksum)的结果认证头标长度取决于计算校验和所选用的算法,接收方利用IP分组的内容和spi指示的保密信息计算校验和,将计算结果与存放在分组中的认正数据进行比较。如果两者相同,就能确认共享保密信息的通信对象是合法的,并且IP分组在传输中未被篡改。认证头标应提供充分的功能,防止当前INTERNET上不时发生的伪造地址的攻击,此外还应保护用户免受黑客的各种拒绝服务攻击,实现安全认证可以采取传输模式或者时隧道模式.图片显示!(请大家原谅因为没有图片发表权限所以不能上传给大家看IPv6的数据包头文件)以上通过了解IPV6的基础知识大家应该明白在IPV6环境下模式源地址和目标地址基本上时不可能的所以这点上来看是安全的放心的,如果大家想了解新的知识可以谁时在发EMAIL或者QQ找我(当然我会针对提问人的问题选择性的回答望请一些初级成员谅解,因为没有一定的基础知识是无法掌握IPV6的核心技术的)在这里我推荐大家去看一本书:人民邮电出版社的李津生主编在这里大家可能会找到一些相关的答案!有什么不明白的问题请EMAIL:ex1212@eyou.comQQ:9213831加入时请详细说明谢谢合作(不在时可留言) |
|
|Archiver|手机版|小黑屋|软路由
( 渝ICP备15001194号-1|
渝公网安备 50011602500124号 )
IP卡
狗仔卡
发表于 2005-4-27 10:01:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2005-4-27 10:10:18
