浅谈IPv6的入侵与防御

*本文原创作者：zhukaiang7，本文属于FreeBuf原创奖励计划，未经许可禁止转载

前言

最近的客户，从前年开始进行ipv4到ipv6的过渡，到目前为止，大部分设备处于双栈或者部分系统没有进行过渡更新。

因为毕竟是甲方，所以工作推进的很稳健，到交到我们手上的时候，我们只需要输出关于对ipv6的攻击与防御及优化方案。

伊始

说到ipv6，很多人可能都有一些了解，所以如果上来就ping目标域名的话，100%解析的是ipv4的地址。

如图所示，因为目标服务器客户已经在防火墙上设置了禁ping，所以这里我们只看解析的地址，很明显，这是ipv4地址。

那么我们如何解析为ipv6的地址，让它走ipv6的流量呢。

在linux下：

ping6 (域名或者ipv6地址)

不过如果pc请求端配置错误的情况下，可能会出现：

windows下当支持ipv6的时候如何解析ipv6呢？

ping -6 (ipv6地址)

配置

windows

DNS服务器设置为240c:6666。

简单的原则就是：跃点数越小，网络优先级越高。跃点数的理论赋值范围是 1 ~ 999，但跃点数低于10 ，可能会导致某些网络访问失败。

基本配置：

1.攻击端

硬件：阿里云IPv6主机一台

网络：IPv6地址（xxxx）

2.服务端

硬件：外网网站同配置的冗余主机

网络：IPv6地址（xxxx）

验证工具：IPv6攻击工具套件、AWVS漏洞，pocsuite。

ipv6现状：

IPv6相比IPv4虽然在协议安全性方面进行了改进，但传输数据报的基本机制没有发生改变，依然存在一些和IPv4相同的攻击，如针对应用层（HTTP）、传输层（TCP）的攻击，同样对IPv6网络构成较大威胁。由于IPv6协议发布较早，随着IPv6推广的逐步扩大、一些新型攻击方式也不断出现，如利用IPv6扩展报头、NDP协议以及ICMPv6的攻击，都是针对IPv6协议存在的各类缺陷。另外，IPv4向IPv6过渡长期共存也引发新的安全挑战，如双栈机制过滤不严、利用隧道机制绕过安全设备等等。

综上所述，在设计验证方案时，按验证的方向分为三类：IPv4和IPv6共有安全、IPv6特有安全、IPv4/v6过渡长期共存的安全。

主要评估客户网站安全设备对基于IPv6流量的传统网络及应用攻击的防护效果，验证选取一些典型攻击方式，如SQL注入、XSS、远程溢出等进行测试。

测试用例设计如下：

测试编号 A-01 测试项 SQL注入攻击 测试目的 验证网站WAF对IPv6流量SQL注入攻击的防护效果。 测试方法 在攻击端机器上使用AWVS的SQL注入插件对服务端主机IPv6地址进行扫描，模拟真实攻击。 预期结果 WAF识别并拦截 测试编号 A-02 测试项 XSS攻击 测试目的 验证网站WAF对IPv6流量XSS利用攻击的防护效果。 测试方法 在攻击端机器上使用AWVS的XSS插件对服务端主机IPv6地址进行扫描，模拟真实攻击。 预期结果 WAF识别并拦截 测试编号 A-03 测试项 Web应用远程代码执行攻击 测试目的 验证网站WAF对IPv6流量XSS利用攻击的防护效果。 测试方法 在攻击端机器上使用AWVS的远程代码执行插件对服务端主机IPv6地址进行扫描，模拟真实攻击。 预期结果 WAF识别并拦截

主要评估客户外网网站安全设备对利用IPv6协议漏洞发起攻击的防护效果。

利用IPv6协议漏洞的攻击，目前已知的IPv6攻击手段有NDP欺骗攻击、路由重定向攻击、ICMPv6协议攻击（Overlarge Ping等）、基于IPv6的SYN Flood攻击等，其中NDP中欺骗攻击、路由重定向攻击基于LAN的攻击，不属于本次验证范围，因此验证选取ICMPv6协议攻击、基于IPv6的SYN Flood攻击等进行测试。测试用例设计如下：

测试编号 B-01 测试项 IPv6协议CVE漏洞组合测试 测试目的 验证防火墙等安全设备对IPv6协议已知漏洞（CVE漏洞）的防护效果。 测试方法 在测试机上使用IPv6工具包中（CVE漏洞利用组合，含Overlarge Ping、CVE-2003-0429等），构造测试IPv6数据包，发送给服务端主机模拟CVE漏洞利用进行测试。 预期结果 防火墙等安全设备正常过滤 测试编号 B-02 测试项 基于IPv6的SYN Flood测试 测试目的 验证防火墙等安全设备对IPv6的SYN Flood之类DOS攻击防护效果。 测试方法 在测试机上使用thc IPv6工具包中thcsyn6，对服务端主机发起SYN Flood测试。 预期结果 防火墙等安全设备正常过滤

主要评估客户外网网站安全设备在支持双栈协议的网络环境下，对过渡机制下面临安全问题的防护效果。双栈机制允许访问路径沿途设备同时支持IPv4与IPv6数据包，如果攻击者控制一台IPv4设备，可以建立IPv6地址的隧道，使用两种协议协同作战，从而绕过防火墙或者IDS设备。

本次验证，假设攻击者已控制服务端主机，通过尝试建立IPv6隧道，测试对IDS设备的穿透效果。测试用例设计如下：

测试编号 C-01 测试项 IPv6内网穿透检测 测试目的 验证IDS设备对IPv6内网穿透行为的检测效果。 测试方法 1. 使用zerotier等渗透工具在被控服务端与攻击机之间建立IPv4的TCP隧道；2.服务端和攻击机两端均开启并配置IPv6地址，实现IPv6的直连；3.基于IPv6地址，执行command&control操作。 预期结果 IPS识别并报警

测试总结：

客户购买了大量的安全设备，最后只在2台设备上捕捉到了IPV6的攻击流量。感慨国内ipv6的安全发展，任重道远。

经过验证测试，发现IPv6网络的安全防护，存在以下问题：

（1）部分安全设备，实际对IPv6的支持不足。如部分安全设备无法查询出IPv6攻击日志，甚至存在IPv6网络连通性的问题。如通过某台IPS设备，Ping外网网站的IPv4和IPv6地址测试，网络连通性存在差异。

IPv4地址网络可达IPv6地址网络不可达。

2）安全设备对通过IPv6over4隧道实施的内网穿透检测能力不足。此类内网穿透，通常发生在防火墙内部，防火墙难以检测。通过建立IP6over4隧道，又使得攻击隐蔽，可以绕过IPS等安全设备

后记

ipv4转向ipv6的大潮流是不可替代的，就如5G一样，虽然现在因为各种各样的原因，推进的不是很快，但是总有一天，这个时代会来临，所以有兴趣的兄弟可以开始学习了。

在写方案时期，查阅很多学术论文，零几年的文章有很多，不得不感慨时光流逝，和前人的高瞻远瞩。

因涉及敏感信息，部分打码，文中工具及脚本暂不公开。

*本文原创作者：zhukaiang7，本文属于FreeBuf原创奖励计划，未经许可禁止转载