IPv6威胁与零日漏洞的分析研究

1IPv6威胁与零日漏洞的分析研究许丽娟雷渭侣(广东工业大学华立学院,计算机与艺术设计学部,广东,广州,511325)摘要：本文在简要介绍对网络安全威胁的计算机木马、计算机蠕虫、垃圾邮件、僵尸网络、网络监听等的基本概念的基础上，重点对IPv6的安全威胁、零日漏洞的产生原因及其防范措施进行分析研究。关键词：IPv6安全威胁；零日漏洞；网络安全威胁；垃圾邮件；僵尸网络；网络监听TheanalysisofIPv6ThreatsandZero-dayVulnerabilityXULi-juanLEIWei-lu(HualiCollege,GuangdongUniversityofTechnology,Guangzhou,511325)[Abstract]ThispapercoversabriefintroductiontonetworksecuritythreatstocomputerTrojanHorse,ComputerWorms,Spam,Botnets,NetworkMonitoring,etc.BasedonthebasicconceptoftheIPv6SecurityThreats,Zero-dayVulnerabilitycausesandpreventivemeasuresarethefocusofthisstudy.[Keywords]IPv6SecurityThreats;Zero-dayVulnerability;NetworkSecurityThreats;Spam;Botnets;NetworkMonitoring1.引言网络安全威胁是导致网络安全问题的根源和表现形式，也是网络安全的重要内容。这些安全威胁主要包括计算机木马、计算机蠕虫、垃圾邮件、僵尸网络、网络监听，以及来自IPv6的威胁和零日漏洞等。在这里优先简单介绍计算机木马、计算机蠕虫、垃圾邮件、僵尸网络的基本概念，然后重点讨论IPv6威胁和零日漏洞。1.1计算机木马计算机木马，简称木马，名称源于古希腊神话的特洛伊木马论。木马在实质上只是一个网络客户服务程序，是一种基于远程控制的黑客工具，一般有如下特征：（1）不需要服务端用户的允许就能获得系统的使用；（2）程序体积十分细小，执行时不会占太多资源；（3）执行时很难停止它的活动，执行时不会在系统中显示出来；（4）一次启动后就会自动登录在系统的启动区，在每次系统的启动中都能自动运行；（5）一次执行后会自动更换文件名，使之难以发现；（6）一次执行后会自动复制到其它文件夹中；（7）实现服务端用户无法显示执行的动作。木马通常由服务端和客户端组成。如图1所示，描述了木马对服务端的侵袭过程。木马发展到今天，已经无所不用及其，一旦被木马控制，你的计算机就毫无秘密可言。随着网络安全技术的发展，木马技术也是呈现不断改进的趋势。2客户端服务器客户端服务器客户端服务器植入连续请求响应远程控制图1木马对服务端的侵袭过程安装、隐蔽打开端口监听监听、文件操作系统操纵1.2计算机蠕虫计算机蠕虫，简称蠕虫，是一种通过网络恶意传播的代码。它具有病毒的一些特点：如传播性、稳定性和破坏性等，同时具有自己的一些特征：例如，不利用文件寄生，可主动传播等。在产生的破坏性上，蠕虫也不是普通病毒所能比拟的，网络的发展使蠕虫可以在很短的时间内蔓延整个网络，传播速度往往比传统病毒迅速的多。从蠕虫的组成原理看，它包括三个模块，分别是扫描模块、感染模块和执行模块，如图2所示。扫描模块感染模块破坏系统执行功能模块其他功能代理攻击开启后门按设计目标执行功能选取存在漏洞的主机发动新一轮的扫描图2计算机蠕虫组成在蠕虫传播的过程中，不同模块负责完成各自模块相对应的环节的功能。（1）扫描：由蠕虫的扫描模块负责探测目标主机。扫描模块利用对方主机的漏洞邮件或即时传播方式得到一个可传播的对象。（2）感染：感染模块按照上述步骤（1）中找到的对象，并感染此计算机。（3）功能执行：感染后执行蠕虫设计者预定义的功能。例如，破坏系统、开启后门、将此计算机作为代理进一步攻击等。之后，蠕虫再次利用扫描模块进行更大范围的传播。扫描和感染模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫的关键，脱离了蠕虫的传播，它就成为一个普通的病毒或木马等恶意的代码了。蠕虫的传播速度是指数级的，一旦一台计算机感染了蠕虫之后，它就会按照一定的策略传播其自身。如果是向相邻计算机进行传播，那么网络中大量的主机很快就会被蠕虫感染。而这些已经被感染的主机往往会不断的寻找新的感染目标，进而达到大规模消耗网络资源的目的。31.3垃圾邮件（1）垃圾邮件的定义中国互联网协会对垃圾邮件的定义是：①收件事先没有提出要求或者同意接受的广告、电子刊物、各种形式的宣传物品等宣传性的邮件；②收件人无法拒收的电子邮件；③隐藏发件人身份、地址、标题等信息的电子邮件；④含有虚假的信息源、发件人、路由等信息的电子邮件，具体表现为：商业广告、政治言论、蠕虫病毒邮件和恶意邮件。（2）垃圾邮件产生的原因最早利用互联网赚钱的，既不是网上零售，也不是网上拍卖和网络广告，或是什么著名的网络公司，而是两名律师。1994年4月12日，美国亚利桑那州两位从事移民签证咨询服务的律师劳伦斯.坎特(LaurenceCanter)和玛撒.西格尔(MarthaSiegel)把一封“绿卡抽奖”的广告信发到他们可以发现的每个新闻组，这在当时引起了轩然大波，他们的“邮件炸弹”让许多服务商的服务处于瘫痪状态。此后，诸如此类的邮件接踵在互联网上出现，成为垃圾邮件。（3）导致垃圾邮件源源不断地产生的因素①技术缺陷。现有的邮件传输协议SMTP（SimpleMailTransferProtocol），由1982年定义的RFC821和2001年提出的RFC2821组成。提出RFC821时，由于互联网的用户还很少，没有考虑到会有人滥用电子邮件服务的问题。而SMTP本身是简化的邮件服务协议，缺乏必要的身份认证，这是造成垃圾邮件泛滥的原因之一。②缺乏相关的法律约束。目前仅有几个国家，例如，美国、澳大利亚等通过立法来制止垃圾邮件，执行效果尚不理想。而大多数国家还未建立相关法律，发送垃圾邮件的行为目前不会受到任何的法律追究。③利益诱惑。巨大的商业利益更刺激了垃圾邮件的泛滥，越来越多的企业及个人选择垃圾邮件来获得高回报率。1.4僵尸网络（1）什么叫僵尸网络。接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客的指令展开拒绝服务DoS(DenialofService)攻击或发送垃圾信息，而用户却毫不知情，就仿佛没有自主意识的僵尸一样。这样的计算机达到一定的数量后，就形成一个庞大的网络，因此被称为“僵尸网络”。（2）僵尸网络的危害。僵尸网络(恶意的Botnet)是当前流行的网络仿冒、拒绝攻击、发送垃圾邮件的平台，它的危害主要有以下几个方面：①分布式拒绝服务攻击DDoS(DistributedDenialofService)。Botnet进行的DDoS攻击主要针对大型网站，或受雇于某一机构，对商业竟争对手实施攻击。②垃圾邮件的危害。Bot攻陷主机后，收集主机邮件地址列表，并向邮件列表中的地址发送欺骗邮件或带有病毒连接的垃圾邮件，且地址分散，所以很难检测，造成巨大的危害。③扩散恶意软件攻击。Bot被植入受害主机后，可以利用网上指定的位置下载病毒或其他恶意软件，4例如，后门软件和木马软件等，造成进一步感染，同时Bot可以扫描受害主机所在的局域网，发现漏洞并上传本身和其他恶意软件。④窃取敏感信息。被Bot控制的主机完全受控于攻击者，攻击者可以通过上传一些间谍软件来收集和记录受害者主机上的敏感信息，例如，银行密码、信用卡账号密码等。除了上述危害外，僵尸网络还被用来安装广告条、攻击IRC聊天网络、在线投票、游戏和存储非法文件等。2.IPv6的安全威胁2.1概述IPv4起源于20世纪80年代，由于它使用简单，并且在Unix系统中内置了IPv4协议，使得互联网在很短的时间内风靡整个世界，在它获得巨大成功的同时，没有考虑到缺陷也凸现出来了。首先，随着网络的繁荣发展，加上最初设计地址分类方法的不合理，造成了今天IP地址极度缺乏的情况。其次，由于起初主要面向研究和开发机构，对安全性的考虑不够充分，而实现商业化网络的今天，不安全的通信信道带来的网络攻击越来越多，其影响力也越来越大。在这种情况下，因特网工程任务组IETF(InternetEngineeringTaskForce)推出了IPv6协议，并将它作为下一代网络的IP协议，自然是应运而生。IPv6采用128位地址长度，其结构由8个4位16进制分组，以冒号“：”分隔构成。几乎可以不受限制地提供IP地址，整个地球每平方米面积上可分配1000多个地址。在IPv6的设计过程中除了考虑一劳永逸地解决地址短缺的问题外，还考虑了在IPv4中解决不好的其它问题。2.1.1IPv4的基本安全缺陷（1）由于最初的IPv4位地址分配的不合理性，导致IP地址分布十分零散。這就使得伪造源IP地址进行网络攻击成为可能，攻击者可以任意伪造源IP地址对目标地址进行攻击。（2）由于网络中存在着最大传输单元MTU（MaximumTransmissionUnit）的限制，因此传输大于MTU的资料包要进行分片，但因此也带来安全上的漏洞。攻击者只需两个用户资料报协议UDP(UserDatagramProrocol)分片，即可造成一些作业系统的崩溃。（3）假冒IP地址。也就是攻击者利用被攻击者的IP地址作为特殊数据包的源地址，通过发送大量数据包占用被攻击者的资源，造成被攻击者的不正常工作。其中DoS和DDoS就是这种攻击的代表。（4）初始的IP层的设置并没把安全性考虑进去，它并不能防止网络层的监听和数据篡改。2.1.2IPv6的主要优势IPv6的主要优势考虑以下几个方面：（1）扩大地址空间，提高网络整体吞吐量；（2）改善服务质量，安全性有更好的保证；（3）支持即插即用和移动性，更好地实现多插功能。因此，IPv6代替IPv4已经成为网络发展的必然趋势，而在提出IPv6以扩充IPv4地址的同时，提高安全性能也应被考虑进来。2.2IPv6的安全问题5IPv6本身并不是十全十美的，它是在IPv4的结构基础上改进而成的，同IPv4有着密切的联系，并且在IPv6中仍保留着IPv4的诸多结构特点，例如选项分片和生存时间TTL(TimeToLiue)等。这些选项都曾经被黑客用来攻击IPv4节点，而且，到目前为止，IPv6中并没有提出新的安全策略，所以使用的安全策略都是在IPv4下已经存在的，因此它无法从根本上解决安全性能的问题。此外，对用户来说，加密解密消耗的CPU时间会使用户的服务响应速度变慢，可能会产生IPv6反而不如IPv4。以下是IPv6的安全具体问题。[1]2.2.1IPv6与防火墙的冲突在IPv6中TCP/UDP报头的位置是变化的，即在IP报头和TCP/UDP报头之间还会存在其它的扩展报头，例如AH报头、SP报头、路由选项报头等。防火墙必须逐个查找下一个报头，直到找到TCP/UDP报头为止，才能进行过滤，这对防火墙的处理性能有很大的影响。在带宽很宽的情况下，防火墙的处理能力将成为整个网络的瓶颈。如果使用了IPv6的加密选项后，数据是加密传输的，然而IPSec的加密功能是提供端到端的保护，并且加密算法的选择是任意的，密钥也是不公开的。这些对于防火墙来说，根本无法解密，因此，防火墙就无从知道消息所使用的TCP/UDP端口号。如果防火墙把所有的加密包都放行的话，其实也就是为黑客穿透防火墙提供了一条通路：自然防火墙也就不能禁止外部用户访问本不应该对外提供的服务了。IPv6取消了网络地址转换NAT（NetworkAddressTranslation）机制，虽然NAT有破坏点对点通信的缺陷，但它有一个附加的增强安全性能的潜在措施，可以把内部地址隐藏起来，外部看来的只是一个段地址，而不知道具体主机对应哪个地址。IPv6取消了NAT的同时也取消了这个隐藏内部地址的措施，只能在边界路由器上进行简单的过滤机制