IPv6扩展报头:是好是坏?
IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。这种强度的过滤并不太好,这不仅阻碍了IPv6协议的后续发展,也影响了其基本功能的使用,诸如IPsec,甚或IPv6分片。
虽然从用户角度来看这也是不可取的,不过这样的过滤也确实是降低安全隐患和操作影响的实用之法,包括普通网络设备和设置。为什么会这样?有安全和操作层面的考虑,另有一些因素解释了为什么运营商在IPv6包含有扩展报头丢包时依旧能理直气壮。
IPv6扩展报头带来的`安全影响
IPv6扩展报头的安全影响概括如下:
· 逃避安全控制
· 由于实施错误的拒绝服务
· 由于处理需求产生的拒绝服务
· 每个扩展报头特有的问题
IPv6扩展报头也有操作层面的影响,不过还好是通过当下的实施可以克服的困难。
除了一些产品无法恰当处理IPv6扩展报头问题,安全产品本身的缺陷会允许逃避安全控制。处理这些扩展报头相对复杂,也会导致实施错误,从而引发拒绝服务(DoS)攻击。
此外,一些路由器部署只能处理慢路径上带有扩展报头的数据包,这样一来,带有扩展报头的IPv6数据包也可能引起处理需求带来的DoS攻击。最后,每个IPv6扩展报头本身有自己的安全问题,例如,分段报头能够引起资源耗尽式攻击,同时,一些路由报头类型(如已弃用的0型)能够引发放大式攻击。
IPv6扩展报头操作层面的影响
IPv6扩展报头也有操作方面的影响,一些常见的丢包原因如下:
· 强制执行基础设施访问控制列表(ACL)
· DDoS管理以及用户的过滤需求
· 可能无法执行等价路径(ECMP)路由以及基于散列的负载分享
· 包转发引擎的限制
基础设施ACL是为了滤掉一些为基础设施认定为不需要的数据包,这些数据包于操作无益的,且能够被用于实施对路由控制平台的攻击。用户DDoS保护过滤从本质上来讲与之类似,第四层ACL通常需要尽可能部署在网络边缘,其目的是为了保护用户边缘。
在ECMP负载分享情况下,路由器需要制定相关策略,确定每个输出包使用的链接。大多数转发引擎通过计算一个简单的哈希函数来实现,计算需要使用IPv6源和目标地址以及一些四层的信息,像是源和目标传输协议端口号。然而,使用扩展报头会组织转发设备查出传输协议端口号。
最后,我们注意到绝大多数现代路由器使用专用硬件来实施,已经在其内部结构中决定如何转发数据包。这样的实施只会将有限的数据包考虑在内。因此,当一台现代路由上的硬件转发引擎由于关键信息与前述专有实施限定不匹配而无法做出转发决定时,路由器则通常会丢弃数据包。
-
网络施工选材思路
大中型网络IPC如果出现摄像头延迟,图像时常掉线,各几天就出现问题等一系列有关网络视频信号达不到的IPC的问题。有可能是线材的问题,那么选材的时候该注意什么呢?下面是YJBYS小编收集的网络施工选材思路相关知识,希望对你有帮助!首先施工选材方面我们要使用国标的网...
-
怎么知道网中IP是否占用
如何知道网中IP是否占用?下面是由本站小编为大家准备的怎么知道网中IP是否占用,喜欢的可以收藏一下!了解更多详情资讯,请关注应届毕业生考试网!查看网中IP是否占用方法一:原始ping法第一个方法比较简单,而且受环境限制比较大。众所周知在没有安装防火墙和设置过滤规则...
-
详解双路由器的设置方法
着无线网络的普及,无线路由器也逐渐进入我们的生活中;但如果你购买了无线路由器,而且还要同时使用以前的有线路由器或你的宽带本身就是从邻居家路由器中接入的(即同一局域网中使用两台以上的路由器),那如何配置无线路由器,这成了一个重要的问题。下面我们就来聊聊...
-
无线网络的综合布线基础知识
导语:随着网络的广泛应用,人们需要根据不同的要求选择不同的网络方案,但传统的有线网络由于受设计和环境条件的限制,在组建和维护方面存在着一系列的问题,特别是当涉及网络移动和重新布局时,发展一种可行的无线通信网络技术成为网络发展的目标。下面就由小编为大家介...