資源描述:
《淺論ipv6 網(wǎng)絡安全性網(wǎng)絡畢業(yè)論文》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在工程資料-天天文庫����。
1、淺論IPv6 網(wǎng)絡安全性網(wǎng)絡畢業(yè)論文【關鍵詞】:IPSec��、網(wǎng)絡安全機制���、封裝安全有效載荷 【論文摘要】:本文分析了目前網(wǎng)絡上存在的一些安全問題�����,以及IPv4在這些問題面前的脆弱性���;闡述了IPv6為解決網(wǎng)絡安全問題而采用的機制��,IPv6當前無法克服主要是竊聽��、應用層攻擊��、非法設備���、Man-In-Middle等?���! Pv6是下一代Inter的網(wǎng)絡層協(xié)議,目前世界上許多正在積極部署向IPv6過渡����。IPv6實行的根本原因在于目前IPv4協(xié)議的局限性,這些局限性致使IPv4不能滿足各界的長期需要���。IPv6能有力克服這些局限性�。此外���,IPv6能在最通用的高性能網(wǎng)絡
2、上很好地運行,并且不會出現(xiàn)在低帶寬系統(tǒng)中容量顯著降低的情況���?! ?.目前網(wǎng)絡上存在的安全問題 Inter充滿著惡意的攻擊者����,開放的系統(tǒng)時時刻刻暴露在攻擊之下,封閉的系統(tǒng)也不是絕對安全的���。通常���,IP受到的幾種攻擊為: 報文竊取:IP報文在被發(fā)送到一個特定的目的結(jié)點的過程中能被其他結(jié)點讀取到���,因而可能被竊取有效載荷����?! P欺騙:IP地址很容易被欺騙用以攻擊那些基于發(fā)送者地址進行鑒別的服務器,并且提供錯誤信息來破壞合理的網(wǎng)絡組織���?��! 卧欤赫麄€報文被偽造成看似合法的來自通信雙方之一的報文�,在現(xiàn)有的信道中插入錯誤數(shù)據(jù)���?����! ≈袛嗪途芙^服務:這種攻擊通過停止��、
3��、過載或者簡單的破壞來終止正常運行的服務��?����! Pv4網(wǎng)絡無力應對這些隨時可能出現(xiàn)的網(wǎng)絡攻擊���。Inter要取得更多的成功需要采用一些好的標準的安全機制,用這些安全機制來保證重要數(shù)據(jù)在Inter上傳輸?shù)陌踩?�,因此�����,IPv6應運而生?����! ?.IPv6協(xié)議在網(wǎng)絡安全上有改進(fw.NSEAC.編輯發(fā)布) IP安全協(xié)議(IPSec)是IPv4的一個可選擴展協(xié)議�����,而在IPv6則是一個必備組成部分�����。IPSec協(xié)議可以"無縫"地為IP提供安全特性�����,如提供訪問控制�、數(shù)據(jù)源的身份驗證���、數(shù)據(jù)完整性檢查�����、機密性保證���,以及抗重播(Replay)攻擊等��?���! ��、哦说蕉说陌踩WC
4�����、 IPv6最大的優(yōu)勢在于保證端到端的安全���,可以滿足用戶對端到端安全和移動性的要求�����。IPv6限制使用NAT����,允許所有的網(wǎng)絡節(jié)點使用其全球惟一的地址進行通信���。每當建立一個IPv6的連接���,都會在兩端主機上對數(shù)據(jù)包進行IPSec封裝��,中間路由器實現(xiàn)對有IPSec擴展頭的IPv6數(shù)據(jù)包進行透明傳輸���,通過對通信端的驗證和對數(shù)據(jù)的加密保護�,使得敏感數(shù)據(jù)可以在IPv6網(wǎng)絡上安全地傳遞,因此��,無需針對特別的網(wǎng)絡應用部署ALG(應用層網(wǎng)關)����,就可保證端到端的網(wǎng)絡透明性,有利于提高網(wǎng)絡服務速度���?�! �、频刂贩峙渑c源地址檢查 在IPv6的地址概念中����,有了本地子網(wǎng)地址和本地網(wǎng)絡地址的
5�����、概念����。從安全角度來說����,這樣的地址分配為網(wǎng)絡員強化網(wǎng)絡安全管理提供了方便。若某主機僅需要和一個子網(wǎng)內(nèi)的其他主機建立聯(lián)系����,網(wǎng)絡管理員可以只給該主機分配一個本地子網(wǎng)地址;若某服務器只為內(nèi)部網(wǎng)用戶提供訪問服務�����,那么就可以只給這臺服務器分配一個本地網(wǎng)絡地址�����,而企業(yè)網(wǎng)外部的任何人都無法訪問這些主機��?! ≡绰酚蓹z查出于安全性和多業(yè)務的考慮���,許多核心路由器可根據(jù)需要,開啟反向路由檢測功能����,防止源路由篡改和攻擊?�! ��、欠乐刮词跈嘣L問 IPv6固有的對身份驗證的支持��,以及對數(shù)據(jù)完整性和數(shù)據(jù)機密性的支持和改進���,使得IPv6增強了防止未授權訪問的能力,更加適合于那些對敏感信息和資
6�、源有特別處理要求的應用?����! �����、扔蛎到y(tǒng) DNS基于IPv6的DNS系統(tǒng)作為密鑰基礎設施系統(tǒng)的基礎,有助于抵御網(wǎng)上的身份偽裝與偷竊��,而采用可以提供認證和完整性安全特性的DNS安全擴展協(xié)議���,能進一步增強目前針對DNS新的攻擊方式的防護��,例如"網(wǎng)絡釣魚"攻擊�����、"DNS中毒"攻擊等����,這些攻擊會控制DNS服務器���,將合法網(wǎng)站的IP地址篡改為假冒�、惡意網(wǎng)站的IP地址等����。 ?���、伸`活的擴展報頭 一個完整的IPv6的數(shù)據(jù)包可包括多種擴展報頭��,例如逐個路程段選項報頭�、目的選項報頭���、路由報頭�����、分段報頭�、身份認證報頭�����、有效載荷安全封裝報頭�、最終目的報頭等���。這些擴展報頭不僅為IPv
7��、6擴展應用領域奠定了基礎����,同時也為安全性提供了保障?���! 、史乐咕W(wǎng)絡掃描與病毒蠕蟲 當病毒和蠕蟲在感染了一臺主機之后�����,就開始對其他主機進行隨機掃描�,在掃描到其他有漏洞的主機后,會把病毒傳染給該主機����。這種傳播方式的傳播速度在IPv4下非常迅速(如Nimdar病毒在4~5分鐘內(nèi)可以感染上百萬臺)。但這種傳播方式因為IPv6的地址空間的巨大變得不適用了�����,病毒及網(wǎng)絡蠕蟲在IPv6的網(wǎng)絡中傳播將會變得很困難���?! ����、朔乐咕W(wǎng)絡放大攻擊 ICMPv6在設計上不會響應組播地址和廣播地址的消息�����,不存在廣播�,所以��,只需要在網(wǎng)絡邊緣過濾組播數(shù)據(jù)包��,即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)
8���、據(jù)包而引起的網(wǎng)絡放大攻擊�?���! 、谭乐顾槠簟 P
