IPv6擴(kuò)展報(bào)頭：是好是壞？

　　IETF最近的一項(xiàng)研究表明，當(dāng)部署擴(kuò)展報(bào)頭時(shí)，發(fā)送到公網(wǎng)服務(wù)器的IPv6數(shù)據(jù)包丟包率在10%至50%。這種強(qiáng)度的過(guò)濾并不太好，這不僅阻礙了IPv6協(xié)議的后續(xù)發(fā)展，也影響了其基本功能的使用，諸如IPsec，甚或IPv6分片。

　　雖然從用戶角度來(lái)看這也是不可取的，不過(guò)這樣的過(guò)濾也確實(shí)是降低安全隱患和操作影響的實(shí)用之法，包括普通網(wǎng)絡(luò)設(shè)備和設(shè)置。為什么會(huì)這樣?有安全和操作層面的考慮，另有一些因素解釋了為什么運(yùn)營(yíng)商在IPv6包含有擴(kuò)展報(bào)頭丟包時(shí)依舊能理直氣壯。

　　IPv6擴(kuò)展報(bào)頭帶來(lái)的安全影響

　　IPv6擴(kuò)展報(bào)頭的安全影響概括如下：

　　· 逃避安全控制

　　· 由于實(shí)施錯(cuò)誤的拒絕服務(wù)

　　· 由于處理需求產(chǎn)生的拒絕服務(wù)

　　· 每個(gè)擴(kuò)展報(bào)頭特有的問(wèn)題

　　IPv6擴(kuò)展報(bào)頭也有操作層面的影響，不過(guò)還好是通過(guò)當(dāng)下的實(shí)施可以克服的困難。

　　除了一些產(chǎn)品無(wú)法恰當(dāng)處理IPv6擴(kuò)展報(bào)頭問(wèn)題，安全產(chǎn)品本身的缺陷會(huì)允許逃避安全控制。處理這些擴(kuò)展報(bào)頭相對(duì)復(fù)雜，也會(huì)導(dǎo)致實(shí)施錯(cuò)誤，從而引發(fā)拒絕服務(wù)(DoS)攻擊。

　　此外，一些路由器部署只能處理慢路徑上帶有擴(kuò)展報(bào)頭的數(shù)據(jù)包，這樣一來(lái)，帶有擴(kuò)展報(bào)頭的IPv6數(shù)據(jù)包也可能引起處理需求帶來(lái)的DoS攻擊。最后，每個(gè)IPv6擴(kuò)展報(bào)頭本身有自己的安全問(wèn)題，例如，分段報(bào)頭能夠引起資源耗盡式攻擊，同時(shí)，一些路由報(bào)頭類型(如已棄用的0型)能夠引發(fā)放大式攻擊。

　　IPv6擴(kuò)展報(bào)頭操作層面的影響

　　IPv6擴(kuò)展報(bào)頭也有操作方面的影響，一些常見(jiàn)的丟包原因如下：

　　· 強(qiáng)制執(zhí)行基礎(chǔ)設(shè)施訪問(wèn)控制列表(ACL)

　　· DDoS管理以及用戶的過(guò)濾需求

　　· 可能無(wú)法執(zhí)行等價(jià)路徑(ECMP)路由以及基于散列的負(fù)載分享

　　· 包轉(zhuǎn)發(fā)引擎的限制

　　基礎(chǔ)設(shè)施ACL是為了濾掉一些為基礎(chǔ)設(shè)施認(rèn)定為不需要的數(shù)據(jù)包，這些數(shù)據(jù)包于操作無(wú)益的，且能夠被用于實(shí)施對(duì)路由控制平臺(tái)的攻擊。用戶DDoS保護(hù)過(guò)濾從本質(zhì)上來(lái)講與之類似，第四層ACL通常需要盡可能部署在網(wǎng)絡(luò)邊緣，其目的是為了保護(hù)用戶邊緣。

　　在ECMP負(fù)載分享情況下，路由器需要制定相關(guān)策略，確定每個(gè)輸出包使用的鏈接。大多數(shù)轉(zhuǎn)發(fā)引擎通過(guò)計(jì)算一個(gè)簡(jiǎn)單的哈希函數(shù)來(lái)實(shí)現(xiàn)，計(jì)算需要使用IPv6源和目標(biāo)地址以及一些四層的信息，像是源和目標(biāo)傳輸協(xié)議端口號(hào)。然而，使用擴(kuò)展報(bào)頭會(huì)組織轉(zhuǎn)發(fā)設(shè)備查出傳輸協(xié)議端口號(hào)。

　　最后，我們注意到絕大多數(shù)現(xiàn)代路由器使用專用硬件來(lái)實(shí)施，已經(jīng)在其內(nèi)部結(jié)構(gòu)中決定如何轉(zhuǎn)發(fā)數(shù)據(jù)包。這樣的實(shí)施只會(huì)將有限的數(shù)據(jù)包考慮在內(nèi)。因此，當(dāng)一臺(tái)現(xiàn)代路由上的硬件轉(zhuǎn)發(fā)引擎由于關(guān)鍵信息與前述專有實(shí)施限定不匹配而無(wú)法做出轉(zhuǎn)發(fā)決定時(shí)，路由器則通常會(huì)丟棄數(shù)據(jù)包。

【IPv6擴(kuò)展報(bào)頭：是好是壞？】相關(guān)文章：

關(guān)于紅茶的好與壞09-28

兼職的好與壞大學(xué)英語(yǔ)作文09-22

九個(gè)方面鑒定咖啡豆的好與壞10-29

向外擴(kuò)展的SQL Server應(yīng)怎樣實(shí)現(xiàn)更高擴(kuò)展性10-29

手動(dòng)編譯安裝PHP擴(kuò)展10-01

《用WORD2003制作電子報(bào)刊的報(bào)頭》教學(xué)反思10-04

速記中使用“數(shù)字略法”的擴(kuò)展10-15

新加坡留學(xué)擴(kuò)展人才計(jì)劃實(shí)施介紹08-30

為什么眉毛總是畫壞-導(dǎo)致畫壞眉毛的13個(gè)原因07-01

擁有私家車是好是壞大學(xué)英語(yǔ)四級(jí)作文（通用16篇）09-05