盟
(SA)要求使用IP认证首部的话,节点在发送ICMP报文时就应该包括IP认证首部 。安
全
联盟可以通过手工建立,也可以通过一些密钥治理协议自动建立 。
收到有认证首部的ICMP包时,必须对它的正确性加以验证 。假如包的认证首部不
正
确的话,这个包必须被忽略,丢弃 。
这里也应该有一种可能,系统治理员将节点配置为忽略任何使用认证首部或封装安
全
载荷(ESP)的ICMP报文,不对他们进行验证 。这种改变在缺省情况下,应该答应接收没
有
认证的报文 。
机密性的问题在IP安全结构和IP封装安全载荷文档[IPv6-SA,IPv6-ESP]中有讲
解 。
5.2ICMP攻击
ICMP报文可能遭受到各种各样的攻击 。在IP安全结构文档[IPv6-SA]中可以找到有
关与此的完整的讨论 。一个简短的有关此类攻击即其防范的讨论如下:
1. 有的攻击故意使报文接收者认为报文是从另外的源站发出的,而不是报文真正的产
生
者 。防范这类攻击可对ICMP报文采取IPv6认证机制[IPv6-AUTH].
2. 有的攻击故意使报文或者其应答到达一个不是发起者想到的目的地 。对于报文在源
地
址和目的地址之间通过IP包传送时被恶意的拦截者拦截,并改变了报文的数据的情
况,假如通过对ICMP报文进行认证[IPv6-AUTH]和加密[IPv6-ESP]而将ICMP的校验
和
字段加以保护,ICMP的校验和就能对这种情况提供防范机制 。
3. ICMP报文的信息字段或有效载荷可能被改变 。对ICMP报文进行认证[IPv6-AUTH]和
加
密[IPv6-ESP]是对这种攻击的一种防范机制 。
4. 通过给先前的恶意的IP包回送,ICMP报文可能被用来试图完成否认服务攻击 。正
确
的遵循这个规范的2.4节,f段提到的ICMP错误比率限制机制能够提供防范 。
6.参考文献
[IPv6]Deering,S.andR.Hinden,"InternetProtocol,Version
6,(IPv6)Specification",RFC2460,December1998.
[IPv6-ADDR]Hinden,R.andS.Deering,"IPVersion6Addressing
Architecture",RFC2373,July1998.
[IPv6-DISC]Narten,T.,Nordmark,E.andW.Simpson,"Neighbor
DiscoveryforIPVersion6(IPv6)",RFC2461,December
1998.
[RFC-792]Postel,J.,"InternetControlMessageProtocol",STD5,
RFC792,September1981.
[RFC-1122]Braden,R.,"RequirementsforInternetHosts-
CommunicationLayers",STD5,RFC1122,August1989.
[PMTU]McCann,J.,Deering,S.andJ.Mogul,"PathMTU
DiscoveryforIPversion6",RFC1981,August1996.
[RFC-2119]Bradner,S.,"KeyWordsforuseinRFCstoIndicate
RequirementLevels",BCP14,RFC2119,March1997.
[IPv6-SA]Kent,S.andR.Atkinson,"SecurityArchitectureforthe
InternetProtocol",RFC2401,November1998.
[IPv6-Auth]Kent,S.andR.Atkinson,"IPAuthenticationHeader",
RFC2402,November1998.
[IPv6-ESP]Kent,S.andR.Atkinson,"IPEncapsulatingSecurity
Protocol(ESP)",RFC2406,November1998.
7.致谢
这篇文档是从以前SIPP和Ipng工作组的ICMP草稿变化来的 。
Ipng工作组非凡是RobertElz,JimBound,Bill,Simpson,ThomasNarten,Charlie
Lynn,BillFink,ScottBradner,DimitriHaSKIN,andBobHinden(按逻辑顺序)
提
供了深入的评论和回馈 。
8.作者地址
AlexConta
LUCentTechnologiesInc.
300BakerAve,Suite100
USA
Phone: 1978287-2842
EMail:aconta@lucent.com
StephenDeering
CiscoSystems,Inc.
170WestTasmanDrive
SanJose,CA95134-1706
USA
Phone: 1408527-8213
EMail:deering@cisco.com
附录A——自RFC1885以来的改变
版本2-02
-从2.4节f.2段开始没有提到信息回显 。
-在“上层通告”段中,将“上层协议”和“用户接口”改为“进程” 。
-改变了5.2节第二条和第三条,都参考AH认证 。
推荐阅读
- 关于IPv6 ICMPv6类的MIB
- Ipv6测试地址分配
- 因特网交换密钥
- 因特网子网
- 支持IPv6地址聚合和重编号的DNS扩展
- IPv6 主机和软件路由器转换机制
- SMTP 针对命令流水线的服务扩展
- 如何去掉多余的单元格
- TCP和UDP通过IPv6 Jumbograms
- 针对LDAP的验证方法