Security

IzzyMenu.com

SECURITY 관련 자료 강의 자료

로그인 회원가입

[IPv6] 6To4 공격기법

ANTON

2010-08-11 18:02:34, 조회 : 183, 추천 : 51

1. Why we need the 6to4 mechanism in the internet?

- IPv6와 IPv4는 주소체계를 포함한 전체적인 프로토콜이 다르다. 동시에 IPv4네트워크를 없애고 IPv6로 업그레드하기에는 비용이 너무 크기 때문에, IPv4 네트워크와 IPv6 네트워크의 공존을 위한 상호간의 주소 전환 방법이 필요하다. 6to4는 이러한 주소 전환 기법 중의 하나로써 터널링 기법을 이용한다. 6to4는 IPv6 네트워크 사이의 IPv6 6to4 prefix안에다 IPv4 주소를 넣어서 캡슐화 함으로써 두 프로토콜의 연동방안을 제시하고 있다.(ex. 9.0.0.1 => 2002:0900:0001::1 )




2. Explain how to communicate between an IPv6 native host and a 6to4 host.

(1) IPv6 native host가 6to4 주소형태를 사용한 IPv6 패킷을 6to4 라우터로 전송

(2) 6to4 라우터는 패킷에서 6to4 주소에 포함된 IPv4 주소를 추출

(3) 추출한 IPv4 주소로 IPv4 헤더를 구성하여 IPv4-in-IPv6 형태로 패킷을 작성하여 6to4 릴레이 라우터로 전송

(4) 6to4 릴레이 라우터는 IPv4 헤더를 제거하고 IPv6 패킷을 IPv6 native host로 전송





3. What's the difference between 6to4 routers and 6to4 relay routers with the viewpoint of their functionalities?

(1) 6to4 router

6to4 라우터는 IPv6 site와 IPv4 네트워크의 border router로써, 이러한 6to4 encapsulation 과정이 6to4라우터에서 수행된다. IPv4와 IPv6 네트워크를 연결하기 위해 터널링을 구성하고 IPv4 네트워크를 통해 수신측 6to4 라우터 혹은 6to4 릴레이 라우터로 전송하는 역할을 한다.

(2) 6to4 relay router

6to4 relay router는 6to4 네트워크에서 전달된 데이터를 다른 IPv6 네트워크로 전달하는 역할을 한다. 즉,6to4 라우터이지만, 6to4 주소와 native IPv6 주소 사이에 라우팅을 변환하는 것을 지원하도록 설정되어있으며,패킷을 decapsulate 하는 것과 포워딩 하는 역할을 한다.

 

4. Attacks with Neighbor Discovery(ND) messages

(1) 공격 방법

6to4 라우터에게 있어 다른 모든 6to4 라우터들과 6to4 relay router들은 링크 상에 있다고 간주 하므로,6to4 라우터는 중요도에 따른 신뢰관계를 형성해놓지 않는 한, IPv4 네트워크 내에 있는 어떤 노드에 의해서 NDmassage를 이용한 공격을 받을 수가 있다. 이 공격의 타겟은 6to4 pseudo-interface이며 보통 공격자들은link-local 주소를 이용한다. 예를 들어, 공격은 route advertisement나 neighboradvertisement 메시지를 다시 만들어 혼란한 상황을 일으키려 할 것이다. 6to4 pseudo-interface들은link-layer 주소를 갖지 않기 때문에 모든 공격들이 적절한 것은 아니다. 그러나 neighbor discovery관점에서 6to4 라우터는 하나의 라우터나 호스트로 여겨질 수 있다.

(2) 대응 방법

1) ND 메시지의 사용을 금지시킨다. 이것은 link-local 범위의 주소를 사용하는 모든 패킷들을 차단 할 것이라는 것을의미한다. 그러나 이 방법은 함정이 숨어 있다. 그 이유는 이것은 정상적인 ND 메시지를 금지시키게 될 것이기 때문이다.

2) 6to4 pseudo-interface를 다른 인터페이스들로부터 고립시킬 수 있다.

3) 만약 ND 메시지가 필요할 경우, link-local 주소를 사용하여 안전하게 패킷을 교환하기 위해서 IPsec이나 확장된 SEND가 사용될 수 있다.

 

5. Spoofing traffic to 6to4 nodes/native ipv6 nodes

(1) 공격 방법

6to4 라우터는 ipv4주소를 버리기 때문에 spooping된 IPv6주소만 알게 된다. 따라서 Dos공격을 위해IPv6주소를 spoofing해서 IPv6노드로 보내 IPv6노드는 해당 주소로 메시지를 보내거나 추적하려 해도 Spoofing된 주소만 알고 있기 때문에 Attack위험에 노출되는 것이다.

(2) 대응방안

1) 다른 IPv6 네트워크에서 들어오는 패킷을 걸러낸다.

2) 6to4 relay는 6to4 주소가 source 주소로 되어있는 경우 drop 한다.

 

6. Reflecting traffic to 6to4 nodes/native ipv6 nodes

(1)공격방법

IPv4 또는 native IPv6 네트워크의 공격자가 6to4노드의 주소로 자신의 주소를 위장하여 다른 노드들에게 메시지를전달하면 이에 대한 응답이 위장 주소로 보내지게 된다. 위장메시지를 브로드캐스트 또는 멀티캐스트 하는 경우 위장한 주소의6to4노드에게 많은 트래픽이 발생하여 DoS공격이 이루어지게 된다.

(2) 대응방안

1) relay router에서 IPv4 source 주소가 그에 상응하는 IPv6 source 주소로 spoofing 되었는지 security check를 하면 된다.

2) IPv4 service provider가 source IPv4 주소를 조작 못하도록 ingress filtering을 하면 된다.

3) IPv4 service provider가 source IPv6 주소가 6to4주소로 spoofing되는 것을 막기 위해 ingress filtering을 하면 된다.

 

7. Local IPv4 broadcast attack

(1) 공격방법

Local IPv4 broadcast attac이란 6to4노드가 6to4라우터에게 라우터의 서브넷 브로드 캐스트 주소의 패킷을IPv4로 캡슐화해서 전송하게 되면 6to4라우터는 해당 패킷을 서브넷에 브로드 캐스트 함으로써 서브넷 전체에 대한 DoS공격을말한다. 이 공격은 6to4 라우터가 IPv4 패킷에 캡슐화된 IPv6주소를 체크하여 브로트캐스트 주소이거나 멀티캐스트 주소를걸러내지 않을 때 적용할 수 있는 공격 방법이다.

(2) 대응방법

이 공격에 대응하기 위해서는 6to4라우터에서 캡슐화 된 패킷의 주소를 확인해서 브로드캐스트 주소이거나 멀테캐스트 주소일 경우 필터링 하면 해결할 수 있다.

 

8. Theft of service

(1) 공격방법

6to4 릴레이 라우터의 관리자가 정책적으로 특정 6to4 사이트 또는 IPv6사이트에 대해 릴레이 서비스를 제한하고 싶은 경우제한할 사이트의 서브넷 주소의 라우팅 정보를 조작함으로써 서비스를 제한한다. 그러나 이런 제한에도 불구하고 서비스를 사용할 수있는데 이런 상황을 Theft of Service라고 한다. 예를 들어 2002::/16 또는 192.188.99.0/24의주소를 제한 했지만 사용자가 소스 주소를 릴레이의 주소(192.88.99.1)로 보내거나 라우팅 해더에 특정 6to4라우터를지정함으로써 제한된 릴레이 라우터를 위회해서 패킷 전송 서비스를 사용하는 것이다.

(2) 해결방법

이 위협요소에 대한 해결책으로는 자신에게 도착한 패킷의 소스 주소가 자신의 주소인지 검사하는 방법, 서비스 거부 리스트가 아닌서비스 허용 리스트를 만드든 방법 그리고 릴레이 라우터가 자신에게 터널링을 통해 도착한 IPv6패킷의 목적주소가 자신이 아닌경우 걸러내는 방법으로 해결할 수 있다.

 

9. Relay operators seen as source of abuse

(1) 공격방법

6to4 relay를 이용하여 traffic을 익명화한다. 이것은 packet이 relay로부터 6to4 site까지 터널링이된다. IPv4 source address는 relay를 이용하여 "protocol-41" attack의 source처럼보이게하여 6to4 relay service에 접속을 abuse라고 생각하거나 전체 IPv4 주소 범위를 abuse나spam으로 보고 거절 또는 "spammer databases"안의 blacklist에 올리는 보안위협이다.

(2) 대응방법

1) 192.88.99.0/24안의 6to4 anycast address를 source address로써 사용

태그 : 6to4, security포스트 메타 정보
자동 검색 관련글IPv6by 김현민
4장 예습by peril
Deilvery [라우터]직접전달 간접전달by 해토일도류
TCP/IP 다섯번째 주 (09.03.31 화요일)by 정해왕
Packet Structure - 두번째 IP(Internet Protocol) by yOUNGRAP
키워드 검색글컴터를 새로 뽑으니.... from 한컷 속에 살아있는 낭만과 기억
SM버스 컨트롤러, 다른 하나는 Microsoft 6to4 Adapter.. -_- 해서!! 구글을 뒤졌다. 그러니 두개 다 해결책이Microsoft 6to4 Adapter. 이게 좀 골때린데.. 아무튼 저게 IP v4랑 v6랑 관련이 있다는
[IPv6] WinXP IPv6 설정 from 민들레처럼
infinite infinite fe80::2e0:91ff:fe0c:4a4f 인터페이스 3: 6to4 Tunneling Pseudo-Interface 주소 형식 DAD 상태 유효 수명 Pref. 수명 주소 --------- ---------- ------------ ------------ ----------------------------- 기타 기본
Network Programming for Microsoft Window ... from Sempre Avanti, Renaissance man
ISATAP(Intrasite Automatic Tunnel Addressing Protocol), 6to4, 6over4, IPv4 compatible, 이 중6to4는 IPv4 라우터 환경하에서 IPv6/IPv4 호스트들간의Windows XP에서는 6to4 서비스가 자동으로 시작되도록 되어 있다.
IPv6 어플리케이션은 IPv4와 IPv6 주소 중 ... from NeverStop
2 6to4 IPv6 주소::/96 20 곧 어플리케이션은 native IPv6 주소와 6to4 IPv6 주소가 있는 경우, native IPv6 주소로 먼저 접속시도하게 됩니다.
IPv6로의 전환 "너무 느리다" from 개인연습장입니다
나머지 선택은 6투4(6to4) 봉입이라는 것을 사용해서 IPv4 회선에서 IPv6 트래픽을 터널링하는 것이다(두 개 사무실간에 인터넷 상의 IPX 터널링과 유사한 방식으로).가장 간단한 6투4 방안은

추천하기

목록보기