基于IKEv2反射式拒絕服務研究*

趙爾凡，熊 剛

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

IKEv2（Internet Key Exchange v2）是互聯網密鑰交換協議的簡稱。該協議由互聯網工程任務組（IETF）在IKEv1協議的基礎上，對協議的自動密鑰協商和安全性進行改進更新，并于2014年以RFC 7296的形式發布。

互聯網密鑰交換協議，顧名思義是解決在互聯網環境下的密鑰協商問題，主要應用在IPsec協議族中建立安全關聯（SA）問題。與其他兩種傳輸協議相比，IKEv1傳輸效率大大超于PPTP和L2TP。IKEv2是IKEv1的全新改良版，使用公鑰證書和密碼等多重認證，支持硬件加速，保持了高效的傳輸效率。由于對NAT支持較好且支持移動性和多重歸屬標準，目前該協議在移動設備上使用廣泛。但是，IKEv2協議在實現上仍然存在某些 安全隱患。

1 IKEv2協議介紹

1.1 IPSec協議族

大多數隧道協議按照組網層次可以建立在鏈路層、網絡層、會話層和應用層，如圖1所示。

圖1 IPSec在OSI模型中的位置

第一層隧道協議（數據鏈路層）包括點到點隧道協議（PPTP）、第二層轉發協議（L2F）、第二層隧道協議（L2TP）和多協議標記交換（MPLS）等。

第二層隧道協議（網絡層）包括通用路由封裝協議（GRE）和IPSec協議。

第三層會話層隧道協議。Socks處于OSI模型的會話層。Socks協議支持UDP、TCP框架規定的安全認證方案、地址解析方案中規定的IPv4、域名解析和IPv6。

第四層應用層隧道協議。安全套接字層（Secure SocketLayer，SSL）屬于應用層隧道協議，廣泛應用于瀏覽器傳輸。

根據OSI分層模型，IPSec屬于網絡層，獨立于應用程序。IPSec提供站點間和遠程訪問的安全機制。IPSec（Internet Protocol Security）是一個協議組合，透過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸。一旦建立加密隧道，就可以實現各種類型一對多的連接新IP頭的方式封裝原始信息，因此可隱藏所有應用信息。

1.2 IKEv2協議與IPsec

IPsec由兩大部分組成：（1）創建安全分組流的密鑰交換協議（IKEv2）；（2）保護分組流的協議。封裝安全載荷協議（ESP協議）或認證頭協議（AH協議）協議。

IKEv2是一個請求/響應對協議，如果沒有收到響應，請求者可以重新發送或放棄連接。IKEv2有四種類型的交換。

（1）IKE_SA_INIT初始化階段。在進行交換前，必須建立IKE-SA的交換。它在IKE密鑰交換中完成協商IKE-SA的安全參數、發送隨機數和發送Diffie-Hellman值。

（2）IKE_AUTH認證階段完成傳輸身份、協商建立AH或ESP等參數的功能。

（3）CREATE_CHILD_SA只是用來根據需要創建額外的CHILD-SA。

（4）信息交互階段負責執行各種功能維護SA。

IKEv2協議由兩個階段的交互過程（即兩個來回，共四個報文）組成，第一階段稱為IKE_SA_INIT交換，第二階段稱為IKE_AUTH交換。通過對報文格式抓包分析，數據前面都是IKE報文頭HDR，后跟各類不同類型的載荷。HDR包含協議發起者和響應者的Security Parameter Indexes（SPIs）、協議版本號和報文長度等一些固定的字段。

圖2 IKEv2協議交互過程

2 IKEv2協議安全性分析

IKEv2協議簡化了密鑰協商過程，在協商過程中可直接產生IPSec的密鑰。與IKEv1協議相比，在移動性、NAT穿越、消息交換和可靠性方面，IKEv2協議均有大幅提升。

各大網絡設備廠商按照RFC 5996文檔標準，在IKEv2協議實現上不盡相同。比如，微軟目前支持IKEv2（RFC7296）和MOBIKE（RFC4555）協議；思科也提出了單獨的IKEv2實現方法；在Linux的開源實現中，Libreswan、Openswan和strongSwan實現提供了IKE實現方式。雖然協議標準一致，各家廠商在協議實現上卻存在較大差異。目前，基于IKEv2密鑰交換協議存在以下幾方面脆弱性。

2.1 放大反射

在2014年更新的關于IKEv2協議的RFC7296文檔中，對IKEv2處理協議處理方式描述如下：“Errors that occur before a cryptographically protected IKE SA is established need to be handled very carefully. There is a trade-off between wanting to help the peer to diagnose a problem and thus responding to the error and wanting to avoid being part of a DoS attack based on forged messages”，即在IKE SA建立連接前的錯誤請求需要謹慎處置，需在出錯響應和判斷為偽造的拒絕服務攻擊方面進行權衡，而各IKEv2服務器在策略實現上各有不同。

IKEv2協議的服務端在實現上面臨最大的威脅是，暴露在互聯網的IKEv2服務端在初始化階段面臨偽造IP源地址的CPU資源耗盡威脅。當服務端檢測到大量半開放的IKE SA初始化請求時，應該回應包含COOKIE通知的IKE SA response響應請求，但不會維護未經認證請求的任何狀態。在理論上，任何暴漏在互聯網上的IKEv2服務端都會面臨分布式反射的風險。

放大反射脆弱性主要是利用IKEv2協議在認證過程中回復包比請求包成比例大的特點，放大流量。由于IKEv2在認證中使用UDP協議，存在偽造請求包為源IP地址的前提。可以將應答包的流量引入受害服務器，但是由于支持IKEv2協議的設備在實現和安全防御方面不盡相同，有的設備僅回復一個響應報文，有的設備則設置了定時器和計數器，且在響應數據包失敗時嘗試數據包重傳，為從互聯網大規模放大反射創造了條件。

為了驗證這種脆弱性的可行性，搭建了基于strongSwan框架的基于IKEv2協議的虛擬專用網，然后在客戶端和服務端同時進行抓包分析。

客戶端向服務端發送密鑰協商請求，IKE初始化階段。如圖3所示，可以通過實際報文看出，每一個IKE_SA_INIT資源請求，僅會收到一個IKE_SA_request，放大系數為0.6。

對于該目標，反射攻擊消耗較大，資源配比相當。服務端并不維護IKE協議連接。

構造密鑰協商請求，密鑰交互類型選取Identity Protection模式，該協議響應數據報文較大。發送數據報與響應數據包的放大系數達到1∶2，如圖4所示。

通過遍歷腳本參數，遍歷算法參數，可以進一步獲取該目標信息，如圖5所示。

圖5 目標信息

為了驗證互聯網中公開暴露的IKEv2服務端反射效果，選用zmap對全網進行快速探測。使用命令“time zmap-Mudp-p500-N10-o”，即在6 s內發現10個有效目標，其中有6臺設備配置具有放大反射效能。

為了檢驗反射效果，利用SCAPY對數據包進行偽造，生成簡易的密鑰交換初始化報文并發送。

sr(IP(dst=”126.3.227.30”)/UDP()/ISAKMP(init_cookie=RandString(8),resp_cookie=0x00,next_payload=0x21,version=0x10))經驗證，仿冒源的網絡請求有效，并可以引起反射式拒絕服務。

2.2 應用漏洞

在網絡安全設備方面，廠商在實現IKEv2時也存在應用層的拒絕服務，如著名的CVE-2016-6423漏洞。該漏洞對Cisco IOS軟件和Cisco IOS XE軟件的Internet密鑰交換版本2（IKEv2）模塊中的脆弱性，可以允許未經身份驗證的遠程攻擊者重新加載受影響的設備而導致拒絕服務情況。這些漏洞是由于受影響的設備處理某些格式不正確的IKEv2數據包造成的。攻擊者可以通過將畸形的IKEv2數據包發送到受影響的設備進行處理并加以利用，可能會導致受影響的設備重新加載或導致內存耗盡而出現拒絕服務。

基于IKEv2虛擬專用網的安全性方面，也存在以設備指紋泄露、PSK模式嗅探和賬戶口令破解等脆弱性，如圖6所示。

圖6 某IKEv2設備指紋

3 結 語

互聯網大量存在的IKEv2協議大多數以虛擬專用網等服務形式存在，如果被惡意利用，將嚴重威脅網絡安全。本文從IKEv2協議規范進行研究，通過RFC文檔中未明確界定的地方出發，驗證了基于IKEv2協議的探測發現和反射式拒絕服務的方法。