家用路由器IPv6鄰居表資源耗盡攻擊與防護

◆肖舉 諸葛建偉

（1.數字工程與先進計算國家重點實驗室 河南 450012；2.清華大學網絡科學與網絡空間研究院 北京 100084）

IPv6憑借“一粒沙子一個地址”及內嵌安全能力等技術優勢，天生匹配萬物互聯[1]。與IPv4相比，IPv6在安全性方面進行了預先設計和充分考慮，但仍存在一些難以解決的安全風險。首先，128位的地址規模及臨時地址機制，使得基于IPv6的攻擊在追蹤溯源、信息處理等存在著處理時效上的困難。其次，由于IPv6的報文結構與IPv4不一致，現有網絡安全工具不能兼容IPv6，使得IPv6具有攻擊媒介檢測上的難點。再次，IPv6/IPv4過渡機制及IPv6協議新特性使得IPv6具有新部署協議風險規避上的難題。文獻[2]分析了IPv6部署過程和使用過程中存在的信息泄露、拒絕服務、網絡欺騙等安全威脅。文獻[3]和文獻[4]靈活運用了THC-IPv6[5]攻擊套件對IPv6協議進行了詳細的測試研究，實驗證實了當前主流操作系統如Windows、Linux中大量關于IPv6協議本身存在的重定向、泛洪等漏洞。文獻[6]和文獻[7]提出了雙棧機制下將會無形增加安全暴露面，漏洞攻擊的方式和載荷將會更加多樣。本文通過對多款智能家庭網關、家用Wi-Fi路由器進行實驗測試，發現當前設備普遍存在IPv6鄰居表資源耗盡安全問題，并基于Scapy編寫了相關腳本，探討了有關攻擊的報文類型，并給出了該類攻擊的有效防范措施。

1 IPv6鄰居表資源耗盡

IPv6鄰居表在二三層流量轉發中扮演重要角色。然而，通過發送惡意流量操作能夠使得被攻擊子網絡由器每秒僅能解析有限數量的IPv6和MAC地址，導致鄰居表表項處理功能處于超時狀態，從而無法為其他正常報文提供服務。……