IPv6是继IPv4之后的互联网协议版本,正在逐渐普及,但在公共网络中,它正在被配置和使用,而在内部网络中,公司正在努力采用它。这种新的互联网协议的出现是为了弥补IP地址版本IPv4的减少和未来的不足,同时带来新的服务,改善网络的配置和管理。
IPv4地址是32位的地址(如192.168.1.23),有40多亿个,而IPv6地址是更长的128位地址(如2001:0db8:0000:fff:0000:0000:0345:fff),因此有大约340万亿个。
在微软网络中,从Windows Vista开始,客户端和服务器系统都默认启用了IPv6。此外,IPv6的优先级比其前身更高。这意味着,Windows计算机在启动和定期时,将首先搜索要连接的IPv6网络,如果该网络不可用,它们将连接到传统的IPv4。
在我作为渗透测试员的活动中,我意识到许多系统管理员在他们的系统中默认启用了IPv6协议,但却没有对其进行配置,而是倾向于使用IPv4协议,但却不知道这在安全方面所带来的后果。
毕竟,如何滥用IPv6网络在2011年就已经被讨论过了,当时Infosec研究所的Alex Waters展示了SLAAC(无状态地址自动配置),这是一种中间人攻击,可以对被攻击的机器进行流量嗅探。
这是一个不容易实现的攻击,对网络来说是非常嘈杂和不稳定的,因为它需要一些外部的数据包和服务来工作,并且涉及到在现有的IPv4之上创建一个IPv6覆盖网络,这影响到网络上的所有设备。在SLAAC之后,滥用IPv6网络的方法和工具不断进步。
事实上,几年前,”THC-IPV6攻击 “工具包进入Kali Linux发行版,作为测试IPv6和ICMPv6弱点的工具,是mitm6的灵感来源,这是一个易于配置的工具,可以选择性地攻击主机。
最根本的问题是,在一个启用了IPv6但没有配置的网络中,攻击者可以充当路由器,为受害者分配一个IPv6地址,特别是IPv6的DNS地址。此外,在启动时,但也是每隔30分钟左右,Windows计算机将要求在网络中进行IPv6配置。而他们将收到攻击者的路由器(作为DHCPv6服务器)将为他们提供的。
分配给受害者的IPv6 DNS服务器地址将使攻击成为可能,因为IPv6 DNS地址(由攻击者控制)将优先于IPv4 DNS地址,因此受害者的每个DNS查询都将被攻击者接收,攻击者将通过欺骗答案来利用它为自己服务。
由于其他合法的Windows协议,那么,攻击者将能够获得并将用户凭证的HASH(域用户或域管理员)转发给网络内的各种服务或试图向LDAPS认证的域控制器。因此,利用这一技术,不需要知道任何凭证,攻击者就有可能检索到域的每个用户、计算机、组和策略的信息,将由他控制的域用户对象或计算机添加到目标公司的活动目录中,并为进一步的危险和严重攻击创造条件,例如破坏域机器。
原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/safety/202302133148.html