7.IPv6和网络安全

一、IPv6的主要特点

解决”IP地址耗尽“问题的措施有以下三种:

  • 采用无类别编址CIDR,使IP地址的分配更加合理

  • 采用网络地址转换(NAT)方法以节省全球IP地址

  • 采用具有更大地址空间的新版本的IPv6

第三种方法从根本上解决了IP地址耗尽的问题。

IPv6特点如下:

  1. 更大的地址空间。IPv6将地址从IPv4的32位增大到了 128位。IPv6的字节数(16B)是 IPv4字节数(4B)的平方。

  2. 扩展的地址层次结构。

  3. 灵活的首部格式。

  4. 改进的选项。

  5. 允许协议继续扩充。

  6. 支持即插即用(即自动配置)。

  7. 支持资源的预分配。

  8. IPv6只有在包的源结点才能分片,是端到端的,传输路径中的路由器不能分片,所以从一般意义上说,IPv6不允许分片(不允许类似IPv4的路由分片)。

  9. IPv6首部长度必须是8B的整数倍,而IPv4首部是4B的整数倍。

  10. 增大了安全性。身份验证和保密功能是IPv6的关键特征。
  • 虽然IPv6与IPv4不兼容,但总体而言它与所有其他的因特网协议兼容,包括TCP、UDP、ICMP、IGMP、OSPF、BGP和DNS,只是在少数地方做了必要的修改(大部分是为了处理长的地址)。

二、IPv6地址

IPv6数据报的目的地址可以是以下三种基本类型地址之一:

  1. 单播:传统的点对点通信

  2. 多播:多播是一点对多点通信,分组被交付到一组计算机的每台计算机

  3. 任播:这是IPv6新增的类型,任播的目的站是一组计算机,但在数据包交付时只交付给其中一台计算机,通常是距离最近的一台计算机

IPv4使用点分十进制表示法,IPv6这样表示会非常长,因此指定了一种更紧凑的表示法,把地址中每4位用一个16进制数表示,并用冒号隔开。例如:

  • 4BF5:AA12:0216:FEBC:BA5F:039A:BE9A:2170

  • 当16位域的开头有一些0时,可以采用一种缩写表示,但是每个域中至少有一个数字。例如,可以把地址4BF5:0000:0000:0000:BA5F:039A:000A:2176缩写为4BF5:0:0:0:BA5F:39A:A:2176。

  • 当有相继的0值域时,可以进一步缩写,连续的所有全0域均简写为两个冒号(::)。双冒号表示法在一个地址中仅能出现一次!

  • 内嵌IPv4地址表示法:前96位采用冒分十六进制表示,后32位使用IPv4的点分十进制表示。

IPv4向IPv6的过渡

  • IPv4向IPv6过渡可以釆用双协议栈隧道技术两种策略:双协议栈技术是指在一台设 备上同时装有IPv4和IPv6协议栈,那么这台设备既能和IPv4网络通信,又能和IPv6网络 通信。如果这台设备是一个路由器,那么在路由器的不同接口上分别配置了 IPv4地址和IPv6地址,并很可能分别连接了 IPv4网络和IPv6网络;如果这台设备是一台计算机,那么它将同时拥有IPv4地址和IPv6地址,并具备同时处理这两个协议地址的功能。隧道技术是将整个IPv6数据报封装到IPv4数据报的数据部分,使得IPv6数据报可以在IPv4网络的隧道中传输。

三、网络安全

(1)常见的加密技术

  • 对称加密:使用相同的密钥对数据进行加密和解密,如AES(Advanced Encryption Standard)和DES(Data Encryption Standard)。
  • 非对称加密:使用公钥和私钥对数据进行加密和解密,如RSA(Rivest-Shamir-Adleman)和ECC(Elliptic Curve Cryptography)。
  • 散列函数:将输入数据映射为固定长度的输出,常用于数据完整性验证和密码存储,如SHA(Secure Hash Algorithm)和MD5(Message Digest Algorithm 5)。
  • 数字签名:使用私钥对数据进行签名,以验证数据的完整性和身份认证,如RSA数字签名和ECDSA(Elliptic Curve Digital Signature Algorithm)。

(2)IPSec

IPSec(Internet Protocol Security)协议是一种在IP网络上提供安全性的协议套件。它为IP数据包提供了机密性、完整性和身份验证等安全服务。IPSec使用加密算法对数据进行加密,使用认证算法对数据进行完整性验证和身份认证。它可以在网络层对整个IP数据包进行保护,确保数据在传输过程中的安全性。IPSec可以用于虚拟专用网络(VPN)连接、远程访问以及保护网络中的敏感数据。

(3)常见的网络攻击形式

  • 拒绝服务攻击(Denial of Service,DoS):攻击者通过发送大量的请求或占用系统资源来使目标系统无法正常提供服务,从而使合法用户无法访问服务。
  • 蠕虫(Worm):一种自我复制的恶意软件,可以迅速传播到其他计算机,造成网络拥塞和资源消耗。
  • 木马(Trojan Horse):一种伪装成合法程序的恶意软件,通过欺骗用户执行它来实施攻击,如窃取敏感信息或远程控制受感染的系统。
  • 僵尸网络(Botnet):攻击者通过远程操控大量被感染的计算机,形成一个网络,用于发送垃圾邮件、发起DDoS攻击等恶意活动。

这些网络攻击形式对网络安全造成威胁,网络安全防护措施需要包括防火墙、入侵检测系统、安全补丁更新等措施,以减少网络攻击的风险。

Computer Network
#期末 #面试
7.IPv6和网络安全
https://steve-1936550490.github.io/posts/9836/
Author
Hidden Blue
Posted on
June 28, 2023
Licensed under