IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。这种强度的过滤并不太好,这不仅阻碍了IPv6协议的后续发展,也影响了其基本功能的使用,诸如IPsec,甚或IPv6分片。
虽然从用户角度来看这也是不可取的,不过这样的过滤也确实是降低安全隐患和操作影响的实用之法,包括普通网络设备和设置。为什么会这样?有安全和操作层面的考虑,另有一些因素解释了为什么运营商在IPv6包含有扩展报头丢包时依旧能理直气壮。
IPv6扩展报头带来的安全影响
IPv6扩展报头的安全影响概括如下:
· 逃避安全控制
· 由于实施错误的拒绝服务
· 由于处理需求产生的拒绝服务
· 每个扩展报头特有的问题
IPv6扩展报头也有操作层面的影响,不过还好是通过当下的实施可以克服的困难。
除了一些产品无法恰当处理IPv6扩展报头问题,安全产品本身的缺陷会允许逃避安全控制。处理这些扩展报头相对复杂,也会导致实施错误,从而引发拒绝服务(DoS)攻击。
此外,一些路由器部署只能处理慢路径上带有扩展报头的数据包,这样一来,带有扩展报头的IPv6数据包也可能引起处理需求带来的DoS攻击。最后,每个IPv6扩展报头本身有自己的安全问题,例如,分段报头能够引起资源耗尽式攻击,同时,一些路由报头类型(如已弃用的0型)能够引发放大式攻击。
IPv6扩展报头操作层面的影响
IPv6扩展报头也有操作方面的影响,一些常见的丢包原因如下:
· 强制执行基础设施访问控制列表(ACL)
· DDoS管理以及用户的过滤需求
· 可能无法执行等价路径(ECMP)路由以及基于散列的负载分享
· 包转发引擎的限制
基础设施ACL是为了滤掉一些为基础设施认定为不需要的数据包,这些数据包于操作无益的,且能够被用于实施对路由控制平台的攻击。用户DDoS保护过滤从本质上来讲与之类似,第四层ACL通常需要尽可能部署在网络边缘,其目的是为了保护用户边缘。
在ECMP负载分享情况下,路由器需要制定相关策略,确定每个输出包使用的链接。大多数转发引擎通过计算一个简单的哈希函数来实现,计算需要使用IPv6源和目标地址以及一些四层的信息,像是源和目标传输协议端口号。然而,使用扩展报头会组织转发设备查出传输协议端口号。
最后,我们注意到绝大多数现代路由器使用专用硬件来实施,已经在其内部结构中决定如何转发数据包。这样的实施只会将有限的数据包考虑在内。因此,当一台现代路由上的硬件转发引擎由于关键信息与前述专有实施限定不匹配而无法做出转发决定时,路由器则通常会丢弃数据包。
