IPv6擴展報頭：是好是壞？

　　IETF最近的一項研究表明，當(dāng)部署擴展報頭時，發(fā)送到公網(wǎng)服務(wù)器的IPv6數(shù)據(jù)包丟包率在10%至50%。這種強度的過濾并不太好，這不僅阻礙了IPv6協(xié)議的后續(xù)發(fā)展，也影響了其基本功能的使用，諸如IPsec，甚或IPv6分片。

　　雖然從用戶角度來看這也是不可取的，不過這樣的過濾也確實是降低安全隱患和操作影響的實用之法，包括普通網(wǎng)絡(luò)設(shè)備和設(shè)置。為什么會這樣?有安全和操作層面的考慮，另有一些因素解釋了為什么運營商在IPv6包含有擴展報頭丟包時依舊能理直氣壯。

　　IPv6擴展報頭帶來的安全影響

　　IPv6擴展報頭的安全影響概括如下：

　　· 逃避安全控制

　　· 由于實施錯誤的拒絕服務(wù)

　　· 由于處理需求產(chǎn)生的拒絕服務(wù)

　　· 每個擴展報頭特有的問題

　　IPv6擴展報頭也有操作層面的影響，不過還好是通過當(dāng)下的實施可以克服的困難。

　　除了一些產(chǎn)品無法恰當(dāng)處理IPv6擴展報頭問題，安全產(chǎn)品本身的缺陷會允許逃避安全控制。處理這些擴展報頭相對復(fù)雜，也會導(dǎo)致實施錯誤，從而引發(fā)拒絕服務(wù)(DoS)攻擊。

　　此外，一些路由器部署只能處理慢路徑上帶有擴展報頭的數(shù)據(jù)包，這樣一來，帶有擴展報頭的IPv6數(shù)據(jù)包也可能引起處理需求帶來的DoS攻擊。最后，每個IPv6擴展報頭本身有自己的安全問題，例如，分段報頭能夠引起資源耗盡式攻擊，同時，一些路由報頭類型(如已棄用的0型)能夠引發(fā)放大式攻擊。

　　IPv6擴展報頭操作層面的影響

　　IPv6擴展報頭也有操作方面的影響，一些常見的丟包原因如下：

　　· 強制執(zhí)行基礎(chǔ)設(shè)施訪問控制列表(ACL)

　　· DDoS管理以及用戶的過濾需求

　　· 可能無法執(zhí)行等價路徑(ECMP)路由以及基于散列的負載分享

　　· 包轉(zhuǎn)發(fā)引擎的限制

　　基礎(chǔ)設(shè)施ACL是為了濾掉一些為基礎(chǔ)設(shè)施認定為不需要的數(shù)據(jù)包，這些數(shù)據(jù)包于操作無益的，且能夠被用于實施對路由控制平臺的攻擊。用戶DDoS保護過濾從本質(zhì)上來講與之類似，第四層ACL通常需要盡可能部署在網(wǎng)絡(luò)邊緣，其目的是為了保護用戶邊緣。

　　在ECMP負載分享情況下，路由器需要制定相關(guān)策略，確定每個輸出包使用的鏈接。大多數(shù)轉(zhuǎn)發(fā)引擎通過計算一個簡單的哈希函數(shù)來實現(xiàn)，計算需要使用IPv6源和目標(biāo)地址以及一些四層的信息，像是源和目標(biāo)傳輸協(xié)議端口號。然而，使用擴展報頭會組織轉(zhuǎn)發(fā)設(shè)備查出傳輸協(xié)議端口號。

　　最后，我們注意到絕大多數(shù)現(xiàn)代路由器使用專用硬件來實施，已經(jīng)在其內(nèi)部結(jié)構(gòu)中決定如何轉(zhuǎn)發(fā)數(shù)據(jù)包。這樣的實施只會將有限的數(shù)據(jù)包考慮在內(nèi)。因此，當(dāng)一臺現(xiàn)代路由上的硬件轉(zhuǎn)發(fā)引擎由于關(guān)鍵信息與前述專有實施限定不匹配而無法做出轉(zhuǎn)發(fā)決定時，路由器則通常會丟棄數(shù)據(jù)包。

【IPv6擴展報頭：是好是壞？】相關(guān)文章：

關(guān)于紅茶的好與壞09-28

兼職的好與壞大學(xué)英語作文09-22

九個方面鑒定咖啡豆的好與壞10-29

向外擴展的SQL Server應(yīng)怎樣實現(xiàn)更高擴展性10-29

手動編譯安裝PHP擴展10-01

《用WORD2003制作電子報刊的報頭》教學(xué)反思10-04

速記中使用“數(shù)字略法”的擴展10-15

新加坡留學(xué)擴展人才計劃實施介紹08-30

為什么眉毛總是畫壞-導(dǎo)致畫壞眉毛的13個原因07-01

擁有私家車是好是壞大學(xué)英語四級作文（通用16篇）09-05