家庭宽带IPv6地址使用揭秘
家庭宽带IPv6地址使用揭秘
作者:移动Labs 2023-06-25 14:36:31网络 本文将探讨家宽IPv6地址的公网可用性,分析智能网关设备安全机制的原理,结合白名单提出一种终端和服务器间端到端安全通信的方法。Part 01 IPv6地址可用性
设备获取IPv6的全球单播地址后,理论上能够实现设备和业务服务器的双向端到端通信,我们使用笔记本电脑接入家宽网络,分配IPv6地址后并验证时,发现其公网连通性是不可达状态,这是什么原因呢?
bogon:~ root$ telnet 2409:8a28:ec3:51f0:2a12:93ff:fe68:fee5Trying 2409:8a28:ec3:51f0:2a12:93ff:fe68:fee5...telnet: connect to address2409:8a28:ec3:51f0:2a12:93ff:fe68:fee5: Network is unreachable原来是考虑到IPv6地址暴露后存在安全风险,运营商在智能网关标准中,提出了端口权限最小化和防攻击功能的要求,在网关出厂时,厂商会在网关中预置特定的防火墙策略。由于网络策略的存在,家宽网络中IPv6地址实际可用性是很差的,直接下行的转发流量基本都被网关拦截或丢弃。为了安全有效地使用IPv6地址,结合白名单机制的网络策略或许是一个不错的选择。
图1 《中国移动智能家庭网关技术规范》-端口权限最小化
图2 《中国移动智能家庭网关技术规范》-防攻击功能
Part 02 IPv6 session防火墙
IPv6端到端的通信,由于网络策略的原因,导致服务器到终端设备的下行流量被拦截。
经过对智能网关的分析,发现上述拦截能力可称为IPv6 session防火墙,该防火墙功能基于iptables实现,在网关的iptables转发链中,存在一个FORWARD_FIREWALL子链,用于存储控制转发的session防火墙策略。
防火墙策略FORWARD:
Chain FORWARD (policy ACCEPT 107 packets, 14852 bytes)num pkts bytes target prot opt in out source destination 1 138K 34M SKIPLOGall** ::/0 ::/0 mark match ! 0x4000000/0x40000002 3547290K TCPMSS tcp*ppp0::/0 ::/0 tcp flags:0x06/0x02 tcpmss match 1300:65535 TCPMSS set 13803 3176235K TCPMSS tcpppp0 * ::/0 ::/0 tcp flags:0x06/0x02 tcpmss match 1300:65535 TCPMSS set 1380473122 11M FORWARD_ALGall*!br+::/0 ::/05 146K 36M JNI_FILTERall** ::/0 ::/0672710 25M IP_FILTER_INall!br+ * ::/0 ::/0773122 11M IP_FILTER_OUTallbr+* ::/0 ::/0873122 11M PARCTL_MACallbr+* ::/0 ::/0973122 11M URL_FILTERallbr+* ::/0 ::/010 73122 11M MAC_FILTERallbr+* ::/0 ::/011146K 36M FORWARD_FIREWALLall** ::/0 ::/0(1)当关闭时,防火墙策略为空,
Chain FORWARD_FIREWALL (1 references)pkts bytes target prot opt in out source destination(2)开启ipv6 session防火墙后,Forward链策略中新增了两条策略:
Chain FORWARD_FIREWALL (1 references)pkts bytes target prot opt in out source destination 252 26905 ACCEPT all br+ * ::/0 ::/0 234 72274 ACCEPT all * br+ ::/0 ::/0 ctstate RELATED,ESTABLISHED这两条策略即为实现IPv6 Session防火墙的核心,基于iptables状态跟踪实现,其实现的转发控制能力如下:
(1)接收从任意br开头的网卡到其它网卡的流量(上行);
(2)接收从网卡到任意br开头的网卡的流量,该流量的状态必须是已经建立双向连接或该连接的衍生连接(下行)。
简单来说,就是终端设备往外访问的一律放行,外部服务器来访问终端设备,如果之前没建立过连接,直接拦截,反之则放行。具体的状态信息可参考如下概念:
- 概念分析
(1)iptables状态跟踪
从Linux2.6.15的内核版本后,iptables开始支持状态跟踪(conntrack),该功能依赖于netfilter的内核模块nf_conntrack。此后,iptables可以根据包的状态进行二次的过滤拦截和状态跟踪。它也是state/ctstate和nat的主要依赖模块。
conntrack将数据流的状态信息以Hash表的形式储存在内存中,包括五元组信息以及超时时间等。这里说的状态跟踪并非是指状态协议(如TCP)中连接状态的跟踪,而是conntrack特有的与网络传输协议无关的状态的跟踪。
(2)conntrack五种状态
conntrack共可以为连接标记五种状态,分别如下:
➟ NEW:新建连接请求的数据包,且该数据包没有和任何已有连接相关联。判断的依据是conntrack当前“只看到一个方向数据包(UNREPLIED)”,没有回包。
➟ ESTABLISHED:该连接是某NEW状态连接的回包,也就是完成了连接的双向关联。
➟ RELATED:匹配那些属于helper模块定义的特殊协议的网络连接,该连接属于已经存在的一个ESTABLISHED连接的衍生连接。简而言之,A连接已经是ESTABLISHED,而B连接如果与A连接相关,那么B连接就是RELATED。这部分不理解没有关系,也很难一句话说清,后面章节会用大量笔墨来阐明它。
➟ INVALID:匹配那些无法识别或没有任何状态的数据包。这可能是由于系统内存不足或收到不属于任何已知连接的ICMP错误消息,也就是垃圾包,一般情况下我们都会DROP此类状态的包。
➟ UNTRACKED :这是一种特殊状态,或者说并不是状态。它是管理员在raw表中,为连接设置NOTRACK规则后的状态。这样做,便于提高包过滤效率以及降低负载。
conntrack是一种状态跟踪和记录的机制,本身并不能过滤数据包,只是提供包过滤的依据。有状态是一种过滤依据,无状态实际也是一种过滤依据。
Part 03 IPv6白名单机制
IPv6 Session防火墙通过两条策略实现了转发防护的能力,那么是否可以在此基础上实现白名单机制,答案是肯定的,使用白名单机制将限定通道两端的发送者和接受者,同时又保持原有的网络策略开启,符合智能网关的标准。
iptables可以通过策略添加实现白名单机制,在智能网关的转发策略中加入允许发起下行请求的IPv6地址,并按照该地址筛选下行的源IP地址的数据包并放行。经测验,开启ipv6 session防火墙,并添加特定白名单后,终端设备即可支持ipv6地址的下行访问。以6.ipw.cn为例,我们新增策略如下:
ip6tables -t filter -I FORWARD -s 6.ipw.cn -j ACCEPT ip6tables -t filter -I FORWARD -d 6.ipw.cn -j ACCEPT新增后的iptables策略清单。
Chain FORWARD (policy DROP 3 packets, 246 bytes)pkts bytes target prot opt in out source destination 71833 ACCEPT all** ::/0 2409:8928:e20:84fe:a11b:b839:66ae:84a7 1017226 ACCEPT all** 2409:8928:e20:84fe:a11b:b839:66ae:84a7::/0外网获取ipv6地址结果 ,即设备IPv6地址能够被6.ipw.cn访问。
curl 6.ipw.cn2409:8a28:efb:b8a6:d1b6:9c3b:2f2e:c3ee上述结果即说明该IPv6地址可被公网访问,说明白名单机制在理论上可行。
Part 04 总结
本文从实际家庭网络环境出发,分析家庭宽带网络中设备的IPv6实际可用性和安全分析,并尝试了一种基于白名单的IPv6地址使用方式,能够保证地址在防火墙开启的前提下使用公网的访问能力,但从家庭网络全局角度来看,目前缺少整体的安全发现和分析的能力,特别是在IPv6开放的情况下,原有的安全分析设备的支持性和分析能力,需要适配提升。下一篇文章我们来谈一谈,如何提供一种针对家庭网络的安全监测能力。
责任编辑:庞桂玉 来源:移动Labs IPv6地址移动开发推荐系统
电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
语言:中文版系统大小:2.98GB系统类型:Win8电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
相关文章
- temp文件夹,本文教您temp文件夹怎样删除
- 《黑暗光年西游传奇》攻略:首充、挑战仙途、山神提升打宝速度
- Win7电脑怎么设置屏幕分辨率自动调整?
- 戴尔成就安装win7卡logo
- steam壁纸软件叫什么 steam壁纸更换教程【详解】
- Win7纯净版系统下怎么巧妙利用还原功能找回丢失的文件?
- win10 msdn,本文教您如何在msdn上正版win10镜像
- Ubuntu 23.10 将改进 PPA 管理以提高安全性
- win7 64自已手工安装版最新系统推荐
- 搜狗浏览器皮肤如何更换?搜狗浏览器皮肤更换方法
- 微信朋友圈Apple Watch小尾巴图文详细教程_微信
- 在线查杀U盘病毒的利与弊
- 应用程序无法正常打开,本文教您应用程序无法正常打开的处理办法
- 一键系统还原软件哪个比较好用的介绍
- office2010激活工具,本文教您激活工具怎样激活office2010
- Windows 10系统玩不了老游戏的处理办法
- 电脑死机怎么办,小编教你解决电脑死机的方法
- Win8打开网页出现乱码的解决方法
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1Win10专业版镜像下载_Win10 64位专业版镜像下载
- 2外星人Win10激活镜像文件下载_外星人Ghost Win10 64位稳定优化版下载V2021.08
- 3新萝卜家园电脑城专用系统 Windows10 x64 中秋特别 企业版2020年9月(64位) ISO镜像免费下载
- 4笔记本&台式机专用系统 Windows10 企业版 2020年12月(64位) 提供下载
- 5Ghost Win10 iso镜像文件下载_深度技术Ghost Win10 32位专业稳定版下载
- 6笔记本&台式机专用系统GhostWin7 64位旗舰版2020年8月(64位) 高速下载
- 7萝卜家园Win10 32位专业版V2021.05免费下载
- 8Win10 64位家庭中文版下载_Win10 64位家庭优化稳定版下载
- 9俄罗斯大神Win7精简版450m下载_俄罗斯大神Win7极限精简版下载
- 10青苹果系统Ghost Win10系统下载_青苹果系统 Ghost Win10极速专业版下载