随着ipv4地址耗尽越来越近,互联网服务提供商(ISP)和其他安全组织使用的一些安全技术可能会受到影响。实际上,ISPx依赖于这样一个事实,即没有分配部分IPv4地址空间,以便使用本文将介绍的两种技术来防止和检测攻击。这个未分配的IPv4地址空间被调用黑暗网(另见http://www.team-cymru.org/services/darknets.html)。由于预计所有IPv4地址空间将在2011年3月或4月将分配,因此将减少这些技术的效率。Bogon过滤器第一次影响将是所谓的Bogon地址过滤器在IPv4数据包源地址上,以便显然欺骗地址。Bogons地址主要存在两类:
- 马斯迪亚人这是由RFC 1918定义的私人地址;
- IPv4 / 8尚未由互联网分配的号码权限(IANA)分配给区域互联网登记处(RIR),如ARIN(对美国和加拿大),成熟(欧洲和中东),...
可以在2011年1月5日撰写本博客条目时写入超薄的Bogon过滤器(因为IANA中仍有7个IPv4 / 8),如:
拒绝10.0.0 / 8拒绝39.0.0 / 8否认102.0.0.0 / 8拒绝103.0.0.0 / 8拒绝104.0.0.0 / 8拒绝106.0.0.0 / 8拒绝179.0.0.0 / 8拒绝185.0.0 / 8请参阅http://www.team-cymru.org/services/bogons/在波隆过滤器上更详细的说明。预计将在2011年3月或4月分配剩余7个块的那些剩余7个街区。然后,Bogon地址过滤器将简单地是单行
拒绝10.0.0.0 / 8意思是,歹徒将有一个巨大的选择使用随机源地址并相信其欺骗数据包不会被上述琐碎的波隆地址过滤器丢弃。当然,更复杂的反欺骗技术,如单播反向路径转发检查(urpf,它利用完整的Internet路由表检查源地址的有效性)将继续按照以前的方式工作。URPF也很容易在最简单的配置中部署(严格模式):
接口 blabla IPv6地址2001:DB8:F00D :: / 64 EUI-64 IPv6验证单播源可通过Rx Accept-Default IPv6启用天坑ISP使用的另一种安全技术叫做天坑技术。它包括在他们的网络中注入一些特定的路由,将所有的流量路由到目的地非路由在他们的网络中一些安全设备的地址:简而言之,所有到达暗网的流量都将被这些安全设备接收。天坑用于探测:
- 蜜罐:主动蠕虫试图感染一个随机IPv4地址,这可以与一个蜜罐:一台专门的机器假装是一个受害者,用来监控攻击,以建立一个签名检测恶意软件;
- 背散射:ICMP消息(当URPF丢弃欺骗数据包时生成)也被路由到那些可以在单点中收集更多攻击的设备,而不是在执行反欺骗的所有路由器上收集更多统计信息。
更多信息可用:http://www.arbornetworks.com/en/Tlas.html即使污水孔技术也在非路由地址空间(这是在互联网的路由表中未分配或不公布的所有网络),在几个月内分配和路由剩余/ 8个块的后果再次降低了下沉孔的效率。我们能继续使用bogon过滤器和天坑吗?基于URPF的反欺骗明显继续工作。此外,每个ISP都有自己的分配IPv4空间,这几个较小的块(/ 24通常)尚未分配给任何客户。因此,那些较小的块是这种特定ISP的黑暗网。随着ISP通常不共享这些块的价值,ISP社区将无法使用巨大的污水孔(几个/ 8),而只是一个非常小的污水池(几个/ 8)(几个/ 24)。但是,污水井技术仍然会以某种方式工作:它将简单地吸引较少的交通意义,这意味着它将需要更多的时间来收集有关新恶魔的信息。总结简而言之,ipv4地址耗尽不仅会影响互联网的增长(但IPv6是正确的答案),而且还会略微降低互联网中仅使用ipv4的部分的安全性。另一个将用户和内容转移到IPv6的原因;-)