17.05.2007
Особенности реализации протокола IPv6 теоретически могут использоваться злоумышленниками с целью многократного усиления DoS-атак на неугодные ресурсы в интернете.
О проблеме сообщили эксперты по вопросам безопасности Филиппе Бионди и Арнауд Эбалард в ходе конференции CanSecWest, проходившей в прошлом месяце. Речь идет о функции маршрутизации сообщений от источника (Source Routing), которая позволяет четко определить путь перемещения пакетов данных в Сети. Иными словами отправитель сообщения может указать несколько определенных узлов, между которыми будут передаваться данные.
Функция маршрутизации сообщений от источника присутствует и в широко применяющемся в настоящее время протоколе IPv4. При этом отправитель может задать до девяти адресов, через которые будет осуществляться маршрутизация. Главная же проблема заключается в том, что пересылка данных может быть зациклена между двумя узлами, которые в данном случае фактически будут забрасывать друг друга бессмысленными запросами.
В оборудовании и программном обеспечении сетей, использующих протокол IPv4, функция маршрутизации сообщений от источника, как правило, отключена по умолчанию. Однако в случае с IPv6 это не так. Более того, протокол IPv6 позволяет указывать десятки промежуточных адресов на пути следования пакета, что обеспечивает возможность многократного усиления DoS-атак.
Бионди и Эбалард уже обратились в организацию IETF (Internet Engineering Task Force), участвующую в разработке технологий интернета, с предложением деактивировать функцию маршрутизации Source Routing в протоколе IPv6.
|