最新规范中可以找到哪些IPv6功能?

时间 : 2018-09-11 编辑 : DNS智能解析专家 来源 : DNS.COM
分享 : 

IPv6规范现在正在成为一个成熟的互联网标准。新的IPv6功能侧重于企业可靠性以及操作和安全考虑因素。


自国际互联网工程任务组(IETF)发布第一个导致IPv6发展的评论请求至今已有20年。去年,IETF发布了其最新的IPv6评论请求RFC 8200,其中就提出将IPv6和许多IPv6功能作为互联网标准的一部分。


IETF标准以三种方式之一进行评判:作为拟议标准,标准草案或互联网标准。


拟议标准代表标准的入门级:跟踪协议规范的入门级别,并且暗示该规范通常是稳定且易于理解的。但是,它们不需要任何相关协议的实施或操作经验。


标准草案 :需要至少两个独立且可互操作的规范实施,以及成功的运营经验。当规范具有重要的实施并且已经获得成功的操作经验时,该规范值得互联网标准识别。这是IETF协议规范可能实现的最高成熟度级别。


本文探讨了修订后的IPv6规范中的一些主要变化,以及相关发布过程中出现的争议。


核心IPv6规范及其改变方式


核心IPv6规范 - RFC 2460 - 自首次发布以来发生了很大变化。新的IPv6功能面向可靠性,以及操作和安全考虑因素。


为此,修订后的规范包含对IPv6的安全性分析,并参考了过去几年中开展的一些工作,特别是在IPv6寻址方面。其他增强功能针对IPv6 扩展标头和碎片。


例如,原始IPv6规范允许重叠片段:即覆盖原始未分段数据报的相同数据块的片段。在IPv4世界中,使用重叠片段来规避安全控制已经非常流行。但是,即使在IPv6世界中没有合法使用它们,重叠片段仍然被认为是有效的。这些片段最终被2009年发布的RFC 5722宣布为非法。因此,新规范包含了该更新,禁止重叠片段。


原始规范还允许使用扩展头的数据包分成多个片段。换句话说,例如TCP 可以存在于除初始标题之外的片段中,如下所示。

1

IPv6增加了扩展头的灵活性:除初始片段之外的片段中存在的TCP数据包


这实质上阻止了IPv6数据包的无状态过滤,并且在2014年发布的RFC 7112中被禁止。禁令仍然存在。数据报的第一个片段必须包含整个IPv6标头链。


IPv6重复IPv4历史的另一个领域是使用可预测的片段标识值,这些值在IPv4中以多种方式被利用,例如用于实施隐形端口扫描攻击。即将发布的IPv6规范修订版引用了RFC 7739,以获取用于生成片段标识值的可能算法。


原子片段现在是IPv6功能的一部分


与IPv6碎片相关的另一个改进与所谓的原子碎片有关。本质上,初始IPv6规范表示,在收到报告最大传输单元小于1280字节的Internet控制消息协议版本6“数据包太大”消息时,接收主机必须在所有后续数据包中包含一个片段头。相关流程如下。

1IPv6如何处理原子碎片:原子碎片被用作拒绝服务攻击的基础


黑客利用此功能发起拒绝服务(DoS)攻击; 因此,它已从更新的规范中删除。相反,原子片段将根据RFC 6946最初提供的建议以不同的方式处理。


最后,即将发布的修订版也删除了Routing Header Type 0的规范,它也被标识为DoS向量。


与对现有规范的任何修改一样,一些建议的IPv6功能引发了一些争议。最热烈的争论集中在中间盒插入扩展标题。


IPv6一直是端到端协议。因此,除了递减跳跃限制之外,从未允许中间系统修改IPv6分组。然而,一种称为IPv6段路由的技术:主要基于插入和移除IPv6扩展头的中间盒,引发了关于修订的IPv6规范是否应该允许中间盒插入和删除扩展头的非常激烈的争论。


这种激烈的争论一直持续到最终批准修订的IPv6规范作为RFC发布并决定维持现状:禁止插入和删除中间盒的扩展标题。

 

来源:https://searchnetworking.techtarget.com/tip/What-IPv6-features-can-be-found-in-the-latest-specification

提示

根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《DNS.COM账号实名认证公告
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。

去实名