公司动态

IPv6 安全新战场:邻居发现欺骗与过渡方案风险

📅 2026/7/17 20:38:11
IPv6 安全新战场:邻居发现欺骗与过渡方案风险
定位网络基础与协议安全篇 · IPv6 不是「延长线」而是新攻击面阅读对象安全入门者、运维、开发、已懂 ARP 欺骗的读者声明NDP 欺骗、RA 伪造实验仅限自有隔离靶场Host-Only/Internal未授权网络操作违法。一、IPv6 普及了为什么安全人更要紧张很多企业网络的状态· 运维重点仍在 IPv4 防火墙、IDS 规则 · 终端/手机已默认启用 IPv6双栈 · 交换机可能未开 RA Guard · 安全设备对 ICMPv6 过滤不一致结果IPv4 盯得紧IPv6 成侧门。对比IPv4IPv6地址解析ARP广播NDP组播自动配置DHCP 为主SLAAC RA广播有无用组播管理员熟悉度高参差上一篇 BGP 讲全球路由本篇下沉到同一二层网段IPv6 的「ARP」——邻居发现NDP及过渡隧道风险。你会看到ARP 欺骗的 IPv6 版不仅存在而且工具更成熟。二、IPv6 地址与双栈30 秒复习全球单播2001:db8::/32文档示例 链路本地fe80::/10每台接口自动有仅本网段 组播ff02::/16链路本地所有节点、所有路由器等双栈Dual Stack同一接口同时有 IPv4 与 IPv6。ip-6addr showipaddr show安全启示关了 IPv4 的 MITMIPv6 仍可能被欺骗只加固 v4 防火墙不够。三、NDP邻居发现协议3.1 NDP 是什么NDP 由ICMPv6承载核心消息消息作用IPv4 类比NSNeighbor Solicitation解析 IPv6→MACARP RequestNANeighbor Advertisement应答 MACARP ReplyRARouter Advertisement路由器公告前缀、网关无直接对应RSRouter Solicitation主机请求 RADHCP Discover 部分功能Redirect更优下一跳ICMP Redirect3.2 无认证和 ARP 一样谁都可以发 NA「2001:db8::30 的 MAC 是我」 谁都可以发 RA「默认网关是我前缀是 2001:db8:1::/64」没有内置密码学验证链路本地信任模型。3.3 SLAAC 自动配置收到合法 RA 后主机可· 根据前缀自动生成全球地址SLAAC · 将 RA 源 MAC 设为默认网关 · 从 RDNSS 选项学习 DNS 服务器若 RA 带 DNS伪造 RA 控制地址与网关 可能控制 DNS—— 比单纯 ARP 欺骗更狠。四、邻居发现欺骗ND Spoofing4.1 NA 欺骗IPv6 版 ARP 欺骗受害机 2001:db8:1::30 攻击者 Kali 默认网关 2001:db8:1::1 │ │ │ │ NS: 谁有 ::1 │ │───────────────────────────────►│ │◄── NA: ::1 是我 fe80::attacker │ 伪造应答 │ │ │ 流量发往攻击者 MAC ───────────►│ MITM与 ARP 欺骗 同理需IP 转发与NDP 欺骗工具。4.2 RA 欺骗Fake Router攻击者周期性广播 RA · 前缀 2001:db8:66::/64恶意网段 · 默认网关 攻击者链路本地地址 · 可选 RDNSS 攻击者控制的 DNS ↓ 受害机新增 IPv6 地址默认路由指向攻击者 ↓ IPv6 流量经 Kali 中转 → MITM / DNS 劫持mitm6等工具专打「Windows 在双栈下优先 IPv6」的场景。4.3 动画双栈下的侧门用户访问 https://target.com DNS 返回 A AAAA 记录 ↓ 现代系统常 **Happy Eyeballs**IPv6 与 IPv4 竞速 ↓ 若 IPv6 默认路由被 RA 劫持 → 走 IPv6 经攻击者 ↓ IPv4 防火墙日志一切正常流量根本没走 v4五、过渡方案与隧道风险为让 IPv4/IPv6 共存历史上多种过渡技术不少仍残留在网中。5.1 双栈Dual Stack风险说明策略不一致v4 有 ACLv6 全通重复服务暴露v6 上忘了关管理口NDP 攻击面见上文建议IPv6 安全基线 IPv4 同级而非附带功能。5.2 6to4 / Teredo / ISATAP遗留隧道· 将 IPv6 封装进 IPv4 UDP/41 协议穿越 NAT · 常在主机/路由器上动态建立隧道端点风险说明隧道端点不可控恶意 RA/隧道配置指向攻击者防火墙只滤 TCP/UDP 443协议 41、Teredo UDP 被忽视已逐步淘汰老系统、游戏、P2P 环境仍可见运维明确禁用不再使用的过渡协议GPO/MDM/路由器配置。5.3 NAT64 / DNS64运营商或企业用DNS64 NAT64让纯 IPv6 客户端访问 IPv4 互联网。纯 v6 主机 → DNS64 合成 AAAA64:ff9b::/96 映射→ NAT64 网关转 v4风险说明DNS64 被劫持映射到错误 v4 地址审计盲区日志只在 NAT64 设备依赖 DNS 完整性与 DNS 安全 联动5.4 过渡风险汇总技术现状安全关注双栈主流NDP、ACL 对齐6rd/6to4减少关隧道Teredo罕见主机禁用ISATAP淘汰企业 GPO 禁用NAT64/DNS64运营商/云DNS 与网关可信六、实验环境6.1 拓扑Host-Only延续专栏网关/路由可选 192.168.56.1 / fe80::1 Kali 攻击机 192.168.56.10 / fe80::10 受害机 Ubuntu 192.168.56.30 / 自动 SLAAC 网段 192.168.56.0/24 IPv6 ULA 前缀实验 fd56:56:56::/646.2 受害机启用 IPv6# /etc/sysctl.confnet.ipv6.conf.all.disable_ipv60net.ipv6.conf.default.forwarding0sudosysctl-p手动模拟 RA 环境无真实路由器时在受害机或网关配置 radvd合法 RAsudoaptinstall-yradvdsudotee/etc/radvd.confEOF interface eth1 { AdvSendAdvert on; prefix fd56:56:56::/64 { AdvOnLink on; AdvAutonomous on; }; RDNSS fd56:56:56::53 { }; }; EOFsudosystemctl start radvd受害机ip-6addr show eth1ip-6route show# 应见 fd56:56:56::/64 与默认路由 via fe80::...6.3 Kali 工具# THC-IPv6 / mitm6sudoaptinstall-ythc-ipv6 mitm6# 或 Kali 自带部分工具parasite6-hfake_router6-h6.4 打快照victim-v6-clean/kali-clean七、实战一parasite6NA 欺骗 / 寄生原理监听 NS抢先回复 NA类似 arpspoof 的 IPv6 版。# Kalisudosysctl-wnet.ipv6.conf.all.forwarding1sudosysctl-wnet.ipv4.conf.all.forwarding1# 接口按实际改 eth1受害机 IPv6 与网关 IPv6 按环境改sudoparasite6-leth1-F2001:db8:1::302001:db8:1::1受害机验证ip-6neigh show# 网关 IPv6 的 MAC 是否变为 Kaliping62001:db8:1::1配合tcpdumpsudotcpdump-ieth1 icmp6-n八、实战二fake_router6伪造 RAsudofake_router6 eth1 fd66:66:66::/64# 或指定 DNSsudofake_router6 eth1 fd66:66:66::/64 fe80::10受害机观察ip-6addr show# 是否出现 fd66:66:66::/64 地址ip-6route show# 是否新增默认路由 via 攻击者危害新前缀 默认路由流量被静默引流到 IPv6。九、实战三mitm6双栈 Windows/Linux 场景mitm6利用 Windows 等对 IPv6 的偏好伪造 RA 让目标用攻击者为网关常配合ntlmrelayx等做 Windows 域渗透靶场演示 DNS/HTTP 劫持即可。# 终端 1伪造 RA DHCPv6 风格 DNS 劫持sudomitm6-dlab.local-ieth1# 终端 2可选进阶配合 responder/ntlmrelayx — 仅授权域环境简化观测实验不碰域渗透1. 受害机双栈访问内网 HTTP 服务 2. mitm6 运行后看受害机是否新增 IPv6 默认路由 3. Wireshark 过滤 icmp6.type 134RA看伪造包十、Wireshark 分析 IPv6 欺骗10.1 过滤器icmpv6 icmpv6.type 136 # NA icmpv6.type 134 # RA icmpv6.type 135 # NS ipv6.addr fd56:56:56::3010.2 RA 异常特征特征说明多路由器 RA网段出现两个不同源 MAC 的 RA陌生前缀fd66:...非网管分配RDNSS 突变DNS 指向 fe80::10高频 RA攻击工具默认间隔较短10.3 与 ARP 欺骗对照抓包IPv4arp.opcode 2 同一 IP 多 MAC IPv6icmpv6.type136 同一地址多 MAC十一、防御措施11.1 交换机层企业核心特性作用RA Guard只允许信任端口发 RADHCPv6 Guard阻断非授权 DHCPv6 服务器ND Inspection类似 DAI绑定 IPv6-MACSource Guard防地址伪造Cisco 示例概念ipv6 nd raguard policy HOST device-role host interface Gi0/1 ipv6 nd raguard attach-policy HOST11.2 主机与系统□ 不需要 SLAAC 的 server 静态配置地址忽略 RA □ net.ipv6.conf.all.accept_ra 0路由器/服务器 □ 禁用 Teredo/ISATAP/6to4Windows: netsh, GPO □ 双栈防火墙策略镜像v4/v6 同等级 □ 关闭未用的 IPv6 监听服务netstat -tulnp | grep tcp6Linux 服务器禁用 RA# /etc/sysctl.d/99-no-ra.confnet.ipv6.conf.all.accept_ra0net.ipv6.conf.default.accept_ra011.3 监控· NDP 表突变告警同一 gw 两个 MAC · 陌生 ULA/GUA 前缀出现 · ICMPv6 Type 134 频率基线 · Zeek 解析 icmpv6 日志11.4 与 IPv4 防御对照IPv4IPv6DAIND InspectionarpwatchNDP 监控 / RAguard静态 ARP静态邻居 / 静态 IPv6私有 VLAN同样适用十二、IPv6 防火墙快配iptables/nft ip6tables# 仅允许已建立连接 必要 ICMPv6勿盲拦 NDsudoip6tables-AINPUT-mconntrack--ctstateESTABLISHED,RELATED-jACCEPTsudoip6tables-AINPUT-pipv6-icmp --icmpv6-type echo-request-jACCEPTsudoip6tables-AINPUT-pipv6-icmp --icmpv6-type router-advertisement-jDROP# 上行仅信任接口的 RA 应由交换机过滤主机侧 DROP 入站 RA 可作为加固# 默认策略sudoip6tables-PINPUT DROP注意 blindly 阻断所有 ICMPv6 会破坏 NDP企业应在接入层用 RA Guard而非粗暴全禁。十三、完整实验步骤90 分钟□ 1. Host-Only 三机受害机启用 IPv6radvd 发合法 fd56::/64 □ 2. 记录受害机 ip -6 route 与 ip -6 neigh 基线 □ 3. Kali 开启 ipv6 forwarding □ 4. parasite6 欺骗网关 NA验证 neigh 表 MAC 变化 □ 5. Wireshark 抓 icmpv6.type136 □ 6. fake_router6 注入 fd66::/64验证新默认路由 □ 7. 抓 RAtype 134对比合法 radvd 与伪造参数 □ 8. 可选mitm6 观察双栈 Windows 受害机 IPv6 路由变化 □ 9. 在受害机设 accept_ra0 或模拟 RA Guard 后重测记录防御效果 □ 10. 撰写报告NDP 与 ARP 对比表 过渡方案风险 加固清单十四、常见踩坑问题原因解决受害机无 IPv6 地址未收 RA检查 radvd、接口 disable_ipv6parasite6 无效链路本地 vs 全球地址混用确认目标 IPv6 在同一链路欺骗后不通未开 forwardingsysctl net.ipv6.conf.all.forwarding1Windows 无反应未启用 IPv6、仅 LLMNR确认网卡 IPv6 非「仅本地」抓不到 ICMPv6过滤错网卡Host-Only 接口名 eth1/enp0s8防御过狠断网阻断必要 NS/NA用 RA Guard 而非全禁 ICMPv6十五、法律与伦理✅ 允许自有 VM 靶场、书面授权内网 IPv6 安全评估 ❌ 禁止公司网/校园网未授权 mitm6、伪造 RA ❌ 禁止利用 IPv6 侧门窃取域凭据IPv6 攻击在真实红队中并不罕见蓝队必须同等重视。十六、攻击链位置内网接入WiFi/办公网 ├─► IPv4 ARP 欺骗前篇 └─► IPv6 RA/ND 欺骗本篇── 双栈侧门 ├─► DNS 劫持RDNSS / mitm6 ├─► HTTP 明文嗅探 └─► NTLM 中继等域环境授权演示与 BGP 无关不同层次与 DNS、ARP 紧密耦合。十七、本篇小结┌─────────────────────────────────────────────────────────────┐ │ IPv6 安全 核心记忆 │ ├─────────────────────────────────────────────────────────────┤ │ NDP ARP 自动配置NA/RA 均可伪造 │ │ RA 欺骗可改默认路由 DNSRDNSS │ │ 双栈下 IPv6 可能成为 MITM 侧门 │ │ 过渡隧道6to4/Teredo与 NAT64 有遗留风险 │ │ 防御RA Guard、ND Inspection、accept_ra、v6 防火墙对齐 v4 │ │ 工具parasite6、fake_router6、mitm6仅授权靶场 │ └─────────────────────────────────────────────────────────────┘下一篇预告《VPN 协议大比拼IPSec、OpenVPN、WireGuard 安全实测》——从局域网欺骗转到加密隧道的选型与实测。附录 A命令速查# 查看 IPv6ip-6addrip-6routeip-6neigh# 转发sudosysctl-wnet.ipv6.conf.all.forwarding1# 攻击工具靶场sudoparasite6-leth1-Fvictimgatewaysudofake_router6 eth1 fd66:66:66::/64sudomitm6-dlab.local-ieth1# 抓包sudotcpdump-ieth1 icmp6-n附录 BICMPv6 类型速查Type名称133Router Solicitation134Router Advertisement135Neighbor Solicitation136Neighbor Advertisement137Redirect附录 C与专栏前篇关联前篇关联ARP 欺骗NA 欺骗同构DNS 安全RDNSS、mitm6 劫持Wiresharkicmpv6过滤器SSL 剥离双栈下协议选择影响攻击路径