色婷婷狠狠18禁久久YY,CHINESE性内射高清国产,国产女人18毛片水真多1,国产AV在线观看

ipv6相比ipv4在網絡性能和安全方面有哪些改進和提升

洪振霞2年前33瀏覽0評論

ipv6相比ipv4在網絡性能和安全方面有哪些改進和提升?

IPv4協議報文頭結構冗余,影響轉發效率;同時缺乏對端到端安全、QOS、移動互聯網安全的有效支持。IPv6協議重點針對上述幾個方面進行了改進,采用了更加精簡有效的報文頭結構。IPv6協議選項字段都放在擴展頭中(如表1所示),中間轉發設備不需要處理所有擴展報文頭,提高數據包處理速度,并且通過擴展選項實現強制IPSec安全加密傳輸和對移動互聯網安全的支持。

安全方面:

⑴可溯源性

IPv6巨大的地址空間帶來了網絡的可溯源性。在IPv4網絡中,由于網絡地址少而必須布置的NAT存在,使得攻擊發生后的追蹤變得尤其困難。這導致目前采用的基于事前預防的過濾類方法或是基于事后追查的回溯類方法都存在部署困難的缺陷,使得安全的保障性大大降低。隨著IPv6的逐步部署,巨大的地址空間使得每個用戶都可以獲得惟一的網絡IPv6地址,該地址可以和用戶的個人信息綁定,更加有利于互聯網的溯源行為。由于溯源行為的簡單化,網絡罪犯可能被發現并獲得懲罰的可能性提高,互聯網上的行為就能夠受到更多的約束,從而降低了網絡的犯罪率,帶來一個較為安全的網絡。不僅如此,IPv6的地址匯聚、過濾類的方法實現會更簡單,負載更小;另一方面由于節點不需要使用NAT就可以和對方溝通,不需要網絡地址的轉換,追蹤更容易,不論客戶以何種方式連接,都能夠通過簡單的過濾完成對節點地址的控制,提高了網絡的安全性。

⑵反偵察能力

除個人信息和地址綁定帶來可溯源的安全性之外,另一方面由于龐大的IPv6地址,使得在IPv4網絡中常常被黑客使用的偵察在IPv6網絡中變得更加困難。偵察是很多其他網絡攻擊方式的初始步驟,網絡攻擊者能夠通過偵察獲得信息,進一步獲得關于被攻擊網絡地址、服務、應用等內容,為下一步的攻擊做準備。據計算,在一個擁有1萬個主機的IPv6子網中,假設地址隨機均勻分布,以一百萬次每秒的速度掃描,發現第一個主機所需要的時間均值超過28年。這使得網絡偵察變得極為困難,從而防范進一步攻擊的發生,也降低了攻擊可能帶來的危害程度。

⑶NDP和SEND

巨大的IPv6地址帶來了網絡安全的第一層保護——可溯源和反偵察,而第二層保護來自于IPv6協議本身針對網絡安全作出的更多改善,比如IPv6取消了ARP。在IPv6中,ARP的功能被鄰居發現協議(NeighborDiscoveryProtocol,NDP)所代替。鄰居發現協議通過發現鏈路上的其他節點,判斷其他節點的地址,尋找可用路由,并保存可到達的其他節點的信息來保證通信。對比ARP,NDP僅在鏈路層實現,更加獨立于傳輸介質。同時IPv6協議中的NDP,相對于IPv4下的NDP補充了鄰居不可達發現(NeighborUnreachabilityDetection,NUD),加強了IP包在節點路由間傳遞的健壯性。此外,下一代互聯網的安全鄰居發現(SEcureNeighborDiscovery,SEND)(RFC3971)協議通過獨立于IPSec的另一種加密方式(CryptographicallyGeneratedAddress),保證了傳輸的安全性。

⑷強制實現的IPSec能力

IPv6的另一個安全性體現是來自其要求強制實現IPSec的能力。IPSec為IPv6網絡中的每個節點提供了數據源認證、完整性和保密性的能力,同時還可以使節點有能力抵抗重放攻擊。通過兩個擴展報頭——認證頭(AuthenticationHeader,AH)和封裝安全載荷(EncapsulationSecurityPayload,ESP)將安全機制內嵌在協議之中。其中AH實現保護數據完整性(即不被非法篡改)、數據源發認證(即防止源地址假冒)和抗重放(Replay)攻擊3個功能,而ESP則在AH所實現的安全功能基礎上,增加了對數據保密性的支持。

ARP:

IPv6采用NDP協議替代IPv4中的ARP協議,二者雖然協議層次不同但實現原理基本一致,所以針對ARP的攻擊如ARP欺騙、ARP泛洪等在IPv6協議中仍然存在,同時IPv6新增的NS、NA也成為新的攻擊目標。NDP協議寄希望于通過IPSec來實現安全認證機制,但是協議并沒有給出部署指導,另一方面,SEND協議可以徹底解決NDP協議的安全問題,但是目前終端及設備還普遍不支持該協議。

DDoS:

IPv6中DDoS防御并不比IPv4更好,甚至某些報道稱IPv6比IPv4更容易受到DDoS攻擊。當然這個和IPv6未大規模應用,安全防御研究不足有關。

java arp掃描,ipv6相比ipv4在網絡性能和安全方面有哪些改進和提升