IPv6でのセキュリティを考えるとき、アドレススキャン攻撃も重要な要素のひとつです。IPv6では、IPv4と比べてアドレススキャン攻撃の難易度が著しく上昇します。IPv6は、IPv4と比べると、サブネットとして使われるIPv6アドレス空間が膨大だからです。
IPv4アドレスは32ビットですが、IPv6はサブネットだけで倍のビット数の64ビットです。これは、IPv4インターネット全体のアドレス空間の約43億倍のアドレス空間が、IPv6ではサブネットだけで使われているということです。
IPv6のアドレスが広大であるため、アクティブなIPv6アドレスを発見するのが、IPv4と比べて非常に大変です。そのため、外部からのIPアドレススキャン攻撃も、IPv4よりも、IPv6の方が著しく効率が悪くなります。
IPv6では、アドレススキャン攻撃による効果が低くなっているものの、条件によっては、スキャン対象を絞り込むことも可能です。RFC 7707は、IPv6アドレスが設定される方法を活用し、遠隔からのアドレススキャンの効率を上昇させる手法や、ローカルネットワークからのアドレススキャン、アドレススキャンを行うための既存ツール紹介、IPv6アドレススキャン攻撃に対する緩和策、
などを論じています。
この効率の悪さは攻撃を成功させる難易度を上昇させるという利点がありますが、同時に、NDPへのDoS攻撃になる可能性があるという欠点もあります。
この動画の流れは、次のようになっています。
00:00 概要
01:19 /64に対するIPv6アドレススキャン攻撃
03:32 RFC 7707
14:49 IPv6アドレススキャン攻撃によるNeighborキャッシュ溢れ問題
===
【関連動画】
IPv6入門 - ややこしいIPv6アドレスの自動設定
[ Ссылка ]
近隣探索プロトコルRouter AdvertisementとRouter Solicitation - IPv6アドレス自動設定を構成する基礎技術
[ Ссылка ]
===
この動画で解説している内容は、拙著「プロフェッショナルIPv6」でも説明しています。紙版と全く同じ内容の電子版は無料ダウンロード可能なので、ご興味がある方は「プロフェッショナルIPv6」で検索してください。
===
