盟
(SA)要求使用IP認(rèn)證首部的話，節(jié)點(diǎn)在發(fā)送ICMP報(bào)文時(shí)就應(yīng)該包括IP認(rèn)證首部 。安
全
聯(lián)盟可以通過手工建立，也可以通過一些密鑰治理協(xié)議自動建立 。
收到有認(rèn)證首部的ICMP包時(shí)，必須對它的正確性加以驗(yàn)證 。假如包的認(rèn)證首部不
正
確的話，這個包必須被忽略，丟棄 。
這里也應(yīng)該有一種可能，系統(tǒng)治理員將節(jié)點(diǎn)配置為忽略任何使用認(rèn)證首部或封裝安
全
載荷(ESP)的ICMP報(bào)文，不對他們進(jìn)行驗(yàn)證 。這種改變在缺省情況下，應(yīng)該答應(yīng)接收沒
有
認(rèn)證的報(bào)文 。
機(jī)密性的問題在IP安全結(jié)構(gòu)和IP封裝安全載荷文檔[IPv6-SA,IPv6-ESP]中有講
解 。
5.2ICMP攻擊
ICMP報(bào)文可能遭受到各種各樣的攻擊 。在IP安全結(jié)構(gòu)文檔[IPv6-SA]中可以找到有
關(guān)與此的完整的討論 。一個簡短的有關(guān)此類攻擊即其防范的討論如下：
1. 有的攻擊故意使報(bào)文接收者認(rèn)為報(bào)文是從另外的源站發(fā)出的，而不是報(bào)文真正的產(chǎn)
生
者 。防范這類攻擊可對ICMP報(bào)文采取IPv6認(rèn)證機(jī)制[IPv6-AUTH].
2. 有的攻擊故意使報(bào)文或者其應(yīng)答到達(dá)一個不是發(fā)起者想到的目的地 。對于報(bào)文在源
地
址和目的地址之間通過IP包傳送時(shí)被惡意的攔截者攔截，并改變了報(bào)文的數(shù)據(jù)的情
況，假如通過對ICMP報(bào)文進(jìn)行認(rèn)證[IPv6-AUTH]和加密[IPv6-ESP]而將ICMP的校驗(yàn)
和
字段加以保護(hù)，ICMP的校驗(yàn)和就能對這種情況提供防范機(jī)制 。
3. ICMP報(bào)文的信息字段或有效載荷可能被改變 。對ICMP報(bào)文進(jìn)行認(rèn)證[IPv6-AUTH]和
加
密[IPv6-ESP]是對這種攻擊的一種防范機(jī)制 。
4. 通過給先前的惡意的IP包回送，ICMP報(bào)文可能被用來試圖完成否認(rèn)服務(wù)攻擊 。正
確
的遵循這個規(guī)范的2.4節(jié)，f段提到的ICMP錯誤比率限制機(jī)制能夠提供防范 。
6．參考文獻(xiàn)
[IPv6]Deering,S.andR.Hinden,"InternetProtocol,Version
6,(IPv6)Specification",RFC2460,December1998.
[IPv6-ADDR]Hinden,R.andS.Deering,"IPVersion6Addressing
Architecture",RFC2373,July1998.
[IPv6-DISC]Narten,T.,Nordmark,E.andW.Simpson,"Neighbor
DiscoveryforIPVersion6(IPv6)",RFC2461,December
1998.
[RFC-792]Postel,J.,"InternetControlMessageProtocol",STD5,
RFC792,September1981.
[RFC-1122]Braden,R.,"RequirementsforInternetHosts-
CommunicationLayers",STD5,RFC1122,August1989.
[PMTU]McCann,J.,Deering,S.andJ.Mogul,"PathMTU
DiscoveryforIPversion6",RFC1981,August1996.
[RFC-2119]Bradner,S.,"KeyWordsforuseinRFCstoIndicate
RequirementLevels",BCP14,RFC2119,March1997.
[IPv6-SA]Kent,S.andR.Atkinson,"SecurityArchitectureforthe
InternetProtocol",RFC2401,November1998.
[IPv6-Auth]Kent,S.andR.Atkinson,"IPAuthenticationHeader",
RFC2402,November1998.
[IPv6-ESP]Kent,S.andR.Atkinson,"IPEncapsulatingSecurity
Protocol(ESP)",RFC2406,November1998.
7．致謝
這篇文檔是從以前SIPP和Ipng工作組的ICMP草稿變化來的 。
Ipng工作組非凡是RobertElz,JimBound,Bill，Simpson,ThomasNarten,Charlie
Lynn,BillFink,ScottBradner,DimitriHaSKIN,andBobHinden（按邏輯順序）
提
供了深入的評論和回饋 。
8．作者地址
AlexConta
LUCentTechnologiesInc.
300BakerAve,Suite100
USA
Phone: 1978287-2842
EMail:aconta@lucent.com
StephenDeering
CiscoSystems,Inc.
170WestTasmanDrive
SanJose,CA95134-1706
USA
Phone: 1408527-8213
EMail:deering@cisco.com
附錄A——自RFC1885以來的改變
版本2-02
-從2.4節(jié)f.2段開始沒有提到信息回顯 。
-在“上層通告”段中，將“上層協(xié)議”和“用戶接口”改為“進(jìn)程” 。
-改變了5.2節(jié)第二條和第三條，都參考AH認(rèn)證 。

推薦閱讀

• 

  粉紅色的小狐貍叫什么
• 

  雞肉常溫下能放多久
• 

  食品配料表中菊粉的作用 菊粉是什么原料東西做成的
• 

  中國人的奧運(yùn)精神
• 

  酥肉怎么做又酥又脆？
• 

  美版三星為什么不能解bl鎖
• 

  游客身份看微博有記錄嗎 游客看微博會有記錄嗎
• 

  現(xiàn)在十大最好就業(yè)的專業(yè)是什么 現(xiàn)在哪些專業(yè)最好就業(yè)
• 

  基金理財(cái)，如何選購基金？
• 

  臨沂為什么被稱為小上海 為什么說臨沂是小上海
• 

  MBA論文常用研究方法,如何寫好案例型論文
• 

  騰訊視頻清晰度設(shè)置方法
• 

  鳴和鸞屬于君子六藝中的哪一項(xiàng)
• 

  金華 北海 高鐵站在哪里，廣東省深圳市龍崗區(qū)附近最近的高鐵站是哪
• 

  800卡路里要跑多久
• 

  小編分享ipro手機(jī)怎么樣(小編分享今天的教會與信徒都缺乏什么）

• 關(guān)于IPv6 ICMPv6類的MIB
• Ipv6測試地址分配
• 因特網(wǎng)交換密鑰
• 因特網(wǎng)子網(wǎng)
• 支持IPv6地址聚合和重編號的DNS擴(kuò)展
• IPv6 主機(jī)和軟件路由器轉(zhuǎn)換機(jī)制
• SMTP 針對命令流水線的服務(wù)擴(kuò)展
• 如何去掉多余的單元格
• TCP和UDP通過IPv6 Jumbograms
• 針對LDAP的驗(yàn)證方法