|
|
|
|
|
|
|
|
IPv4地址,IPsec就能被使用,因此DSTM不会破坏在任何点的端到端的通信安全。
尽管如此,由于DSTM技术要求DSTM节点需要通过向DSTM服务器请求临时地址来动态配置IPv4栈,这直接为DSTM在地址分配方面带来一个重大缺陷——容易受到DoS攻击,虽然DSTM网络要求是一个Intranet环境,DoS攻击对地址池的威胁有限,但这个问题仍然不容忽视。
下面我们看一个实际例子。如果TEP与DSTM服务器在物理上不是安装在同一台主机上,则当TEP收到携带IPv4包的IPv6数据包时,它就自动使用包内携带的信息(IPv6和IPv4源和目的地址)通过动态隧道接口(DTI)创建一个IPv4-in-IPv6隧道。有一点必须注意,这种情况下没有方法检查TEP所建立的隧道与DSTM服务器的分配的对应关系,所以一个主机(A)被分给一个IPv4地址后,在用这个地址通过使用DTI创建的IPv4-over-IPv6隧道与一个IPv4网络通信时,如果另一个主机(B)使用与A相同的IPv4源地址发了一个IPv4 in IPv6的包,TEP和A之间的隧道就会被破坏掉了,并且被TEP和B之间的隧道所代替。这就是所谓的DTI问题,这种情况在欺骗攻击时比较常见。解决此问题的一个办法就是加入认证机制,但是目前的应用都是基于远程程序调用(RPC)的,而基于RPC的应用却不页码:[1] [2] [3] [4] [5] [6] [7] [8] 第3页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
