CNS 15082-2007 Internet control message protocol (ICMPv6) for the internet protocol version 6 (IPv6) specification《用于IPV6规格之因特网控制讯息协议》.pdf

上传人:ideacase155 文档编号:634977 上传时间:2018-12-22 格式:PDF 页数:16 大小:531.95KB
下载 相关 举报
CNS 15082-2007 Internet control message protocol (ICMPv6) for the internet protocol version 6 (IPv6) specification《用于IPV6规格之因特网控制讯息协议》.pdf_第1页
第1页 / 共16页
CNS 15082-2007 Internet control message protocol (ICMPv6) for the internet protocol version 6 (IPv6) specification《用于IPV6规格之因特网控制讯息协议》.pdf_第2页
第2页 / 共16页
CNS 15082-2007 Internet control message protocol (ICMPv6) for the internet protocol version 6 (IPv6) specification《用于IPV6规格之因特网控制讯息协议》.pdf_第3页
第3页 / 共16页
CNS 15082-2007 Internet control message protocol (ICMPv6) for the internet protocol version 6 (IPv6) specification《用于IPV6规格之因特网控制讯息协议》.pdf_第4页
第4页 / 共16页
CNS 15082-2007 Internet control message protocol (ICMPv6) for the internet protocol version 6 (IPv6) specification《用于IPV6规格之因特网控制讯息协议》.pdf_第5页
第5页 / 共16页
点击查看更多>>
资源描述

1、1 印月965月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.100.30 X127015082經濟部標準檢驗局印 公布日期 修訂公布日期 965月14日 月日 (共16頁)用於 IPv6 規格之網際網路控制訊息協定 Internet control message protocol (ICMPv6) for the internet protocol version 6 (IPv6) specification 1. 適用範圍 本標準適用於網際網路社群 (internet community)的網際網路標準之進 程協定,並徵詢討論和建議以供改進。針對標準化狀態

2、和本協定的狀況,請參照 “網際網路正式協定標準 “ (internet official protocol standards, STD 1)的目前版本。 本標準規定用於一組用於網際網路控制訊息協定 (internet control message protocol, ICMP v6)之控制訊息格式,以作為在 IPv6 中使用。網際網路協定第 6 版(the internet protocol, version 6, IPv6)是 IP 協定的新版本。 IPv6 使用了與 IPv4 相同定義之網際網路控制訊息協定 (internet control message protocol, ICM

3、P),但有些許改變。此最後協定稱為 ICMPv6, IPv6 Next Header 值為 58。 本標準描述一組用於 ICMPv6 之控制訊息格式。其不描述使用這些訊息以達到相關功能 (如:探索路徑最大傳輸單位 MTU)之程序;這些程序描述於其他標準中 (如:PMTU)。其他相關標準也可能會介紹一些附加之 ICMPv6 訊息型式,例如鄰節點探索訊息 IPV6-DISC,其遵循本標準第 2 節中所敘述 ICMPv6 訊息之一般規則。 在 IPv6 規格 IPv6及在 IPv6 選路和定址 (routing and addressing)規格 IPv6-ADDR中所定義之術語亦適用於本標準。 本

4、標準廢棄 RFC 2463 標準 RFC-2463更新 RFC 2780 標準 RFC-2780。 本標準中關鍵字必須 (MUST)、不得 (MUST NOT)、需要 (REQUIRED)、應 (SHALL)、不應 (SHALL NOT)、宜 (SHOULD)、不宜 (SHOULD NOT)、建議 (RECOMMENDED)、可 (MAY)與選項的 (OPTIONAL)之意義說明於 RFC 2119 中。 2. ICMPv6 IPv6 節點用 ICMPv6 來報告在處理封包過程中所遇到之錯誤,並執行其他網際網路層的功能,如診斷 (ICMPv6 “ping“)。 ICMPv6 是 IPv6 中之

5、主要部分,及每一個 IPv6 節點都必須全部實作其基底協定 (本標準所需之所有訊息與行為 )。 2.1 訊息通用格式 每個 ICMPv6 訊息會在前面加上 IPv6 標頭 (header)及 0 或多個 IPv6 延伸標頭(extension header)。 ICMPv6 標頭是由緊鄰在前 IPv6 標頭中的 Next Header 值為58 所識別。 (這與識別 IPv4 之 ICMP 的值不同。 ) ICMPv6 訊息通用格式如下: 2 CNS 15082, X 1270 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4

6、5 6 7 8 9 0 1 型式 碼 核對和 訊息本體 型式欄指示了訊息的型式。其值也決定其餘資料的格式。 碼欄依訊息型式而定的。它用來建立額外等級之精細度。 核對和欄用來偵測在 ICMPv6 訊息及部分 IPv6 標頭中資料之損壞 (data corruption)。 本標準定義了下列 ICMPv6 訊息格式: ICMPv6 錯誤訊息 1 目的地無法抵達 (destination unreachable) (見第 3.1 節 ) 2 封包過大 (packet too big) (見第 3.2 節 ) 3 超出時限 (time exceeded) (見第 3.3 節 ) 4 參數問題 (par

7、ameter problem) (見第 3.4 節 ) 100 私用實驗 101 私用實驗 127 保留作 ICMPv6 錯誤訊息擴充用 ICMPv6 參考性訊息 128 回訊請求 (echo request) (見第 4.1 節 ) 129 回訊回應 (echo reply) (見第 4.2 節 ) 200 私用實驗 201 私用實驗 255 保留作為 ICMPv6 參考性訊息擴充用 型式值 100,101,200 及 201 保留作私用實驗,其不打算提供一般使用。這是期望大家使用相同型式值以從事多重並行實驗。任何大範圍 (Wide-scale)及或非控制用途宜取自第 6 節所定義的實際配置

8、值。 如果未來型式值範圍短缺不夠用,型式值 127 及 255 保留作擴充用,該細節留待未來研究。一種可能作法與目前 實作不會造成任何問題,就是如果型式值為127 或 255 時,其碼欄宜供新指定 (assignment)使用。既有實作將忽略,如第 2.4(b)節所定義之新指定。使用延伸型式值之新訊息可在訊息本體為其碼值指定欄位。 第 3 節及第 4 節描述 ICMPv6 錯誤訊息型式 1 至 4 及 ICMPv6 參考性訊息型式128 及 129 之訊息格式。其至少包含調用封包開始,以允許造成 ICMPv6 錯誤訊息之封包發送者識別送出該封包的上一層協定及處理程式。 ICMPv6 訊息分為兩

9、 類:錯誤訊息 (error message)和參考性訊息 (informational message)。錯誤訊息藉由在訊息型式 (message type)欄位之高階位元值為 0 而予3 CNS 15082, X 1270 以識別。因此,錯誤訊息之訊息型式編號由 0 到 127;參考性訊息之訊息型式編號由 128 到 255。 2.2 訊息來源位址決定 在計算核對和之前,發送 ICMPv6 訊息之節點必須要決定好在 IPv6 標頭中的來源 (source)和目的地 (destination)。 IPv6 位址。如果節點有多於一個單播位址(unicast address),其必須按以下方式選

10、擇來源位址: (a) 如果訊息是回應於發送給該節點之一單播位址的訊息時,則回應來源位址必須是同一位址。 (b) 如果訊息是回應給如下列其他位址之訊息時, 多播 (multicast)群組位址 此節點所實作之任播 (anycast)位址 不屬於此節點之單播 (unicast)位址 ICMPv6 封包內來源位址必須是屬於該節點之單播位址。此來源位址之選擇宜依照在給定封包目的地位址下,由此 節點發送任何其他封包之規則。然而,如果能夠從 ICMPv6 封包目的地可抵達位址中得到較有參考性的位址選擇時,其可以用替代方式來選擇來源位址。 2.3 訊息核對和計算 核對和之值是將全部 ICMPv6 訊息經過

11、1 的補數 (ones complement)加總後,取16 位元 1 的補數值所得到的。其中,全部 ICMPv6 訊息是以型式欄開始,加入IPv6 標頭欄位的擬標頭 (pseudo-header) IPv6,第 8.1 節,使用於擬標頭中Next Header 值為 58 (ICMPv6 核對和加入擬標頭來計算,是從 IPv4 變化而來的,此變化詳見 IPv6之解釋 )。在計算核對和時,核對和欄被設置為 0。 2.4 訊息處理規則 當處理 ICMPv6 訊息時,實作必須遵照以下規則 RFC-1122: (a) 如果目的地收到一未知型式之 ICMPv6 錯誤訊息,則此訊息必須往上一層處理程式傳

12、遞,如果發送此造成錯誤封包的上一層能夠被識別出時 (見第 2.4(d)節 )。 (b) 如果收到一個未知型式的 ICMPv6 參考性訊息,則此訊息必須默默地丟棄。 (c) 每個 ICMPv6 錯誤訊息 (型式 128)必須要儘可能包含 IPv6 違規(調用)封包(offending (invoking)packet)(造成錯誤之封包),且不讓錯誤訊息封包大小超過最低 IPv6 MTU 值 IPv6。 (d) 在網際網路層協定需要將 ICMPv6 錯誤訊息傳遞到上一層協定處理的情況下,上一層協定型式要從原始封包取出 (包含在 ICMPv6 錯誤訊息本體中 ),並用來選擇合適之上一層處理程式以處理

13、此錯誤。 在不可能從 ICMPv6 訊息取出上一層協定型式的情況下,經任何 IPv6 層處理後,要默默地丟棄 ICMPv6 訊息。在這種情況之例子,就是一 ICMPv6 訊息包含很大 之延伸標頭,那麼由於要將原始封包裁斷 (Truncation)以滿足最小IPv6 MTU 限制 IPv6,有可能上一層協定型式將不會出現在 ICMPv6 訊息4 CNS 15082, X 1270 中。另一例子是 ICMPv6 訊息包含一個 ESP 延伸標頭,由於裁斷或用以解密封包所需之狀態不可得故無法解密回原始封包。 (e) 如果收到下述訊息,則不得送出 ICMPv6 錯誤訊息: (e.1) 收到一個 ICMP

14、v6 錯誤訊息,或者 (e.2) 收到一個 ICMPv6 轉向訊息 IPv6-DISC。 (e.3) 收到一個送往 IPv6 多播位址之封包 (此法則有兩個例外情況: (1) 封包過大訊息 (第 3.2 節 ),以允許 IPv6 多播之探索路徑 MTU; (2) 碼值為 2(第 3.4 節 )之參數問題訊息,用以回報將選項型式之最高兩位元設為 10 的未知 IPv6 選項 (見 IPv6第 4.2 節 ), (e.4) 收到一個發送為鏈路層 (Link-Layer)多播封包 (e.3 之例外情況亦適用於本情況 ), (e.5) 收到一個發送為鏈路層廣播 (Broadcast)的封包 (e.3

15、之例外情況亦適用於本情況 ), (e.6) 收到一個來源位址無法唯一地識別出單一節點之封包,例如, IPv6 未規定位址、 IPv6 多播位址、或 ICMP 訊息發送者已知作為 IPv6 任播的位址。 (f) 最後,為限制發送 ICMPv6 錯誤訊息所引發之頻寬和轉送成本位址,一 IPv6節點必須限制它所發送 ICMPv6 錯誤訊息之速率。當發送一串錯誤封包來源節點無法注意到所導致的 ICMPv6 錯誤訊息時,此種情況就可能發生。 轉送 ICMP 訊息之速率限制超出本標準範圍。 一個實作速率限制功能的建議方法是符記桶 (token bucket),其限制平均傳輸速率為 N, N 為每秒封包數或

16、所接鏈路頻寬之一個分數,但允許叢發 (burst)時最多有 B 個錯誤訊息,只要不超過長期平均數。 不建議使用無法解決叢發訊務的速率限制機制 ( 如:路徑追蹤(e.g.,tracerroute),例如,一簡單以計時器為基礎之實作,其允許每 T 毫秒有一錯誤訊息 (甚至採用低的 T 值 )是不合理的。 速率限制參數宜用組態設定方式, 在實作符記桶,最佳預設值視實作期望在那裡部署而定, (例如,在高階路由器或嵌入式主機 )。舉例來說,在一中小型裝置中,其可能預設值是 B=10 及 N=10/s。 備考: 對發送 ICMPv6 錯誤訊息而言,以上 (e)及 (f)限制是優先於本標準中其他任何需求。

17、下面幾節描述上述 ICMPv6 訊息格式。 3. ICMPv6 錯誤訊息 3.1 目的地無法抵達訊息 5 CNS 15082, X 1270 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1型式 碼 核對和 未用 儘可能與調用封包一樣地長 並且不讓 ICMPv6封包大小 超過最低 IPv6 MTU IPv6 IPv6 欄位: 目的地位址 從調用封包之來源位址欄複製而來。 ICMPv6 欄位: 型式 1 碼 0 表示沒有路徑到目的地 1 與目的地之通訊被管理禁止 2 超出來源位址範圍 3 位址無法抵達

18、4 埠無法抵達 5 來源位址不符入出政策 6 拒絕路徑至目的地 未用欄 此欄對所有碼值皆未使用。發送者必須將它初始化為 0,接收者則必須將它忽略。 說明 目的地無法抵達訊息宜由路由器或由發端節點 IPv6 層來產生,以回應除擁塞外無法遞送到目的地位址之封包 (若是因為擁塞而導致封包被丟棄,則不得產生ICMPv6 訊息 )。 若遞送失效理由是因為在轉送節點選路表中缺少匹配項,則碼欄設定為 0(只有在節點選路表中沒有預設路由時,此錯誤才會發生 )。 若遞送失效理由是因為管理禁止時,如:(防火牆過濾),則碼欄設定為 1。 若遞送失效理由是因為目的地超出來 源位址範圍,則碼欄設定為 2。只有在來源位址

19、範圍小於目的 地位址範圍 (例如:當封包有一個鏈路 -本地來源位址及全域目的地位址時 )以及封包在不離開來源位址範圍內無法遞送至目的地時,此錯誤才會發生。 若遞送失效理由是不能映射至其他碼時,則碼欄設為 3。如:無法解析 IPv6 目的地位址成對應鏈路位址,或類似鏈路特定問題。 在某一特定情況下,送出碼值為 3 之目的地無法抵達訊息以回應路由器從點對6 CNS 15082, X 1270 點鏈路上所收到之封包;其前往目 的地位址是在指定給該相同鏈路子網路之範圍內 (其不同於接 收端路由器本身位址中之任一個 )。在此情況下,該封包不得回送至到達鏈路。 如果封包在轉送協定 (如 UDP)無傾聽者,

20、且轉送協定沒有替代方法通知發送者時,目的地節點宜發送碼值為 4 之目的地無法抵達訊息以回應此封包。 若遞送失效理由是由於入 /出政策過濾使得封包來源位址不被允許時,則碼欄設為 5。 若遞送失效理由是由於至目的地路徑 為拒絕路徑時,則碼欄設為 6。此情況發生於如果路由器組態設定為拒絕某一特定前綴之所有訊務時。 碼值為 5 及 6 是碼值為 1 之子集合,其含有較多參考性資訊。 為安全性理由,建議一個實作宜允許 ICMP 目的地無法抵達訊息之發送可以被制止 (disabled),最好是以每一介面為基礎。 上一層通知 如果相關處理程式能被識別則收到 ICMPv6 目的地無法 抵達訊息之節點必須通知上

21、一層處理程式,(見第 2.4 節 (d))。 3.2 封包過大訊息 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 型式 碼 核對和 MTU 儘可能與調用封包一樣地長 並且不讓 ICMPv6封包大小 超過最低 IPv6 MTU大小 IPv6 IPv6 欄位: 目的地位址 從調用封包的來源位址欄複製而來。 ICMPv6 欄位: 型式 2 碼 發送者將它設為 0,接收者則將它忽略。 最大傳輸單位 下個中繼段 (Next-Hop)鏈路之最大傳輸單元。 說明 封包過大訊息必須由路由器 (Router)發送,

22、以回應因封包超過去訊鏈路 MTU 而無法轉送。此訊息中資訊將作為探索路徑 MTU 處理程式 PMTU之一部分。 發送封包過大訊息會造成何時發送 ICMPv6 錯誤訊息規則之一例外情形,因為它不像其他訊息,發送此訊息是用來回應所收到封包含有 IPv6 多播目的地位址、或鏈路層多播位址、或鏈路層廣播位址。 7 CNS 15082, X 1270 上一層通知 如果相關的處理程式可以被識別 則來訊的封包過大訊息必 須傳遞給 上一層處理程式(見第 2.4 節 (d))。 3.3 超出時限訊息 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3

23、4 5 6 7 8 9 0 1型式 碼 核對和 未用 儘可能與調用之封包一樣長 並且不讓 ICMPv6封包之大小 超過最低 IPv6 MTU大小 IPv6 IPv6 欄位: 目的地位址 從調用封包的來源位址欄複製而來 ICMPv6 欄位: 型式 3 碼 0 中轉超過了中繼段限制 (hop limit) 1 超出分段重組時限 未用 此欄對所有碼值皆未使用。發送者必須將它初始化為 0,接受者則必須將它忽略。 說明 如果路由器收到一個中繼段限制為 0 的封包,或是路由器將封包的中繼段限制逐次遞減成為 0 時,它必須丟棄此封包並發送一個碼為 0 的 ICMPv6 超出時限訊息給封包的來源。這顯示可能存

24、 在著路由環路,或者是中繼段限制值的初始值設得太小。 一個碼值為 1 的 ICMPv6超出時限訊息是用來報告分段重組時超出時限,如 IPv6第 4.5 節 所規定的。 對上一層之通知 如果相關的處理程式可以被識別時, 一個來訊的超出時限訊息必須傳送給上一層處理(見第 2.4 節 (d))。 3.4 參數問題訊息 8 CNS 15082, X 1270 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 型式 碼 核對和 指標 儘可能與調用之封包一樣地長 並且不讓 ICMPv6封包大小 超過最低 IPv6

25、 MTUIPv6 IPv6 欄位: 目的地位址 從調用封包的來源位址欄複製而來 ICMPv6 欄位: 型式 4 碼 0 當遇到錯誤的標頭欄時 1 當遇到無法辨識的 Next Header 型式時 2 當遇到無法辨識的 IPv6 選項時 指標 於偵測到錯誤的地方, 識別出其在調用封包內八位元組偏置 (Octet Offset)。若出錯的欄位超出 ICMPv6 錯誤訊息的最大尺寸時,指標將會指出超向 ICMPv6 封包結尾的地方。 說明 如果 IPv6 節點在處理封包時,發現 IPv6 標頭或其延伸標頭中的某個欄位有問題而無法完整的處理該封包時,它必須丟棄這個封包且宜發送一個 ICMPv6 參數問

26、題訊息給封包的來源,指示出該問題的型式與位置。 碼值為 1 及 2 是碼值為 0 之子集合,其含有較多參考性資訊。 指標識別出原始封包標頭中已檢測 出錯誤之處並以八位元組值表示,例如,一個型式欄為 4,碼欄為 1,指標欄為 40 的 ICMPv6 訊息,就是指示出在原始封包中 IPv6 標頭後的 IPv6 延伸標頭中,有一個無法辨識的 Next Header 欄位值。 對上一層之通知 如果相關的處理程式可以被識別出的話, 收到此種 ICMPv6 訊息之節點必須通知上一層處理(見第 2.4(d)節)。 4. ICMPv6考性訊息 4.1 回訊請求 (echo request)訊息 9 CNS 1

27、5082, X 1270 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1型式 碼 核對和 識別符 序號 資料 . IPv6 欄位: 目的地位址 任一合法的 IPv6 位址 ICMPv6 欄位: 型式 128 碼 0 識別符 識別符是用來幫助處理回訊回應與此回訊請求進行匹配。其值有可能為 0。 序號 序列號碼是用來幫助處理回訊回應與此回訊請求進行匹配。其值有可能為 0。 資料 0或多個八位元組的任意資料。 說明 每一個節點必須實作 ICMPv6 回訊回應者之功能,能接收回訊請求並發送相對應的回訊回應。

28、為診斷目的,一個 節點也宜實作一應用層介面,用來發送回訊請求並接收回訊回應。 對上一層之通知 回訊請求訊息可被遞送到接收 ICMP 訊息的處理 (process)。 4.2 回訊回應 (echo reply)訊息 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1型式 碼 核對和 識別符 序號 資料 . IPv6 欄位: 目的地位址 從調用回訊請求封包的來源位址欄複製而來 ICMPv6 欄位: 型式 129 碼 0 識別符 是取自於調用回訊請求訊息的識別符。 序號 是取自於調用回訊請求訊息的序號。 資料

29、 是取自於調用回訊請求訊息的資料。 說明 10 CNS 15082, X 1270 每一個節點必須實作 ICMPv6 回訊回應者之功能,能接收回訊請求並發送相對應的回訊回應。一個節點也宜實作 一應用層介面,用來發送回訊請求並接收回訊回應,以作為診斷目的。 若回訊回應是針對回應單播回訊請 求訊息而發送的,其來源位址必須與回訊請求訊息的目的地位址相同。 若是針對送往 IPv6 多播或任播位址的回訊請求訊息作出回應,則回訊回應宜被發送。回應訊息的來源位址必須是接收到此回訊請求訊息的介面所屬之單播位址。 在 ICMPv6 回訊請求訊息中所收到的資料,必須於 ICMPv6 回訊回應訊息中全部不修正的送回

30、。 對上一層之通知 回訊回應訊息必須被傳遞到發出回 訊請求訊息的處理程式,也可以被傳遞到沒有發出回訊請求訊息的處理程式。 注意有關將資料放入回訊請求訊息及回訊回應訊息中,其數量是沒有限制的。 5. 安全考量 5.1 ICMP 訊息的鑑別和加密 ICMP 協定封包交換可使用 IP 鑑別標頭 (authentication header)IPv6-AUTH或 IP囊裝安全酬載標頭 (encapsulating security payload header ) IPv6-ESP來鑑別。ICMP 協定封包之機密性 (confidentiality)可使用 IP 囊裝安全酬載標頭 IPv6-ESP來達

31、成。 SEC-ARCH有詳細描述 ICMP 訊務之 IPsec 處置。 5.2 ICMP 攻擊 ICMP 訊息可能會受到各種不同的攻擊。在 IP 安全架構 IPv6-SA文件中有完整的討論。有關此類攻擊及其防範,簡要討論如下: (1) ICMP 訊息可能會受到的攻擊之一,是意圖造成接收者相信訊息是從不同的來源所發,而非原始產生者。針對此種攻擊,可對 ICMP 訊息運用 IPv6 鑑別機制 IPv6-AUTH來加以防範。 (2) ICMP 訊息可能會受到的攻擊之一,是意圖造成訊息或其回應送往不同的一個目的地,而非訊息發送者想要到達的。藉 由使用鑑別標頭 IPv6-AUTH或囊裝安全酬載標頭 IP

32、v6-ESP可針對此攻擊來做保護。鑑別標頭係 IP 封包的來源與目的地位址 被改變提供保護。而囊裝安全酬載標頭則不能提供這種保護,但 ICMP 核對和之計算有包含來源與目的地位址,且 囊裝安全酬載標頭對 “核對和 ”做保護。因此, ICMP 核對和與 囊裝安全酬載標頭之組合提供此等攻擊之保護。惟囊裝安全酬載標頭所提供的保護能力,不如鑑別標頭的保護能力來得強些。 (3) ICMP 訊息可能會受到的改變,是訊息欄位或酬載。對 ICMP 訊息進行鑑別IPv6-AUTH或加密 IPv6-ESP處理能針對此攻擊來做到保護。 (4) ICMP 訊息可能被利用作為阻絕服務攻擊 (denial of serv

33、ice attacks)之執行以發送背對背的錯誤之 IP 封包。實作時正確地遵照本標準第 2.4(f)節之規定,11 CNS 15082, X 1270 便能以 ICMP 錯誤率限制機制來做保護。 (5) 在第 2.4 節,規則 e.3 例外 (2)中給予惡意的節點機會對多播來源造成阻絕服務攻擊。惡意的節點會送出一個包含著標記強制性的未知目的地位址選項之多播封包,及一個正當多播來源位址的 IPV6 來源位址的封包。很多目的地節點會送出 ICMP 參數問題訊息到多播來源,因而造成一個阻絕服務攻擊。多播訊務經由多播路由器轉送方式的要求 是惡意的節點必須是正當多播路徑的一部分,亦即要靠近多播來源,此

34、攻 擊只能採用安全的多播訊務避免之。多播來源在發送帶有強制性的未知目的地位址選項的訊務時,必須要小心。如果目的地位址選項對很多目的地節點而言是未知的話,因為它們會對它們自己造成阻絕服務攻擊。 (6) 當 ICMP 訊息傳遞至上一層處理程式時,亦有可能用 ICMP(TCP-attack)對上一層協定 (如 TCP)進行攻擊。因此,建議上一層在對 ICMP 作出回應之前,對 ICMP訊息執行某種形式的確認 (validation) (使用包含在 ICMP 訊息之酬載內的資訊 )。實際的確認檢查是上一層特定的,超出本標準範圍。而使用 IPsec來保護上一層,可減輕這些攻擊。 當處理網際網路資料包 (

35、datagram)時,遭遇網路發生錯誤情況,會使用 ICMP錯誤訊息通知。視特殊的情節而定,該網路錯誤情況在被報告出的短期內也許會或也許不會被解決。因此,對 ICMP 錯誤訊息的反應不僅要視錯誤型式及碼值,而且也要看其他因素而定,諸如,收到錯誤訊息的時間,被報告出網路錯誤情況的先前瞭解,以及接收主機正在操作下網路情況的瞭解。 6. IANA(internet assigned number authority)考量 6.1 新 ICMPv6 型式與碼值指定程序 本標準所定義的 ICMPv6 標頭包括下列欄位帶有 IANA 所管理名稱空間:型式與碼所指定的值。碼欄值係相對於特定的型式值而被指定的

36、。 依據下列程序配置 IPv6 ICMP 型式欄位值: (1) IANA 宜配置並永久登錄 IETF RFC 發行文件中新 ICMPv6 型式碼。這是要對所有源自 IETF 且經 IESG 核准發行文件的 RFC 型式,包括:標準進程,參考性及實驗性狀態。 (2) IETF 工作小組取得工作小組的同意及區域主管的批准可以向 IANA 要求可收回的 ICMPv6 型式碼指定。 IANA 對這些值貼上 “未來可收回 ”的標籤。 當 RFC 已經發行並依程序 1 所定義的方式登錄協定文件時, “未來可收回 ”標籤將會被移除。這樣會使得此指定變成永久並更新於 IANA 網頁上。 當 ICMPv6 型式

37、值指定達到 85%時, IETF 會檢討這些 IANA 貼上未來可回收標籤的指定,並通知 IANA 那些指定宜被收回及重新指定。 (3) IETF 以外單位要求新 ICMPv6 型式值指定,惟有透過 IETF 文件的發行,按照上述程序 1。亦請注意以 “RFC 編輯者貢獻 ”RFC-3978發行的文件,不被考慮為 IETF 文件。 本標準所定義之型 式值的新碼值指定需要經過標準的作業程序或 IESG 的批12 CNS 15082, X 1270 准。有關 IPv6 ICMP 新型式碼值指定政策未在本標準中定義,宜定義在 “定義新型式碼值 ”的相關標準中。 6.2 本標準之指定 下列所示為更新的

38、新碼值指定,可參考 IANA 網頁位置: http:/www.iana.org/assignments/icmpv6-parameters IANA 已經指定 ICMPv6 型式 1“目的地無法抵達 “碼值為 2,其在過去 RFC-2463標準中並未指定。 2 超出來源位址的範圍 IANA 已經指定下列二個新碼值給 ICMPv6 型式 1“目的地無法抵達 “: 5 來源位址不符進出政策 IANA 已經指定下列新型式值: 100 私用實驗 101 私用實驗 127 保留作為 ICMPv6 錯誤訊息之擴充 200 私用實驗 201 私用實驗 255 保留作為 ICMPv6 參考性訊息之擴充 相對應

39、國際標準:RFC 4443:2006 Internet Control Message Protocol (ICMPv6) for the Internet Protocol version 6 (IPv6) Specification 13 CNS 15082, X 1270 參考文獻 IPv6 Deering, S. and R. Hinden, “Internet Protocol, Version 6,(IPv6) Specification“, RFC 2460, December 1998. IPv6-DISC Narten, T., Nordmark, E. and W. Sim

40、pson, “Neighbor Discovery for IP Version 6 (IPv6)“, RFC 2461, December 1998. RFC-792 Postel, J., “Internet Control Message Protocol“, STD 5, RFC 792, September 1981. RFC-2463 Conta, A. and S. Deering, “Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specificatio

41、n“, RFC 2463, December 1998. RFC-1122 Braden, R., “Requirements for Internet Hosts Communication Layers“, STD 5, RFC 1122, August 1989. RFC-2119 Bradner, S., “Key words for use in RFCs to Indicate Requirement Levels“, BCP 14, RFC 2119, March 1997. RFC-3978 Bradner, S., “IETF Rights in Contributions“

42、, BCP 78, RFC 3978, March 2005. RFC-2780 Bradner, S. and V. Paxson, “IANA Allocation Guidelines For Values In the Internet Protocol and Related Headers“, BCP 37, RFC 2780, March 2000. IPv6-ADDR Hinden, R. and S. Deering, “Intpernet Protocol Version 6 (IPv6) Addressing Architecture“, RFC 3513, April

43、2003. PMTU McCann, J., Deering, S., and J. Mogul, “Path MTU Discovery for IP version 6“, RFC 1981, August 1996. IPv6-SA Kent, S. and R. Atkinson, “Security Architecture for the Internet Protocol“, RFC 2401, November 1998. IPv6-AUTH Kent, S., “IP Authentication Header“, RFC 4302, December 2005. IPv6-

44、ESP Kent, S., “IP Encapsulating Security Payload (ESP)“, RFC 4203, December 2005. SEC-ARCH Kent, S. and K. Seo, “Security Architecture for the Internet Protocol“, RFC 4301, December 2005. TCP-attack Gont, F., “ICMP attacks against TCP“, Work in Progress. 14 CNS 15082, X 1270 附錄 A 自 RFC 2463 之相關改變 自

45、RFC 2463 標準做了下列改變: 編輯適用範圍使之更為詳盡。 更正第 2.4 節之 e.2 小節為 e.3 小節。 從 ICMP 錯誤訊息之 速率限制機制 移除以計時器為基礎及以頻寬為基礎的方法。增加以符記桶為基礎的方法。 增加所有 ICMP 錯誤訊息應有 32 位元型式特定資料,以便接收者可以可靠地找到此嵌入的調用封包,即使它們並不認識此 ICMP 訊息型式。 在說明目的地無法抵達訊息,碼值為 3,增加禁止轉送封包回到該接收之點對點鏈路的規則,如果它們的目的地位址屬於此鏈路本身(反乒乓規則)。 增加超出時限訊息碼為 1 之說明(分段重組逾時) 增加 “來源位址超出範圍 ”, “來源位址不

46、符進出政策 ”及 “拒絕路徑至目的地 ”至 ICMP錯誤訊息 “目的地無法抵達訊息 ”型式之家族中。(第 3.1 節) 保留一些 ICMP 型式值做實驗之用。 在第 2.4 節增加一個備考以規定 ICMP 訊息處理規則之優先次序。 在第 2.4 節表列中,增加 (e)的情況使得 ICMPREDIRECT 錯誤訊息不會被產生。 在第 2.3 節計算核對和及第 5.2 節中,稍作編輯改變。 有關第 4.2 節中回訊回應訊息,澄清在多播的情況下一個任播回訊請求,其回訊回應之來源位址宜為單播位址。 修訂安全考量一節。增加囊裝安全酬載標頭作為鑑別之使用。將 “不允許未鑑別的ICMP 訊息 ”選項的需求由

47、宜改為可。 在第 5.2 節中之一些可能 ICMP 攻擊表列中增加一個新攻擊。 將參考文獻分為規範性及參考性二種。 增加 RFC 2780“網際網路協定及相關標頭之 IANA 配置指引 “之參考。並增加備考說明本標準更新 RFC 2780 標準。 在 IANA 考量一節增加新 ICMPv6 型式與碼值指定之程序。 將用字 “send”改為 “originate”,使轉送 ICMP 封包超出本標準範圍更為清楚。 改變 ESP 及 AH 之參考為更新的 ESP 及 AH 文件。 增加更新的 IPsec 安全架構文件之參考。 為允許發送 ICMP 目的地無法抵達訊息失效需求,增加一個宜字。 簡化 I

48、CMPv6 封包來源位址選擇。 重新組織一般訊息格式 (第 2.1 節 )。 從第 2.1 節中移除一般封包格式。現在參考到第 3 節及第 4 節封包格式。 增加一些有關 ICMP 有可能造成傳送協定被攻擊的本文 15 CNS 15082, X 1270 英中名詞對照表 A anycast 任播 authentication Header 鑑別標頭 B broadcast 廣播 C checksum 核對和 D data corruption 資料損壞 denial of service Attack 阻絕服務攻擊 destination address 目的地位址 E echo reply

49、回訊回應 echo request 回訊請求 encapsulating security payload 囊裝安全酬載 error message 錯誤訊息 extension header 延伸標頭 F G H header 標頭 hop limit 中繼段限制 I informational message 參考性訊息 Interface 介面 internet control message protocol, ICMP 網際網路控制訊息協定 invoking packet 調用封包 J K L link-layer 鏈路層 M maximum transmission unit, MTU 最大傳輸單位 mes

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 标准规范 > 国际标准 > 其他

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1