IPv6-协议栈中的安全漏洞-Windows (ipv6协议怎么关闭)

教程大全 2025-07-17 18:02:01 浏览次

微软在10月的补丁日修复了87个安全漏洞，其中一个是Windows ipv6 协议栈中的安全漏洞。漏洞CVE编号为cve-2020-16898，CVSS评分为9.0分。攻击者可以利用恶意伪造的包在远程系统上执行任意代码。

PoC代码非常简单，可以引发Windows系统蓝屏，表明能够绕过Windows 10和Windows server2019 补丁的攻击者就可以利用漏洞。因为漏洞利用实现远程代码执行的效应可以广泛传播，因此漏洞的影响也非常大，该漏洞可以实现蠕虫般传播。研究人员将该漏洞命名为“Bad Neighbor”，因为该漏洞位于ICMPv6 的邻居发现协议，使用的是Router Advertisement 类型。

技术细节

由于Windows TCP/IP 栈不当处理使用Option Type 25 (Recursive DNS Server Option) 和length 域为偶数的ICMPv6 Router Advertisement 包，会引发该漏洞。在该option 中，length 的计数是递增8字节，所以length为3时，总的长度应该是24字节。该option本身含有5个域：Type, Length, Reserved, Lifetime, Addresses of IPv6 Recursive DNS Servers。前4个域总共只有8个字节，而最后一个域含有IPv6 地址数目的变量，每个IPv6 地址为16字节。根据RFC 8106，length 域是大于等于3的奇数：

当IPv6 主机通过RA 消息接收DNS option时，会按照如下规则处理相关的option：

DNS option的有效性通过length 域来检查。RDNSS option 中的Length field的值大于等于最小值3，并满足(Length – 1) % 2 == 0。

如果是一个偶数的length 值，Windows TCP/IP 栈就会错误地按8字节增加网络缓存。这是因为栈内部是以16字节递增的，无法处理不符合RFC 标准的length值。栈中错误匹配结果会将当前option 的最后8字节作为第二个option 的开始，引发栈溢出和潜在的远程代码执行。

为完整地实现该漏洞的利用链还需要Windows kernel中的内存泄露或信息泄露漏洞。

漏洞影响和补丁

该漏洞比较大的影响是Windows 10用户，因为启用了IPv6的服务器还比较少。

目前，微软已经发布了补丁，如果无法安装补丁，那么比较好的办法就是禁用IPv6。此外，还可以在网络边界拦截或丢弃ICMPv6 Router Advertisements。从PoC的情况来看，Windows Defender和Windows防火墙无法拦截PoC。目前还不清楚攻击在使用6to4 或 Teredo 这样的技术的网络中是否可以成功。

网络安全漏洞及解决方案都有哪些

1、TCP数据包问题：在特定版本的IOS中，存在内存泄漏漏洞，可导致DOS工具，美国CERT的一份安全警报如此写道。 2、IPv6路由数据帧头缺陷：IOS可能不能正确的处理IPv6（互联网协议第六版）数据包的特定格式的路由数据头，可能导致一个DOS攻击或者运行任何恶意代码。 IPv6是一套可以让我们在互联网上获得更多IP地址一套规范。 3、欺骗性的IP选项漏洞：这是一个IOS在处理具有特定的欺骗性的IP选项的IPv4数据包的时候存在的安全漏洞，据CERT说，它也可以导致DOS攻击或运行任意恶毒代码。 CERT表示，所有三个漏洞都可能导致设备重新加载它的操作系统。这情况下，一种间接的持续性的DOS情况就有可能发生，因为数据包已经不能通过该设备了。据CERT表示，由于运行IOS的设备可能要针对许多其他的网络来转发数据，因此这种拒绝服务攻击的间接影响所带来的后果可能是非常严重的。据思科公司在其安全公告中表示，公司已经发布了针对这些漏洞的补丁软件。据思科公司补充道：它目前还不未得知有利用这些漏洞的攻击出现。不过，据IBM公司互联网安全系统的安全战略主管奥尔曼表示，由于这些漏洞的严重性，用户需要尽快安装补丁软件。据他表示，从他们的监测来看，有许多黑客正在试图利用这些漏洞。建议使用金山清理专家或360安全卫士，扫描电脑上的漏洞，并修复。

win10怎么样正确开启ipv6？

win10正确开启ipv6的方法：1、电脑右下角网络连接处点击网络共享中心，选择以太网，点进去发现IPV6无访问权限2、启动IE身份验证前面的勾去掉，点击网络，将internetIPV6协议前面的选购选上，点击确定3、显示IPV4，IPV6正常连接IPv6是Internet Protocol Version 6的缩写，其中Internet Protocol译为“互联网协议”。 IPv6是IETF（互联网工程任务组，Internet Engineering Task Force）设计的用于替代现行版本IP协议（IPv4）的下一代IP协议。目前IP协议的版本号是4（简称为IPv4），它的下一个版本就是IPv6。 win10正确开启ipv6的方法：1、电脑右下角网络连接处点击网络共享中心，选择以太网，点进去发现IPV6无访问权限2、启动IE身份验证前面的勾去掉，点击网络，将internetIPV6协议前面的选购选上，点击确定3、显示IPV4，IPV6正常连接