思科最近向企業網管們發出警告，旗下某些網絡設備在處理IPv6包時存在漏洞，該漏洞的影響范圍還不僅限于思科自家的產品。

IPv6鄰居發現漏洞安全預警

這是個有關IPv6鄰居發現包的漏洞，思科發布的安全預警對此進行了詳細的解釋。

該漏洞可能會導致遠程未授權DoS攻擊的產生——黑客可以發送惡意的IPv6鄰居發現包，至存在漏洞的設備。由于這些設備“低效的處理邏輯”，在處理這樣的IPv6鄰居包之后，設備會停止再接收IPv6流量，導致DoS。

鄰居發現協議（NDP）實際上是IPv6的一個關鍵協議，這也算得上相較IPv4的一個進步。如果用IPv4的思維來看，IPv6的鄰居發現協議組合了IPv4的ARP、ICMP路由器發現、ICMP重定向等協議，所以其功能還是比較多樣的——比如它替代了ARP協議，實現IP地址和Mac地址的對應關系。在IPv4時代是沒有這種較為統一的解決方案的。

隨著IPv6的廣泛使用，惡意節點導致各種各樣的攻擊，鄰居發現協議的安全性原本就很受人們關注。按照思科所說，這次發現的漏洞（CVE-2016-1409）存在于使用了思科IOS、IOS XR、IOS XE、以及NX-OS軟件的設備上，只要這些設備配置了全局IPv6地址，在處理傳入的流量時，漏洞就能被利用。

更悲劇的是，這個漏洞的影響范圍不僅是思科自家的產品，按照思科所說，其他廠商可能也遭到了波及。

漏洞影響和緩解方案

Switchzilla警告說：

“這個漏洞并不是思科獨有的，所有在處理過程或者硬件中，無法在前期就丟棄這類數據包的IPv6處理設備，都會受到該漏洞的影響。”

思科表示，未來會在自家的產品中修復該漏洞。同時，他們也建議企業管理員在使用存在該漏洞的設備時，嚴格控制網絡中的外來IPv6流量：

“應該將IPv6鄰居發現包僅限在本地，并在網絡的邊界位置丟棄這些包，這么做會有助于保護企業內的基礎設施。在網絡邊界位置丟棄這些可能產生問題的數據包，是目前普遍可行的解決方案。

或者如果有可能的話，我們可以對IPv6鄰居做靜態配置，并在邊界設備上拒絕所有的IPv6鄰居發現包，暫時遏制這個漏洞。”

本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的大量思科设备存在IPv6死亡之Ping漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。