https://wiki.ixheim.de/index.php?action=history&feed=atom&title=IPv6_Security_%E2%80%93_Typische_AngriffeIPv6 Security – Typische Angriffe - Versionsgeschichte2026-06-29T04:41:05ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=IPv6_Security_%E2%80%93_Typische_Angriffe&diff=64352&oldid=prevThomas.will: Die Seite wurde neu angelegt: „=IPv6 Security – Typische Angriffe= IPv6 bringt viele neue Mechanismen gegenüber IPv4 mit sich. Dadurch ergeben sich auch neue Angriffsflächen. Dieser Art…“2025-08-20T04:59:34Z<p>Die Seite wurde neu angelegt: „=IPv6 Security – Typische Angriffe= IPv6 bringt viele neue Mechanismen gegenüber IPv4 mit sich. Dadurch ergeben sich auch neue Angriffsflächen. Dieser Art…“</p>
<p><b>Neue Seite</b></p><div>=IPv6 Security – Typische Angriffe=<br />
<br />
IPv6 bringt viele neue Mechanismen gegenüber IPv4 mit sich. Dadurch ergeben sich auch neue Angriffsflächen. Dieser Artikel beschreibt die wichtigsten Angriffsszenarien, die in IPv6-Netzen auftreten können.<br />
<br />
== Neighbor Discovery (ND) Angriffe ==<br />
Neighbor Discovery ersetzt ARP in IPv6 und ist anfällig für ähnliche Manipulationen.<br />
*'''ND Spoofing / Poisoning''': Falsche Zuordnung von IPv6- zu MAC-Adressen.<br />
*'''Rogue Neighbor Advertisement''': Angreifer meldet sich als anderer Host oder Gateway.<br />
*'''Neighbor Solicitation Flood''': Überflutung mit ND-Anfragen → Denial-of-Service.<br />
<br />
'''Gegenmaßnahmen:''' Secure Neighbor Discovery (SEND), ND Inspection, Switch-basierte Sicherheitsfunktionen.<br />
<br />
== Router Advertisement (RA) Angriffe ==<br />
Router Advertisements (RA) können leicht missbraucht werden.<br />
*'''Rogue RA (Evil radvd)''': Angreifer gibt sich als Router aus und verteilt falsche Präfixe.<br />
*'''RA Flood''': Viele falsche RA-Pakete erzeugen Routing-Chaos und CPU-Last.<br />
*'''Prefix Injection''': Angreifer schickt unerwünschte Präfixe in das Netz.<br />
<br />
'''Gegenmaßnahmen:''' RA-Guard auf Switches, Filterung von RA-Paketen.<br />
<br />
== DHCPv6 Angriffe ==<br />
Ähnlich wie DHCP bei IPv4 kann DHCPv6 für Angriffe missbraucht werden.<br />
*'''Rogue DHCPv6 Server''': Verteilt falsche Adressen, Gateways oder DNS-Server.<br />
*'''DHCPv6 Starvation''': Angreifer reserviert massenhaft Leases → legitime Clients gehen leer aus.<br />
<br />
'''Gegenmaßnahmen:''' DHCPv6-Snooping, Authentifizierung, Port-Security.<br />
<br />
== Multicast Listener Discovery (MLD) Angriffe ==<br />
IPv6 nutzt Multicast intensiv für Kommunikation und Service Discovery.<br />
*'''MLD Flood''': Überflutung mit MLD-Nachrichten kann Router oder Switches belasten.<br />
*'''Fake Group Memberships''': Angreifer meldet viele Multicast-Gruppen an, um Last zu erzeugen.<br />
<br />
'''Gegenmaßnahmen:''' MLD-Snooping, Limitierung auf Switch-Ebene.<br />
<br />
== Extension Header und Fragmentation Angriffe ==<br />
IPv6 erlaubt den Einsatz von Extension Headers und Fragmentierung, was missbraucht werden kann.<br />
*'''Header-Ketten-Missbrauch''': IDS/Firewalls können umgangen werden.<br />
*'''Fragmentation DoS''': Viele kleine Fragmente erzeugen hohe Last und blockieren Sessions.<br />
<br />
'''Gegenmaßnahmen:''' Firewalls und IDS so konfigurieren, dass sie Extension Headers korrekt verarbeiten; unnötige Extensions blockieren.<br />
<br />
== SLAAC Manipulation ==<br />
Stateless Address Autoconfiguration (SLAAC) kann gezielt missbraucht werden.<br />
*'''SLAAC Attacke''': Angreifer schickt gefälschte Router Advertisements mit Präfix und Default-Route → alle Clients routen über ihn.<br />
*'''MITM durch SLAAC''': Kombination von gefälschtem Präfix + DNS-Angriff erlaubt Traffic-Manipulation.<br />
<br />
'''Gegenmaßnahmen:''' RA-Guard, Router-Authentifizierung, Monitoring.<br />
<br />
== Weitere Bedrohungen ==<br />
*'''DNS Hijacking via DHCPv6''': Ein Rogue DHCPv6-Server liefert falsche DNS-Informationen.<br />
*'''Dual-Stack Fake Router''': Angreifer kündigt IPv6-Konnektivität an; Clients bevorzugen IPv6 und senden Traffic über den Angreifer.<br />
*'''ICMPv6 Floods''': Überlastung durch massenhafte ICMPv6 Echo Requests.<br />
<br />
== Zusammenfassung ==<br />
IPv6 erweitert den Adressraum, bringt aber neue Angriffsvektoren mit sich. <br />
Besonders kritisch sind:<br />
* Neighbor Discovery Spoofing (IPv6-Variante von ARP-Spoofing).<br />
* Rogue Router Advertisements.<br />
* Rogue DHCPv6-Server.<br />
* Missbrauch von Multicast (MLD).<br />
* Manipulation durch Extension Headers und Fragmentation.<br />
* SLAAC-Manipulation und Prefix Injection.<br />
<br />
'''Empfehlung:''' Einsatz von RA-Guard, DHCPv6-Snooping, ND-Inspection und Monitoring in produktiven Netzen.</div>Thomas.will