알 수없는 확장이 포함 된 IPv6 확장 헤더 구문 분석

저는 매우 간단한 넷 필터를 작성하고 있으며, ICMPv6 유형, TCP / UDP 포트 번호 등과 같은 항목과 일치하도록 IPv6 헤더를 구문 분석하려는 위치에 도달하고 있습니다.

그래서 저는 IPv6 패킷 형식 에 대해 심도있게 읽고 있습니다. 저는 마치 ... 글쎄요 ... 실제로 제대로 읽고 있는지 확인하기 위해 계속해서 읽어야했습니다. 40 바이트 고정 헤더로 시작하고 다음 헤더 필드를 봐야한다고 생각합니다. 그런 다음 끝에 도달 할 때까지 연결 목록처럼 다음 헤더의 다음 헤더 필드를 봐야합니다. 페이로드가 있으면 따라옵니다.

문제는 고정 헤더 또는 확장 헤더에 길이 필드가 없다는 것입니다. 이 연결 목록을 끝까지 추적 할 수 있도록 확장 헤더 유형 및 크기에 대한 표가 있어야합니다.

이것은 나에게 이상하고 어쩌면 토끼 머리 모양의 디자인이라고 생각합니다. 인식 할 수없는 확장 헤더 유형을 발견하면 어떻게합니까? 어떡하죠? 나는 그것의 길이를 모른다. 패킷 통과를 허용하는 넷 필터에서 공격자가 가짜 헤더 유형을 포함하여 넷 필터를 회피 할 수 있기 때문에 패킷을 버리고 차단해야한다고 생각합니다. 그러나 이는 프로토콜이 확장 된 경우 새 확장을 사용하려면 지금까지 작성된 모든 IPv6 헤더 구문 분석 소프트웨어를 동시에 업데이트해야 함을 의미합니다.

그렇다면 사용중인 확장을 모르는 경우 IPv6 헤더를 어떻게 구문 분석 할 수 있습니까? 길이를 모르기 때문에 알 수없는 확장의 헤더를 건너 뛰려면 어떻게해야합니까?

구문 분석 할 수없는 문제가 발생하면 이미 구문 분석 한 내용을 기반으로 결정을 내리거나 작업을 수행해야합니다.

디자인은 IPv6에서 각 확장 헤더가 나머지 패킷을 "포장"하기 때문입니다. 라우팅 헤더, 들어 본 적이없는 헤더, 페이로드를 보면 페이로드를 구문 분석 할 수 없습니다. 페이로드의 의미는 원칙적으로 해석 방법을 모르는 헤더에 따라 다릅니다.

라우터는 라우팅 헤더 만 있으면되기 때문에 이러한 패킷을 라우팅 할 수 있습니다. 심층 패킷 검사 장치 등은 많은 것을 알아야하지만 어쨌든 그게 운명입니다.

추가를 위해 편집 됨 :이 디자인은 미들 박스가 알고있는 것만 변경할 수 있음을 의미합니다. 미들 박스에 모르는 헤더가 표시되면 거부 또는 전달이라는 두 가지 옵션 만 있습니다. IPv4에서는 알 수없는 확장을 제거하고 나머지를 전달할 수도 있습니다. IMO이 속성은 디자인을 덜 확장하기보다는 더 많이 만듭니다.

인식 할 수없는 확장 헤더 유형을 발견하면 어떻게합니까?

에서 RFC 2460 :

헤더 처리 결과 노드가 다음 헤더로 진행해야하는데 현재 헤더의 Next Header 값이 노드에서 인식되지 않는 경우 패킷을 버리고 ICMP Parameter Problem 메시지를 소스로 보내야합니다. 패킷 (1)의 ICMP 코드 값 ( "알 수없는 다음 헤더 타입 발생")과 원래 패킷 내에없는 값의 오프셋을 포함하는 ICMP 포인터 필드. 노드가 IPv6 헤더 이외의 헤더에서 다음 헤더 값 0을 발견하면 동일한 조치를 취해야합니다.

(실제로는) IPv6에 새로운 확장 헤더를 추가하는 것은 불가능합니다.

잘못된 이유 :

1. 인식 할 수없는 확장 헤더를 기반으로 대상 호스트 만 거부 할 수 있습니다 ( 링크 된 질문에 언급 된 예외가 하나 있음 ).

2. 새 확장 헤더가 어떤 방식 으로든 선택 사항 인 경우 (더 좋을 것 같음) 이에 대한 ICMP 오류를 수신하고이 헤더없이 다시 시도 할 수 있습니다.

업데이트 RFC 6564 는이 경우를 다룹니다. 그것은 당신이 설명하는 시나리오를 정확하게 배치하고 당신과 같은 미들 박스가 적어도 일정 시간 동안 작업 할 수있는 새로운 확장 헤더 (만약 정의 된 경우)에 대한 형식을 제시합니다.

새로운 확장 헤더를 생성하여 IPv6를 확장하려는 것이 아니라 새로운 대상 옵션을 추가하는 것을 염두에 두십시오. 알 수없는 목적지 옵션을 처리하는 것은 사소하거나 적어도 훨씬 쉬워야합니다.