什么是IPV6？

其實(shí)，IPv6并不是一個(gè)新鮮事物。早在上個(gè)世紀(jì)90年代，它就已經(jīng)誕生了。我相信，從事IT或通信相關(guān)工作的人，或多或少聽(tīng)說(shuō)過(guò)它。

IPv6的全稱是Internet Protocol version 6。其中，Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議”。所以，IPv6就是互聯(lián)網(wǎng)協(xié)議第6版。

眾所周知，互聯(lián)網(wǎng)上的每一臺(tái)電腦，必須有一個(gè)地址，才能被其他互聯(lián)網(wǎng)上的計(jì)算機(jī)訪問(wèn)，之前唱衰IPv4的原因，就是因?yàn)镮Pv4的數(shù)量早就不夠了。

IPv4到底一共有多少個(gè)IP地址呢？答案是2的32次方，也就是約42.9億個(gè)。

根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)研究機(jī)構(gòu)（2018年1月）的統(tǒng)計(jì)，全世界76億人口，網(wǎng)民總數(shù)已經(jīng)超過(guò)了40億。

IPv6網(wǎng)絡(luò)真的安全嗎？

一、IPv6的信息安全隱患

當(dāng)前，“線上”網(wǎng)絡(luò)和“線下”生活正在深度融合，虛擬網(wǎng)絡(luò)世界和現(xiàn)實(shí)社會(huì)生活相互交織。人們?cè)诨ヂ?lián)網(wǎng)上變成了“透明人”，個(gè)人的一舉一動(dòng)都被互聯(lián)網(wǎng)“記錄在案”，試想一下如果這些信息被非法使用，是不是很恐怖？

構(gòu)建基于IPv6的可信任下一代互聯(lián)網(wǎng)，是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)。雖然IPv6與IPv4相比，在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮，但仍然存在一些難以解決的安全隱患。

一是難以應(yīng)對(duì)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊仍然是IPv6面臨的最嚴(yán)重的一種攻擊，它可能導(dǎo)致計(jì)算機(jī)硬盤、物理設(shè)備毀壞和所有可用內(nèi)存耗盡的危險(xiǎn)。IPv6支持動(dòng)態(tài)自動(dòng)尋址，雖然給合法網(wǎng)絡(luò)用戶使用帶來(lái)了方便，但非授權(quán)的用戶可以更容易地接入和使用網(wǎng)絡(luò)，埋下了拒絕服務(wù)攻擊的隱患。拒絕服務(wù)攻擊主要包括兩種方式：一種是通過(guò)向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包，使得主機(jī)忙于處理這些無(wú)用的數(shù)據(jù)包而無(wú)法響應(yīng)有用的信息；另一種是對(duì)網(wǎng)絡(luò)上兩個(gè)節(jié)點(diǎn)之間的通信直接進(jìn)行干擾，攻擊者可以冒充通信節(jié)點(diǎn)向目標(biāo)通信節(jié)點(diǎn)發(fā)送錯(cuò)誤消息，從而造成路由迂回，導(dǎo)致網(wǎng)絡(luò)帶寬浪費(fèi)及時(shí)延增加。對(duì)這兩種方式，IPv6從技術(shù)上都沒(méi)有很好地解決。

二是難以彌補(bǔ)整個(gè)網(wǎng)絡(luò)協(xié)議族的安全缺陷。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織提出的各種計(jì)算機(jī)在世界范圍內(nèi)互聯(lián)成網(wǎng)的標(biāo)準(zhǔn)框架，即開(kāi)放系統(tǒng)互聯(lián)參考模型，計(jì)算機(jī)網(wǎng)絡(luò)分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層等七個(gè)功能層。IP協(xié)議只是網(wǎng)絡(luò)層的協(xié)議，其安全性設(shè)計(jì)得再好，也只能保證本功能層的安全，其他功能層如應(yīng)用層的網(wǎng)頁(yè)服務(wù)、郵件服務(wù)及文件傳輸?shù)确?wù)的安全仍然難以保證。

二、繼承自IPv4的安全威脅

1.IPv6中協(xié)議和報(bào)文結(jié)構(gòu)雖有變化，但一些存在于IPv4網(wǎng)絡(luò)中的攻擊類型仍然存在。

2.過(guò)渡機(jī)制存在的安全風(fēng)險(xiǎn)

當(dāng)前我國(guó)IPv6規(guī)模部署工作呈現(xiàn)加速發(fā)展態(tài)勢(shì)，在從IPv4向IPv6過(guò)渡的過(guò)程中，“雙?！?、“隧道”、“翻譯”是三種采用的方案，均可能引入新的安全威脅。

雙棧機(jī)制安全風(fēng)險(xiǎn)

IPv4/IPv6雙棧技術(shù)是指在網(wǎng)絡(luò)節(jié)點(diǎn)上同時(shí)運(yùn)行IPv4和IPv6兩種協(xié)議，在IP網(wǎng)絡(luò)中形成邏輯上相互獨(dú)立的兩張網(wǎng)絡(luò)：IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)。

過(guò)渡期間同時(shí)運(yùn)行著IPv4、IPv6兩個(gè)邏輯網(wǎng)絡(luò)，增加了設(shè)備及系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時(shí)配置雙棧策略，導(dǎo)致策略管理復(fù)雜度加倍，防護(hù)被穿透的機(jī)會(huì)加倍。

在IPv4網(wǎng)絡(luò)中，部分操作系統(tǒng)缺省啟動(dòng)了IPv6自動(dòng)地址配置功能，使得IPv4網(wǎng)絡(luò)中存在隱蔽的IPv6通道，但由于該IPv6通道并沒(méi)有進(jìn)行防護(hù)配置，攻擊者可能利用IPv6通道實(shí)施攻擊。

雙棧系統(tǒng)同時(shí)運(yùn)行IPv4協(xié)議、IPv6協(xié)議，會(huì)增加網(wǎng)絡(luò)節(jié)點(diǎn)協(xié)議處理復(fù)雜性和數(shù)據(jù)轉(zhuǎn)發(fā)負(fù)擔(dān)，導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)的故障率增加。

隧道機(jī)制安全風(fēng)險(xiǎn)

一些隧道機(jī)制對(duì)任何來(lái)源的數(shù)據(jù)包只進(jìn)行簡(jiǎn)單的封裝和解封，所以各種隧道機(jī)制的引入，為網(wǎng)絡(luò)環(huán)境增添了安全隱患。

不對(duì)IPv4和IPv6地址的關(guān)系做檢查。攻擊者利用隧道機(jī)制，可將IPv6報(bào)文封裝成IPv4報(bào)文進(jìn)行傳輸，由于IPv4網(wǎng)絡(luò)無(wú)法驗(yàn)證源地址的真實(shí)性，攻擊者可以偽造隧道報(bào)文注入到目的網(wǎng)絡(luò)中。

不對(duì)隧道封裝的內(nèi)容進(jìn)行檢查，通過(guò)隧道封裝攻擊報(bào)文。對(duì)于以隧道形式傳輸?shù)腎Pv6流量，很多網(wǎng)絡(luò)設(shè)備直接轉(zhuǎn)發(fā)或者只做簡(jiǎn)單的檢查。攻擊者可以配置IPv4 over IPv6，將IPv4流量封裝在IPv6報(bào)文中，導(dǎo)致原來(lái)IPv4網(wǎng)絡(luò)的攻擊流量經(jīng)由IPv6的“掩護(hù)”后穿越防護(hù)造成威脅。

翻譯機(jī)制安全風(fēng)險(xiǎn)

翻譯機(jī)制（即協(xié)議轉(zhuǎn)換）通過(guò)IPv6與IPv4的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)了IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪。翻譯設(shè)備作為IPv6網(wǎng)絡(luò)與IPv4網(wǎng)路的互連節(jié)點(diǎn)，易成為安全瓶頸，一旦被攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓。

三、IPv6特有的安全威脅

IPv6報(bào)文結(jié)構(gòu)中引入的新字段（如流標(biāo)簽、RH0、路由頭等）、IPv6協(xié)議族中引入的新協(xié)議（如NDP鄰居發(fā)現(xiàn)協(xié)議等）可能存在漏洞，被用于發(fā)起嗅探、DoS等攻擊。

IPv6新的應(yīng)用也可能帶來(lái)安全風(fēng)險(xiǎn)。IPv6使用IPSec，使得防火墻過(guò)濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見(jiàn)的，控制難度大大增加，需要安全設(shè)備能夠識(shí)別出攻擊報(bào)文新方法和措施。

寫在最后

IPv6并不能解決所有的網(wǎng)絡(luò)安全問(wèn)題。

所以仍然需要專業(yè)的信息風(fēng)險(xiǎn)管理人員進(jìn)行把控，報(bào)名加入中國(guó)注冊(cè)風(fēng)險(xiǎn)管理師協(xié)會(huì)，學(xué)習(xí)風(fēng)險(xiǎn)管理實(shí)操內(nèi)容，從最基礎(chǔ)開(kāi)始教會(huì)你如何做好信息風(fēng)險(xiǎn)管理。
責(zé)任編輯:pj