IPv6已來(lái)

2016年6月1日開(kāi)始,蘋(píng)果規(guī)定所有提交至AppStore的應(yīng)用必須兼容IPv6-only標(biāo)準(zhǔn)?？梢灶A(yù)計(jì)，2018年底會(huì)有大量互聯(lián)網(wǎng)資源、上網(wǎng)用戶使用IPv6協(xié)議。這意味著，如果一個(gè)互聯(lián)網(wǎng)服務(wù)不能支持IPv6，將失去大量用戶流量。

2017年底，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，要求到2018年末，IPv6活躍用戶數(shù)達(dá)到2億，并要求國(guó)內(nèi)用戶量排名前50位的商業(yè)網(wǎng)站及應(yīng)用支持IPv6。IPv6成為國(guó)家戰(zhàn)略。

隨著IPv6時(shí)代的到來(lái)，IPv6網(wǎng)絡(luò)下的攻擊開(kāi)始出現(xiàn)。2018年初，Neustar宣稱受到了IPv6DDoS攻擊，這是首個(gè)對(duì)外公開(kāi)的IPv6 DDoS攻擊事件。thc-ipv6、hping等IPv6的DDoS攻擊工具也開(kāi)始在互聯(lián)網(wǎng)上出現(xiàn)。

2018年11月，淘寶、優(yōu)酷的雙十一首次跑在IPv6上。同時(shí)，阿里云云盾建成國(guó)內(nèi)首家IPv6 DDoS防御系統(tǒng)，支持秒級(jí)監(jiān)控、防御海量IP，為淘寶、優(yōu)酷云上業(yè)務(wù)提供IPv4+IPv6雙棧DDoS自動(dòng)防護(hù)。雙11期間，雙棧防御系統(tǒng)攔截5000多次DDoS攻擊，最大攻擊流量達(dá)到397Gpbs。

IPv6時(shí)代，網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)

雖然IPv4下的防御系統(tǒng)已經(jīng)非常成熟，但系統(tǒng)并不能直接用于IPv6防護(hù)，需要全鏈路重構(gòu)支持IPv6。從流量監(jiān)控、調(diào)度、清洗、黑洞都需要重新適應(yīng)IPv6的新網(wǎng)絡(luò)環(huán)境。此外，由于IPv6協(xié)議的新特性，可能會(huì)被黑客用于DDoS或DoS攻擊：

?●??IPv6的NextHeader新特性可能被黑客用于發(fā)起DoS攻擊，比如Type0路由頭漏洞，通過(guò)精心制造的數(shù)據(jù)包，可以讓一個(gè)報(bào)文在兩臺(tái)有漏洞的服務(wù)器之間“彈來(lái)彈去”，讓鏈路帶寬耗盡，也可以繞過(guò)源地址限制，讓合法的IP反彈報(bào)文；
?●??IPv6新增NS/NA/RS/RA，可能會(huì)被用于DoS或DDoS攻擊；
?●??IPv6支持無(wú)狀態(tài)自動(dòng)配置，同時(shí)子網(wǎng)下可能存在非常多可使用的IP地址，攻擊者可以便利的發(fā)起隨機(jī)源DDoS攻擊；
?●??IPv6采用端到端的分片重組機(jī)制，如果服務(wù)器存在漏洞，可能會(huì)被精心偽造的分片包DoS攻擊。

與此同時(shí)，IPv6下攻防態(tài)勢(shì)也產(chǎn)生新的變化。IPv6提供海量的地址，一個(gè)IDC就可能申請(qǐng)到非常大的可用地址塊，這對(duì)源IP頻率和限速類(lèi)的防御算法來(lái)說(shuō)簡(jiǎn)直是噩夢(mèng)。特別是應(yīng)用層的DDoS：HTTP Flood、刷票、爬蟲(chóng)將變得更加難以防御。此外，隨著自動(dòng)駕駛汽車(chē)、物聯(lián)網(wǎng)設(shè)備、移動(dòng)終端等越來(lái)越多的智能設(shè)備入網(wǎng)，這些設(shè)備一旦被入侵都可能成為發(fā)起DDoS的僵尸網(wǎng)絡(luò)，產(chǎn)生海量的攻擊報(bào)文。

DDoS攻擊往往是出于商業(yè)利益，據(jù)阿里云發(fā)布的《2018上半年網(wǎng)絡(luò)安全報(bào)告》顯示，游戲、移動(dòng)應(yīng)用、電子商務(wù)等競(jìng)爭(zhēng)激烈的領(lǐng)域是DDoS攻擊的重點(diǎn)陣地。隨著企業(yè)業(yè)務(wù)切到IPv6協(xié)議，IPv6下的DDoS攻擊在一段時(shí)間里會(huì)非常有效，因?yàn)楹芏嗥髽I(yè)并沒(méi)有做好IPv6 DDoS防御的準(zhǔn)備，對(duì)攻擊者來(lái)說(shuō)可以輕易達(dá)成攻擊目標(biāo)。此時(shí)IPv6下的DDoS攻擊會(huì)逐步熱門(mén)起來(lái)，成為很多企業(yè)的阿喀琉斯之踵。

阿里云IPv6DDoS防御最佳實(shí)踐

針對(duì)挑戰(zhàn)和變化需要解決的問(wèn)題：

?●??網(wǎng)絡(luò)和DDoS防御系統(tǒng)需要改造甚至重構(gòu)支持IPv6。
首先，雖然IPv4網(wǎng)絡(luò)已經(jīng)非常成熟，但到了IPv6網(wǎng)絡(luò)，現(xiàn)有的很多企業(yè)網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)的大部分都需要更換設(shè)備和重新開(kāi)發(fā)系統(tǒng)，才能支持IPv6網(wǎng)絡(luò)以及IPv6網(wǎng)絡(luò)下的安全防護(hù)；
部分企業(yè)寄希望運(yùn)營(yíng)商會(huì)提供平滑的過(guò)渡方案，但運(yùn)營(yíng)商只會(huì)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)邊界內(nèi)進(jìn)行改造升級(jí)，企業(yè)如果需要支持IPv6，是需要自身進(jìn)行改造升級(jí)的。
?●??IPv6的地址總量是IPv4的2的96次方倍，系統(tǒng)需要更強(qiáng)大的處理性能才能支持海量的IP的安全防御。
?●??針對(duì)大流量DDoS，需要建立運(yùn)營(yíng)商級(jí)別的IPv6黑洞能力。
?●??防御算法和防御模式都需要適應(yīng)IPv6的新挑戰(zhàn)。
?●??在業(yè)務(wù)切換到IPv6的同時(shí)，需要具備IPv6網(wǎng)絡(luò)下的安全防護(hù)能力。

阿里云如何實(shí)現(xiàn)：

1.重構(gòu)系統(tǒng)支持IPv4+IPv6的雙棧DDoS自動(dòng)防護(hù)

a) 流量監(jiān)控預(yù)警系統(tǒng)

流量監(jiān)控預(yù)警系統(tǒng)需要支持IPv6和IPv4，同時(shí)檢測(cè)雙棧流量，為了能檢測(cè)IPv6海量的IP地址，阿里云DDoS系統(tǒng)采用了分布式集群的方式，將流量分散到集群上協(xié)作運(yùn)算，對(duì)多個(gè)流量指標(biāo)進(jìn)行統(tǒng)計(jì)，秒級(jí)監(jiān)控流量的異常。

b) 調(diào)度系統(tǒng)

對(duì)調(diào)度系統(tǒng)升級(jí)，支持雙棧，自動(dòng)判斷IP類(lèi)型，啟動(dòng)對(duì)應(yīng)防御模式和清洗算法。

c) 清洗系統(tǒng)

重新設(shè)計(jì)部署了牽引、回注、清洗系統(tǒng)，并制定針對(duì)IPv6的清洗算法。

2.運(yùn)營(yíng)商級(jí)別黑洞能力

不管是IPv4還是IPv6，當(dāng)某個(gè)IP攻擊流量特別大，會(huì)導(dǎo)致整個(gè)帶寬擁塞。無(wú)論對(duì)IDC機(jī)房、云服務(wù)商來(lái)說(shuō)，1個(gè)IP被攻擊導(dǎo)致所有業(yè)務(wù)不可用簡(jiǎn)直是災(zāi)難。特別是IPv6網(wǎng)絡(luò)帶寬相對(duì)于IPv4還處于建設(shè)初期，攻擊擁塞風(fēng)險(xiǎn)更大。

阿里云和各大ISP服務(wù)商建立IPv6黑洞聯(lián)動(dòng)能力，可以在運(yùn)營(yíng)商IPv6骨干網(wǎng)丟棄流量，提供安全的云環(huán)境。

3.防護(hù)模式的升級(jí)

a) 針對(duì)prefix級(jí)別的防御算法：

雖然一個(gè)IDC就可能申請(qǐng)到海量的IP地址，但這些IP地址歸屬的IP地址塊不會(huì)太多，即使攻擊者可以切換海量的IP地址，但在同一個(gè)機(jī)房的肉雞IP很難在網(wǎng)段級(jí)別離散，通過(guò)IP地址網(wǎng)段來(lái)統(tǒng)計(jì)和分析可以有效減弱IPv6海量地址帶來(lái)的沖擊。

b）協(xié)同防御：

在傳統(tǒng)IDC和單機(jī)安全設(shè)備上，一個(gè)IP的異常指標(biāo)可能非常低，很難分析它是攻擊還是正常訪問(wèn)，同時(shí)很難判斷這個(gè)IP是否是NAT或園區(qū)出口，結(jié)合IPv6的海量IP，攻擊者可以進(jìn)一步降低被識(shí)別的可能。但攻擊者為了成本和效率，一個(gè)IP不可能只攻擊一個(gè)目標(biāo)。比如IP X.X.X.X 在DDoS了服務(wù)器A之后，可能又去CC攻擊了服務(wù)器B。在阿里云上，由于規(guī)模效應(yīng)，有海量的IP同時(shí)在被防御，所有清洗數(shù)據(jù)進(jìn)行了在線化分析，一個(gè)IP的行為特征就有了上帝視角，攻擊者變得非常明顯，所有租戶的防御就可以協(xié)同作戰(zhàn)，威脅情報(bào)可以共享。

c) 智能化深度防御：

針對(duì)應(yīng)用層的DDoS攻擊，基于頻率和限速的模式會(huì)越來(lái)越難防御，假如一個(gè)網(wǎng)站能承受1W qps。在IPv6下，攻擊者可以很廉價(jià)的獲取1W個(gè)IP，每個(gè)IP每秒發(fā)起1次請(qǐng)求，這個(gè)網(wǎng)站就會(huì)不堪重負(fù)。所以，在IPv6下應(yīng)用層的DDoS攻擊防御，更高級(jí)的人機(jī)識(shí)別技術(shù)、人機(jī)對(duì)抗技術(shù)將成為主流。目前阿里云已在Web應(yīng)用防火墻上應(yīng)用了多種人機(jī)對(duì)抗技術(shù)。

安全建議

對(duì)于普通互聯(lián)網(wǎng)服務(wù)提供者來(lái)說(shuō)，重構(gòu)、升級(jí)系統(tǒng)來(lái)支持IPv6需要花費(fèi)大量的成本，建議利用云服務(wù)快速搭建基于IPv6的服務(wù)。目前，阿里云已有多款產(chǎn)品支持IPv6，同時(shí)以SaaS化的形式提供IPv6 DDoS防護(hù)能力，助力企業(yè)一秒搭建更高級(jí)別的防御能力。