郭毅 國(guó)家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心

在2018 ISC互聯(lián)網(wǎng)安全大會(huì)——IPv6規(guī)?；渴鹋c安全論壇上，國(guó)家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心郭毅發(fā)表題為《IPv6協(xié)議棧脆弱性分析》的演講，他從IPv6相較于IPv4的主要改變出發(fā)，并在此基礎(chǔ)上分析了這些改變可能帶來(lái)的新的脆弱性。

IPv6較于IPv4的改變

IPv6較于IPv4的改變主要表現(xiàn)在四個(gè)方面：

第一，IPv6編址發(fā)生改變。由過(guò)去的32位增加到128位，極大擴(kuò)展了IP地址空間，可以不受限制地獲取IPv6地址。

第二，報(bào)頭格式發(fā)生改變。IPv6簡(jiǎn)化基本報(bào)頭，擴(kuò)展報(bào)頭也更為靈活?？蛇x項(xiàng)被統(tǒng)一移到擴(kuò)展報(bào)頭，附加在目的IP地址字段后面，可以有0個(gè)或者多個(gè)擴(kuò)展報(bào)頭。中間路由器不必處理每一個(gè)選項(xiàng)，提高了處理數(shù)據(jù)報(bào)文的速度，也提高了轉(zhuǎn)發(fā)性能。

第三，ICMPv6協(xié)議。該協(xié)議具備ICMPv4的常見(jiàn)功能，如提供發(fā)送和轉(zhuǎn)發(fā)中的錯(cuò)誤報(bào)告，以及用于故障分析的簡(jiǎn)單回送服務(wù)，廢除不再使用的過(guò)時(shí)消息類型。協(xié)議綜合了原有IPv4中分屬不同協(xié)議的功能，多播偵聽(tīng)發(fā)現(xiàn)（MLD），取代IPv4中的IGMP協(xié)議，管理組播組成員。

第四，ND（鄰居發(fā)現(xiàn)）機(jī)制。組合并改進(jìn)了原有功能，工作在網(wǎng)絡(luò)層，任何網(wǎng)絡(luò)媒介都可以運(yùn)行相同的鄰居發(fā)現(xiàn)。

IPv6協(xié)議棧的脆弱性

IPv6協(xié)議棧脆弱性首先是非IPv6特有的安全威脅，包括：（1）應(yīng)用層協(xié)議或服務(wù)導(dǎo)致的漏洞在網(wǎng)絡(luò)層無(wú)法消除；（2）利用嗅探工具實(shí)施網(wǎng)絡(luò)嗅探，可能導(dǎo)致信息泄露；（3）設(shè)備仿冒接入網(wǎng)絡(luò)；（4）未實(shí)施雙向認(rèn)證情況下，可實(shí)施中間人攻擊；（5）洪泛攻擊。

其次，IPv6的特性帶來(lái)新脆弱性，包括雙棧環(huán)境、IPv6編址、擴(kuò)展報(bào)頭、ICMPv6、ND機(jī)制、協(xié)議具體實(shí)現(xiàn)相關(guān)等脆弱性。

擴(kuò)展報(bào)頭相關(guān)脆弱性問(wèn)題比較多：第一個(gè)就是安全控制規(guī)避，在RFC規(guī)范中，同一個(gè)包中若有多于一個(gè)擴(kuò)展選項(xiàng)時(shí)，建議以如下順序排列：基本報(bào)頭、HBH逐跳選項(xiàng)、DH目的選項(xiàng)、RH路由報(bào)頭、FH分段報(bào)頭、AH認(rèn)證報(bào)頭、ESP封裝安全荷載報(bào)頭。要求HBH須緊跟基本報(bào)頭，且中間節(jié)點(diǎn)必須處理；第二個(gè)是處理要求帶來(lái)的拒絕服務(wù)；第三個(gè)是實(shí)現(xiàn)錯(cuò)誤引起的拒絕服務(wù)。

IPv6網(wǎng)絡(luò)安全防護(hù)建議

第一，熟悉IPv6網(wǎng)絡(luò)知識(shí)及IPv6特有安全威脅。人是網(wǎng)絡(luò)安全最重要的環(huán)節(jié)，通過(guò)對(duì)安全人員的培訓(xùn)和教育，使其盡快掌握IPv6環(huán)境下安全威脅與防護(hù)技能，增強(qiáng)對(duì)新環(huán)境安全問(wèn)題的處置能力；

第二，重視各類IPv6協(xié)議棧的漏洞挖掘與修補(bǔ)。漏洞挖掘是加快IPv6漏洞發(fā)現(xiàn)的重要手段，鼓勵(lì)安全企業(yè)和個(gè)人提交與IPv6協(xié)議棧相關(guān)漏洞，使得IPv6協(xié)議棧能夠盡快得到修補(bǔ)和完善；

第三，IPv6網(wǎng)絡(luò)安全防護(hù)產(chǎn)品開(kāi)發(fā)優(yōu)化與防護(hù)策略。推進(jìn)現(xiàn)有安全設(shè)備在IPv6環(huán)境中的兼容和落地，避免出現(xiàn)運(yùn)行在IPv6下的業(yè)務(wù)系統(tǒng)缺少必要的安全防護(hù)措施的局面。