林 錚

（中電福富信息科技有限公司，福州 350001）

1 引言

根據(jù)國家IPv6發(fā)展檢測平臺顯示，到2019年9月，我國活躍IPv6用戶已經(jīng)到達2億。隨著IPV6網(wǎng)絡(luò)的逐步普及，IPv6資源和用戶的不斷增加，隨之而來的IPV6網(wǎng)絡(luò)安全問題也日益嚴(yán)峻，IPv6時代網(wǎng)絡(luò)安全和IPv4時代相比，網(wǎng)絡(luò)惡意攻擊有哪些新的變化，這些都是非常值得研究的問題。

2 IPv4 報文和IPv6 報文的差異

IPv6協(xié)議和IPv4協(xié)議相比，有較大的差異，主要如下：

地址空間，IPv4 報文長度為32 位，地址空間只有42 億個，而IPv6報文長度為128位，地址空間有3.4×1038個。

IPv6報文頭部，IPv6頭部為固定40個字節(jié)，一共有8個字段。IPv6報文頭部和IPv4報文頭部相比，對其中的內(nèi)容進行了修改，保留了其中7個字段，丟棄了5個字段，同時增加了流標(biāo)簽字段。

QOS 支持，由于IPv6包頭增加了流標(biāo)簽字段，使得IPv6報文對QOS 支持程度比IPv4高許多。

自動配置，IPv6支持自動配置，這是一個重要的IPv6新特性，可以利用IPv6自動配置，通過網(wǎng)絡(luò)設(shè)備給終端下發(fā)IPv6前綴，終端自動生成IPv6后綴，前綴+后綴組合成一個完整的IPv6地址。

3 IPv4 和IPv6 相同的惡意網(wǎng)絡(luò)攻擊

在IPv4網(wǎng)絡(luò)中，存在很多類型的網(wǎng)絡(luò)攻擊，當(dāng)網(wǎng)絡(luò)過渡到IPv6網(wǎng)絡(luò)時代，這些類型網(wǎng)絡(luò)攻擊仍舊存在，仍然可以利用這些攻擊對IPv6網(wǎng)絡(luò)產(chǎn)生危害。

3.1 網(wǎng)絡(luò)嗅探攻擊

網(wǎng)絡(luò)嗅探攻擊通過捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)獲得通信信息，無論是IPv4報文還是IPv6報文都可以進行嗅探攻擊。不過嗅探攻擊一般只能對未加密的通訊進行探測，如果通訊過程有加密，如通過IPSEC 協(xié)議或者SSL 協(xié)議協(xié)議，則嗅探攻擊無法成功嗅探到信息。

3.2 應(yīng)用層攻擊

應(yīng)用層攻擊是當(dāng)今較為常見的攻擊。如緩沖區(qū)溢出攻擊，網(wǎng)站應(yīng)用程序攻擊，病毒和蠕蟲攻擊。即使網(wǎng)絡(luò)過渡到IPv6協(xié)議，也無法阻止系統(tǒng)免受這些攻擊，也不會減輕其后果，因為IPv4和IPv6都是網(wǎng)絡(luò)層的協(xié)議，而應(yīng)用層攻擊的攻擊目標(biāo)是ISO 網(wǎng)絡(luò)模型的應(yīng)用層。

3.3 網(wǎng)絡(luò)泛洪攻擊

泛洪攻擊在當(dāng)前網(wǎng)絡(luò)中愈演愈烈。泛洪攻擊通過向目標(biāo)設(shè)備注入大量的網(wǎng)絡(luò)流量，目標(biāo)設(shè)備無法處理如此大量的網(wǎng)絡(luò)流量，網(wǎng)絡(luò)變得不可用或服務(wù)中斷。這種攻擊同樣也可以在IPv6網(wǎng)絡(luò)中進行，只要保證有足夠大的IPv6流量，一樣可以癱瘓IPv6網(wǎng)絡(luò)和IPv6主機，IPv6協(xié)議并沒有一個好的機制可以防止這種攻擊。

4 IPv6 網(wǎng)絡(luò)下惡意網(wǎng)絡(luò)攻擊變化

在IPv6網(wǎng)絡(luò)中，由于IPv6協(xié)議特點，使其攻擊形式和方法產(chǎn)生了新的變化，具體如下：

4.1 偵察攻擊

偵察攻擊過程中，入侵者一般使用ping 來確定受害網(wǎng)絡(luò)中正在使用哪些IP 地址。找到可訪問的IP 地址后，入侵者將執(zhí)行端口掃描過程。IPv6中的子網(wǎng)大小比IPv4大得多，IPv6網(wǎng)絡(luò)中的默認子網(wǎng)長度大小是64位，地址數(shù)量有264個，如果要執(zhí)行掃描整個子網(wǎng)，難度是巨大的。因此對于IPv6網(wǎng)絡(luò)，可以有效的抵抗偵查攻擊。

4.2 雙棧環(huán)境導(dǎo)致安全風(fēng)險升高

目前我國正處于IPv4到IPv6的過渡過程中，過渡過程大部分網(wǎng)絡(luò)都采用雙棧的過渡模式，即同時啟用IPv4協(xié)議棧和IPv6協(xié)議棧，同時存在IPv4攻擊風(fēng)險和IPv6攻擊風(fēng)險，IPv4和IPv6任何一個協(xié)議或者配置的漏洞，都有可能導(dǎo)致設(shè)備被攻擊。同時攻擊者可以將被攻擊的設(shè)備作為據(jù)點，在IPv4和IPv6網(wǎng)絡(luò)中滲透傳播，增加了雙棧節(jié)點的安全暴露面。

4.3 與ICMPv6 和組播相關(guān)的安全威脅

在IPv4網(wǎng)絡(luò)中，ICMP 協(xié)議用于檢測網(wǎng)絡(luò)的連通性，為了保障網(wǎng)絡(luò)安全，網(wǎng)絡(luò)中可以設(shè)置丟棄大多數(shù)ICMP 消息而不會直接影響網(wǎng)絡(luò)的正常運行，因此丟棄ICMP 報文是提高IPv4安全性的常見做法。在IPv6網(wǎng)絡(luò)中，一些重要的網(wǎng)絡(luò)運行機制，如鄰居發(fā)現(xiàn)和地址重復(fù)檢測等取決于某些類型的ICMPv6協(xié)議。因此為了保障網(wǎng)絡(luò)功能的正常運行，某些ICMPv6消息必須被允許，不能像IPV4網(wǎng)絡(luò)中設(shè)置被丟棄，這樣一定程度上降低了網(wǎng)絡(luò)安全。

4.4 IPv6 隧道機制導(dǎo)致安全風(fēng)險提升

在向IPv6過渡過程中，存在多種隧道解決方案，解決IPv4和IPv6并存問題，如常見的有GRE 隧道、DS-LITE 隧道。這些隧道普遍存在缺乏內(nèi)置認證、數(shù)據(jù)沒有加密的問題，導(dǎo)致攻擊者可能截取隧道報文，偽造用戶地址等，增加網(wǎng)絡(luò)風(fēng)險。

5 結(jié)束語

IPv6現(xiàn)在已經(jīng)全面進入生活的方方面面，IPv6網(wǎng)絡(luò)安全問題在現(xiàn)在顯得日益重要，針對IPv6的網(wǎng)絡(luò)攻擊也會層出不窮，本文針對IPv6網(wǎng)絡(luò)下攻擊形態(tài)變化進行了一定的闡述，提升對IPv6網(wǎng)絡(luò)安全的認知。