IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析

徐華

摘 要：本文對(duì)比IPv6協(xié)議與IPv4協(xié)議的區(qū)別和優(yōu)勢(shì)，分別從針對(duì)IPv6協(xié)議自身特點(diǎn)、IPv6業(yè)務(wù)應(yīng)用、IPv4向IPv6演進(jìn)階段等方面的攻擊入手，分析IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提出IPv6網(wǎng)絡(luò)下的風(fēng)險(xiǎn)防范建議，對(duì)今后IPv6網(wǎng)絡(luò)安全防護(hù)具有一定的指導(dǎo)意義。

關(guān)鍵詞：IPv6;風(fēng)險(xiǎn);DNS;DDOS;防范

1 概述

2018年三大運(yùn)營(yíng)商和服務(wù)機(jī)構(gòu)門戶網(wǎng)站紛紛進(jìn)行網(wǎng)絡(luò)升級(jí)，支持IPv6連接訪問(wèn)。與此同時(shí)，早在2018年初，Neustar公司就宣稱受到了IPv6 DDoS攻擊，針對(duì)IPv6協(xié)議和應(yīng)用的新特點(diǎn)衍生的網(wǎng)絡(luò)安全問(wèn)題將成為我們關(guān)注的重點(diǎn)。

本文對(duì)比IPv6協(xié)議與IPv4協(xié)議的區(qū)別和優(yōu)勢(shì)，針對(duì)IPv6協(xié)議自身特點(diǎn)、IPv6業(yè)務(wù)應(yīng)用、IPv4向IPv6演進(jìn)技術(shù)等方面的攻擊，分析IPv6網(wǎng)絡(luò)下的安全風(fēng)險(xiǎn)，提出IPv6網(wǎng)絡(luò)下的風(fēng)險(xiǎn)防范建議，對(duì)今后IPv6網(wǎng)絡(luò)安全防護(hù)具有一定的指導(dǎo)意義。

2 IPv6協(xié)議特點(diǎn)

2.1 IPv4局限性

長(zhǎng)度為32bit的IPv4地址可提供約43億個(gè)IP地址，隨著全球網(wǎng)民數(shù)的迅速增長(zhǎng)、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展，對(duì)IP地址的需求增長(zhǎng)迅速，IP地址枯竭是我們面臨的最大問(wèn)題。為了節(jié)省IPv4公網(wǎng)地址，通常使用NET網(wǎng)絡(luò)地址翻譯來(lái)解決，但是使用NAT的用戶好像隔著一扇門看外面的世界，破壞了端到端的應(yīng)用模型。而且IPv4網(wǎng)絡(luò)下的各級(jí)路由器路由條目過(guò)多，路由器處理效率降低。

2.2 IPv6地址

IPv6的地址長(zhǎng)度為128bit，每段是一個(gè)4位十六進(jìn)制數(shù)，共8段，并用冒號(hào)隔開。

2.3 IPv6報(bào)文結(jié)構(gòu)

IPv6數(shù)據(jù)報(bào)文由固定長(zhǎng)度40個(gè)字節(jié)的基本報(bào)頭和不限制長(zhǎng)度的擴(kuò)展報(bào)頭組成。雖然IPv6報(bào)文頭對(duì)比IPv4報(bào)文結(jié)構(gòu)簡(jiǎn)單，將分片信息放在擴(kuò)展報(bào)頭中。擴(kuò)展報(bào)頭的特殊屬性也將成為攻擊者的新切入點(diǎn)。

3 IPv6下DNS系統(tǒng)的風(fēng)險(xiǎn)分析

3.1 針對(duì)IPv6協(xié)議自身特點(diǎn)進(jìn)行攻擊

攻擊者可利用擴(kuò)展報(bào)頭的特性發(fā)起多種形式的攻擊。

3.1.1 多擴(kuò)展頭攻擊

IPv6擴(kuò)展報(bào)頭可以出現(xiàn)多次相同類型的擴(kuò)展頭。攻擊者可以構(gòu)造大量異常的擴(kuò)展頭報(bào)文對(duì)服務(wù)器進(jìn)行DDOS攻擊，服務(wù)器在處理報(bào)文時(shí)耗費(fèi)大量資源，使性能下降。

3.1.2 逐跳選項(xiàng)報(bào)頭攻擊

每一跳路由器檢查和處理的擴(kuò)展報(bào)頭，經(jīng)過(guò)構(gòu)造的數(shù)據(jù)包，可以讓一個(gè)報(bào)文在存在漏洞的域名服務(wù)器之間來(lái)回轉(zhuǎn)發(fā)，耗盡服務(wù)器資源，源地址限制也將成為擺設(shè)。

3.1.3 數(shù)據(jù)包分片攻擊

雖然IPv6逐漸替代IPv4，但I(xiàn)Pv4中存在的數(shù)據(jù)包分片攻擊在IPv6的網(wǎng)絡(luò)中仍然存在。物理網(wǎng)絡(luò)規(guī)定了物理幀傳輸?shù)淖畲髠鬏攩卧狹TU，在IPv6網(wǎng)絡(luò)中如果發(fā)送的IPv6的數(shù)據(jù)包長(zhǎng)度大于數(shù)據(jù)包經(jīng)過(guò)的所有子網(wǎng)的最小MTU值，源節(jié)點(diǎn)將會(huì)對(duì)數(shù)據(jù)包分片，在IPv6的數(shù)據(jù)包中插入擴(kuò)展報(bào)頭Fragment Header用于分片傳輸。分片包攻擊可能造成分片包不按順序到達(dá)，部門分片包遭受攻擊不能重組，分片包數(shù)據(jù)之間重疊，分片包DOS攻擊等問(wèn)題。

3.1.4 NDP協(xié)議攻擊

IPv6采用NDP協(xié)議（鄰居發(fā)現(xiàn)協(xié)議）替代IPv4中的ARP協(xié)議，在IPv6協(xié)議中類似ARP泛洪、ARP欺騙等的NDP協(xié)議攻擊也成為新的攻擊方式。攻擊者可以通過(guò)偽造NS/NA報(bào)文，修改主機(jī)MAC地址或使緩存表溢出。

3.2 針對(duì)IPv6業(yè)務(wù)應(yīng)用攻擊

Neustar公司宣稱的IPv6 DDoS攻擊僅僅是1900個(gè)IPv6地址背后的那些計(jì)算機(jī)在攻擊DNS服務(wù)器，而它們只是更多數(shù)量的被征用的系統(tǒng)的一部分。IPv6協(xié)議提供了海量的IP地址資源，任何一個(gè)擁有IPv6地址的事物都可能成為肉雞，想象一下地球上的每一粒沙子發(fā)起的DDOS攻擊將是一個(gè)十分可怕的事情，而最容易受到攻擊的系統(tǒng)就是我們的DNS服務(wù)器。海量的用戶請(qǐng)求需要我們的DNS服務(wù)器具備高速處理能力，需要具備安全防御異常DNS請(qǐng)求包能力。同時(shí)，IPv6的網(wǎng)絡(luò)已不需要NAT設(shè)備，用戶用真實(shí)的IPv6的地址向域名服務(wù)器發(fā)起域名查詢請(qǐng)求，這將成為黑客竊取用戶IP地址的最好途徑，對(duì)域名服務(wù)器的安全提出了很大的挑戰(zhàn)。

3.3 IPv6和IPv4雙棧下的安全風(fēng)險(xiǎn)

在IPv4向IPv6過(guò)渡階段，在IPv4網(wǎng)絡(luò)中，多數(shù)設(shè)備開啟了IPv6協(xié)議，這也在IPv4的網(wǎng)絡(luò)中建立了隱蔽的IPv6 通道， IPv6 通道的安全防護(hù)容易被維護(hù)人員忽視，加上安全防護(hù)設(shè)備對(duì)IPv6的適用性存在漏洞，很可能被攻擊者利用，從而對(duì)IPv4的網(wǎng)絡(luò)實(shí)施攻擊。

4 IPv6網(wǎng)絡(luò)風(fēng)險(xiǎn)防范

4.1 針對(duì)IPv6自身協(xié)議特點(diǎn)的攻擊防范

針對(duì)IPv6協(xié)議自身特點(diǎn)進(jìn)行攻擊，通常是黑客抓住了IPv6協(xié)議自身的漏洞?？梢酝ㄟ^(guò)限制擴(kuò)展頭的數(shù)量，嚴(yán)格限制報(bào)文的分片數(shù)量或禁止報(bào)文分片、等方法來(lái)防范。對(duì)于NDP協(xié)議的攻擊可以通過(guò)手工綁定IPv6地址和MAC地址的方法對(duì)非法的ND報(bào)文進(jìn)行過(guò)濾。同時(shí)，對(duì)端口學(xué)習(xí)的最大ND表項(xiàng)進(jìn)行限制也是預(yù)防ND DOS攻擊的方法。

4.2 針對(duì)IPv6業(yè)務(wù)應(yīng)用進(jìn)行的攻擊防范

做好應(yīng)用系統(tǒng)的自身防護(hù)和邊界防護(hù)策略，及時(shí)修補(bǔ)IPv6相關(guān)的安全漏洞。由于IPv6的網(wǎng)絡(luò)IP地址是IPv4網(wǎng)絡(luò)IP地址的2的96次方倍，系統(tǒng)需要支持海量的IP安全防御。DNS系統(tǒng)可按需要線性擴(kuò)充DNS緩存和防護(hù)能力，系統(tǒng)接入鏈路省級(jí)至N*10GE，完成遞歸和緩存服務(wù)器分離，做好系統(tǒng)冗災(zāi)備份和安全防御，適應(yīng)IPv6的各種新特性和新挑戰(zhàn)。

4.3 IPv6和IPv4雙棧下的安全風(fēng)險(xiǎn)防范

在IPv6和IPv4雙協(xié)議棧網(wǎng)絡(luò)中，升級(jí)現(xiàn)有防火墻和安全防護(hù)設(shè)備，設(shè)計(jì)時(shí)考慮防火墻和防護(hù)設(shè)備的位置和性能，將防火墻設(shè)置在出口路由器外或出口路由器和內(nèi)部網(wǎng)絡(luò)之間，并針對(duì)IPv6相關(guān)服務(wù)設(shè)置策略。在采用隧道技術(shù)解決IPv6網(wǎng)絡(luò)孤島問(wèn)題時(shí)，建議采用靜態(tài)隧道，降低非法數(shù)據(jù)包侵入可能。

5 結(jié)論

結(jié)合IPv6協(xié)議特點(diǎn)、業(yè)務(wù)應(yīng)用、IPv4向IPv6演進(jìn)階段等方面的攻擊分析，做好IPv6網(wǎng)絡(luò)下的風(fēng)險(xiǎn)防范是網(wǎng)絡(luò)維護(hù)十分重要的事情。