您的位置: 网界网 > 周报全文 > 正文

[周报全文]浅谈IPv6安全

2012年12月06日 15:59:34 | 作者:网界网记者 岑义涛 | 来源:网界网 | 查看本文手机版

摘要:IPv6不仅继承了某些IPv4的安全问题,还有自己特有的安全威胁,并且在IPv4向IPv6迁移的过程中还会产生衍生问题。

标签
IPv4
IPv6
网络安全

一年前,40多亿个IPv4地址就已经全部分配完毕。今年六月,满足现有设备地址分配需求的新一代互联网传输协议IPv6正式上线。随着IPv4地址的告罄,世界各国都不得不加快由IPv4向IPv6的迁移的进度,与之而来的安全问题也被更多地关注。如今,云计算[注]的广泛应用,使网络威胁产生的影响远非上一个时代所能比拟。因此,IPv6的安全问题也成为各界最关注的话题之一。

IPv6协议制定的目的是为了解决地址资源短缺和传输层安全威胁等问题。由于IPSec协议被强制添加到了IPv6协议中,而不是像在IPv4中只是附加选项,因此早些时候,IPv6被有些人认为解决了IPv4所带来的网络安全问题。

然而,事实并非如想象的那般美好。在IPv4中常见的网络扫描攻击、非法访问攻击、窃听攻击、中间人攻击、封包碎片攻击、病毒蠕虫攻击、IP地址伪造,以及DHCP攻击,甚至是DDoS[注]等泛洪攻击,在IPv6中也依然存在。但是IPv6的特性有效地降低了常见攻击发生的可能性。IPv6的地址长度为128位,其中默认网络前缀为64位。这样的改变极大地提升了网络扫描攻击的成本,从而使得黑客抓取“肉鸡”的难度也大幅度提升,因此也降低了DDoS攻击的可能性。虽然在IPv6中定义了新的多播地址来以此取代IPv4中的广播地址,但是DHCPv6依然可以通过多播泛洪攻击,针对某个已知的站点地址进行攻击。在IPv6中还有一些不同于之前的安全威胁。比如邻居要求及公告攻击、路由邀请、公告及重定向攻击等。

还有一些安全问题是由认证缺陷,导致非法的路由器可以在不安全的网络上发布重定向信息来误导流量,而恶意主机也可以破坏其他位于本地主机的邻居缓存(Neighbor Cache)信息,从而造成流量无法送达或送至不存在的节点,造成拒绝服务攻击或流量发送到错误节点(+本站微信networkworldweixin),产生中间人攻击。

整个互联网的拓扑已经比以前复杂的多,因此从IPv4到IPv6的迁移也还需要几年的时间。在这段过渡时期内,如何解决两代IP协议共存带来的安全问题,也成为了安全管理人员需要思考的问题。RFC 3056定义了让两个IPv6网络通过IPv4网络相互连通的机制。对于这种跨协议互通的情况,需要在网络边界安置IPv6 to IPv4中继路由器完成跨协议的网络连接。这个时候,就可能发生地址伪造攻击和反射式拒绝服务攻击。

对于IPv4攻击防范的方法在IPv6中虽然依然部分有效,但由于IPv6相比上一个版本过于复杂的设计,也让安全防范措施的部署难度加大了。另外,过渡时期所使用的机制而产生的安全漏洞也会让黑客利用,从而加深IPv6所面临的威胁。IPv6越来越大规模的使用,也刺激了黑客发掘相关的漏洞,并且制作攻击工具。因此,持续不断的网络攻防战也将在一个更宽广、更复杂的平台上进行。

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]