【51CTO.com綜合報道】2011年6月8日是世界第首個“IPv6日”。毋庸置疑，這一天被世人矚目，并且已經(jīng)成為互聯(lián)網(wǎng)發(fā)展道路上一個里程碑。在當天，全球網(wǎng)絡工程師們對諸多系統(tǒng)進行了測試，以確保各大互聯(lián)網(wǎng)服務提供商和內(nèi)容提供商的網(wǎng)絡及應用能夠與下一代IPv6網(wǎng)絡無縫相連或集成，其目的在于使整個行業(yè)（即互聯(lián)網(wǎng)服務提供商、硬件制造商、運營系統(tǒng)供應商以及互聯(lián)網(wǎng)公司），準備好其針對IPv6的服務，并確保當IPv4地址庫資源用罄之時能夠順利過度到IPv6網(wǎng)絡。

Radware參與了全球企業(yè)級用戶與運營商級用戶的IPv6測試，并為用戶提供了領先的可用性、可擴展性、物理和虛擬化基礎設施以及其所獲IPv6認證的應用交付解決方案。作為這些支持IPv6的重要廠商，Radware強調(diào)指出除了網(wǎng)絡IPv6遵從的必要性之外，還要注意由于IPv6流量與執(zhí)行網(wǎng)絡安全遵從而帶來的安全威脅。雖然IPv6設計之初是為了解決IPv4有限的地址空間問題，并提供身份驗證、數(shù)據(jù)保密和保存等諸多內(nèi)置安全特性，但是，它沒有注重服務的可用性與安全性，這些問題也許會由于IPv6的內(nèi)在漏洞與缺點而產(chǎn)生，由此招致黑客攻擊。

關于IPv6的安全認識

雖然借助IPSec (Internet 協(xié)議安全性)， IPv6可提供更好的安全性能并獲得諸多改善，但其中一部分卻被網(wǎng)絡攻擊者所利用。例如，攻擊者的IPv6路由器將會使用假的路由器廣告來為網(wǎng)絡中啟用了IPv6的機器自動創(chuàng)建新的IPv6地址。另外，一些過度機制使IPv6與IPv4網(wǎng)絡間更容易相互影響，導致被網(wǎng)絡攻擊者濫用。過度工具為各種IPv4應用創(chuàng)建了一種方式連接到IPv6服務，而IPv6應用也可連接IPv4服務。

由于像6to4、SIT機制及基于IPv6的UDP通信（例Teredo、Shipworm）這些標準的過度方式，IPv6流量進入互聯(lián)網(wǎng)當中，管理員卻不會發(fā)覺它們的存在。例如，由于許多防火墻允許UDP通過，基于IPv6的UDP通信便可穿越防火墻，而管理員卻不知發(fā)生了什么。攻擊者可利用6to4機制避開入侵檢測軟件。

注意許多防火墻以及IPS（入侵防御系統(tǒng)）無法支持或過濾IPv6流量是十分重要的。如果企業(yè)沒有部署其他安全或邊界性網(wǎng)關功能，攻擊者很可能利用這一疏忽借助IPv6數(shù)據(jù)包進入網(wǎng)絡。

當前，盡管業(yè)內(nèi)非常關心向IPv6過渡的各種事宜，但是網(wǎng)絡安全有時卻會被忽略。Radware指出如下幾種主要的IPv6威脅，提醒業(yè)內(nèi)人士在向IPv6過度之前務必仔細考慮、謹慎待之。

IPv6主要威脅

1、無遵從安全設備

目前，大多數(shù)廠商宣稱自己具備通過IPv6認證的安全產(chǎn)品。是這樣嗎？許多廠商提供的是一個特別的版本，它能支持IPv6或依靠某個許可證運行。但即便支持IPv6可行，人們還是應該仔細學習他們是如何運行的。例如：

s防火墻也許能使未經(jīng)檢查的IPv6流量輕松通過（而不是將其視為非IPv6應用版加以攔截、檢查）；

sIPv6流量也許可繞過多個作為深層數(shù)據(jù)包引擎的硬件組件，它們也許不支持IPv6流量，從而避免各種攻擊；

sIPv6地址長度是IPv4的4倍，可顯著放慢流量處理速度。

2、對管理員來說，IPv6是復雜的

您是否見過IPv6地址？您是否有過依靠防火墻設置來允許或阻止IPv6流量的經(jīng)驗？您如何看待將IPv6流量轉(zhuǎn)換成IPv4流量？您知道Internet控制報文協(xié)議(ICMP)現(xiàn)在已被納入IPv6協(xié)議當中了嗎？這些只是幾個能夠決定一個公司是否具備有效保護其網(wǎng)絡服務器能力的問題。

3、IPv6漏洞

IPv6網(wǎng)絡管理員必須意識到協(xié)議的一些漏洞。IPv6的設計者們認為需要網(wǎng)絡安全，包括基本協(xié)議規(guī)定中的強制IPSec。然而，近來發(fā)生的網(wǎng)絡攻擊事件顯示：IPSec并不能夠處理IPv6網(wǎng)絡中的所有漏洞問題。Bug的設計初衷在于不斷產(chǎn)生各種弱點，這對比IPv4復雜得多的IPv6來說是發(fā)生在其內(nèi)部的。應用提供商們還要經(jīng)過一段時間的運行才能清楚、修補各種IPv6漏洞，因此，人們需要一個IPS提供商，它不僅能夠促進IPv4向IPv6的發(fā)展，還包括諸多特征狀態(tài)以修補各種基于IPv6的系統(tǒng)。

4、IPv6協(xié)議機制

利用Teredo, 6to4, ISATAP等協(xié)議機制，IPv6流量可跨過IPv4。攻擊者可以利用各種IPv6協(xié)議機制偽裝各種進攻，他們知道允許通過的信息包看上去跟正常的IPv4流量毫無差別。我們需要通過防火墻和IPS提供商們準確核實，這些提供商們可通過深度包檢測技術（DPI）對IPv6流量進行內(nèi)容檢測。在能夠支持IPv6并可真正執(zhí)行IPv6 DPI的IPS與諸多防火墻間存在著巨大缺口。

5、各種“不聽話”的IPv6設備

各種無狀態(tài)的自動配置性能是IPv6內(nèi)在固有的，這些性能方便了攻擊者確定行為失常的設備，該設備能夠為其他所有設備分配網(wǎng)絡IP地址。聰明的攻擊者可以建一個行為失常的網(wǎng)絡設備，它可以像IPv6路由器一樣修改或降低流量，甚至不會讓系統(tǒng)管理員發(fā)覺。

6、IPv6加密

與SSL加密相同，IPv6具備內(nèi)部加密機制。盡管設計加密是為用戶與服務器之間的交流提供身份驗證與保密性功能，但該功能也使攻擊者們利用加密機制，繞過了防火墻和IPS檢查，直接向服務器發(fā)起攻擊，原因在于防火墻和IPS無法檢測加密內(nèi)容。

7、DDoS攻擊

DDoS攻擊就是為了利用流量容量淹沒，致使網(wǎng)絡設備和服務器癱瘓，且讓人無法應對。IPv6地址長度是IPv4的4倍?；贗Pv6的流量過濾增加了CPU安全設備的使用；基于IPv6的流量增加提高了CPU聯(lián)網(wǎng)設備的使用率，由此導致能夠充滿網(wǎng)絡的較低的流量容量。

總之，相對于IPv4來講，業(yè)界在IPv6方面的經(jīng)驗確實不足。與此同時，短期內(nèi)，由于網(wǎng)絡設備需要支持網(wǎng)絡協(xié)議的兩個版本，IPv6的引入很有可能會增加重大的網(wǎng)絡安全威脅。但是，作為互聯(lián)網(wǎng)協(xié)議新版本的IPv6，將與其長期使用的前身IPv4共存并最終取代IPv4，它也會提供更多的地址空間促進互聯(lián)網(wǎng)的成長。隨著IPv6的發(fā)展與普及，在其成熟度同IPv4一樣之前，Radware再次提醒您還是應當警惕各種網(wǎng)絡安全威脅。