【51CTO.com 9月1日外電頭條】IPv6是如今在網(wǎng)上日益得到采用的下一代尋址方案，它取代了互聯(lián)網(wǎng)的主要通信協(xié)議IPv4；但安全專家們表示，越來越多的攻擊在鉆IPv6已知漏洞的空子。

總部設(shè)在弗吉尼亞州費(fèi)爾法克斯市的IT工程公司Salient Federal Solutions聲稱，如今的實(shí)際環(huán)境中出現(xiàn)了IPv6攻擊事件，這些攻擊利用了這個(gè)新興協(xié)議的隧道功能、路由報(bào)頭、DNS廣播和惡意路由公布等。這家公司聲稱，如果使用能夠支持IPv6的深層數(shù)據(jù)包檢查工具，就可以消除所有這些威脅。該公司及其他網(wǎng)絡(luò)廠商銷售這類工具。

[[41999]]

Salient公司網(wǎng)絡(luò)安全卓越中心的負(fù)責(zé)人Lisa Donnan說：“我們的確看到了這些攻擊，只是說不出來在哪里看到。”今年3月，Salient Federal Solutions收購(gòu)了IPv6咨詢和培訓(xùn)公司Command Information。

Salient Federal 看到的頭號(hào)攻擊歸咎于眾多的IPv6流量在IPv4網(wǎng)絡(luò)上通過隧道來傳送，尤其是使用內(nèi)置在微軟Windows Vista和Windows 7中的Teredo機(jī)制。IPv6流量在IPv4網(wǎng)絡(luò)上通過隧道來傳送存在的這個(gè)安全漏洞至少五年前就已知道了，但現(xiàn)在仍被不法分子鉆空子。

Salient Federal Systems的高級(jí)主管兼IPv6網(wǎng)絡(luò)架構(gòu)師Jeremy Duncan說：“IPv6隧道機(jī)制讓攻擊者得以肆無忌憚地滲入到網(wǎng)絡(luò)。”

Duncan擔(dān)心的是uTorrent，這是支持IPv6的免費(fèi)客戶端，面向用于共享音樂和電影等大文件的BitTorrent對(duì)等協(xié)議。Duncan表示，uTorrent在Teredo上運(yùn)行起來很順暢；BitTorrent用戶社區(qū)發(fā)現(xiàn)，IPv6是規(guī)避網(wǎng)絡(luò)擁塞控制措施的一個(gè)方法，互聯(lián)網(wǎng)服務(wù)提供商（ISP）經(jīng)常采用控制措施來管理IPv4網(wǎng)絡(luò)上的BitTorrent流量。

Duncan表示，另一款BitTorrent應(yīng)用軟件Vuze的用戶也往往偏愛IPv6，而不是IPv4。

Duncan說：“BitTorrent的用戶發(fā)現(xiàn)，提供商不會(huì)遏制IPv6方面的流量。這對(duì)運(yùn)營(yíng)商們來說是個(gè)問題。它們之所以無法遏制IPv6流量，就是由于沒在檢查這種流量。”

Salient Federal表示，它還看到了針對(duì)IPv6的類型0路由報(bào)頭（Type 0 Routing Header）發(fā)動(dòng)的攻擊。類型0路由報(bào)頭是IPv6的一項(xiàng)功能，讓網(wǎng)絡(luò)運(yùn)營(yíng)商可以識(shí)別一路上哪些路由器可以接收數(shù)據(jù)包?；ヂ?lián)網(wǎng)工程任務(wù)組（IETF）在2007年就建議，應(yīng)該禁用IPv6的這項(xiàng)功能，原因是該功能可能被用于拒絕服務(wù)攻擊。IETF還認(rèn)為這個(gè)威脅的危害性“特別大”。

不過，Salient Federal看到它監(jiān)控的IPv6生產(chǎn)型網(wǎng)絡(luò)同樣受到了針對(duì)類型0路由報(bào)頭的攻擊。比如說，Command Information最后查明，這種攻擊起源于它自己的其中一只沒有在使用的邊界路由器。攻擊的源頭是遠(yuǎn)在中國(guó)的一個(gè)科研網(wǎng)絡(luò)。一旦這種攻擊得逞，中國(guó)黑客就可以將惡意流量，從Command Information那只遭到攻擊的邊界路由器發(fā)送到其他網(wǎng)絡(luò)。

Duncan說：“網(wǎng)絡(luò)管理人員必須關(guān)閉路由器中的這項(xiàng)功能。幾年前，所有思科路由器在默認(rèn)情況下都啟用這項(xiàng)功能。比較新的路由器則關(guān)閉了這項(xiàng)功能；問題就出在比較舊的路由器上。”

與IPv6相關(guān)的另一種威脅來自互聯(lián)網(wǎng)的DNS系統(tǒng)播送所謂的四A記錄（Quad A record）的方式，IPv6用到這種記錄。Duncan表示，四A查詢出現(xiàn)在該公司監(jiān)控的每一個(gè)網(wǎng)絡(luò)上，盡管那些網(wǎng)絡(luò)中有許多并不支持IPv6流量。

四A查詢播出去后，這無異于表明網(wǎng)絡(luò)上的一些節(jié)點(diǎn)能夠支持IPv6，然后不法分子就可以用基于IPv6的攻擊來鎖定這些節(jié)點(diǎn)。因?yàn)榫W(wǎng)絡(luò)本身不支持IPv6，所以網(wǎng)絡(luò)管理人員很可能沒有使用深層數(shù)據(jù)包檢查工具來監(jiān)控IPv6流量。

Duncan把播送四A記錄的IPv4網(wǎng)絡(luò)稱為“裝滿子彈的火槍”。

Duncan說：“如果公司企業(yè)擁有能夠支持IPv4，但不支持IPv6的設(shè)備，黑客們就知道缺少IPv6方面的網(wǎng)絡(luò)管理。他們就很容易向該企業(yè)的郵件服務(wù)器發(fā)送洪水般的垃圾郵件，而垃圾郵件里面含有惡意軟件。他們只需要擁有更高權(quán)限的某個(gè)用戶打開含有惡意軟件的某一封垃圾郵件，而該惡意軟件就可以透過防火墻在隧道里打開IPv6。”

Duncan指出，他還沒有見過四A漏洞被人鉆空子的情況，不過他認(rèn)為這是企業(yè)面臨的一個(gè)重大威脅。

Duncan說：“我們還沒有看到利用這個(gè)漏洞的具體案例，但見過許多IPv6隧道流量并沒有加以檢查。每家企業(yè)播出去的四A記錄可能多達(dá)成千上萬條……解決辦法就是，如果你沒有在使用IPv6，就要牢牢鎖住它，另外使用深層數(shù)據(jù)包檢查工具。”

最后，Salient Federal聲稱，它看到了IPv6的惡意路由器公告；不過該公司承認(rèn)，還沒有看到哪個(gè)不懷好意的人發(fā)送這種惡意公告。IETF在今年2月曾提醒防范惡意路由器公告這種威脅，指出這個(gè)安全漏洞可能被用于發(fā)動(dòng)拒絕服務(wù)攻擊或中間人攻擊。

這種威脅來自這個(gè)事實(shí)：由于IPv6具有的自動(dòng)配置功能，能夠支持IPv6的工作站總是會(huì)偵聽路由器公告。然而，由于網(wǎng)絡(luò)管理員的失誤或黑客攻擊，這些工作站可能會(huì)受到假公告的欺騙。無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)都存在IPv6的惡意路由公告這個(gè)問題。

Duncan說：“企業(yè)需要在自己的交換機(jī)和路由器上部署像思科的RA Guard這些修復(fù)程序；但之后，你要讓網(wǎng)絡(luò)的核心部分能夠支持IPv6。你還要在網(wǎng)絡(luò)的核心部分使用深層數(shù)據(jù)包檢查功能。”

Duncan竭力勸告公司在各自的網(wǎng)絡(luò)上實(shí)施IPv6，并落實(shí)合適的安全控制措施，比如深層數(shù)據(jù)包檢查工具，那樣他們就能管理與IPv6有關(guān)的漏洞了。

他說：“企業(yè)必須確保，自己的安全廠商能夠防范這些特定的IPv6漏洞。”他竭力勸告公司企業(yè)，要對(duì)系統(tǒng)工程師和網(wǎng)絡(luò)工程師進(jìn)行IPv6方面的培訓(xùn)，并制定一項(xiàng)IPv6網(wǎng)絡(luò)安全計(jì)劃。

Duncan表示，企業(yè)網(wǎng)絡(luò)的管理人員對(duì)IPv6日益有所了解，但是他們對(duì)于相關(guān)的安全問題還不夠關(guān)注。他說：“對(duì)于IPv6安全的關(guān)注程度不如對(duì)于IPv4安全的關(guān)注。”

Donnan表示，這個(gè)問題讓人擔(dān)憂，那是因?yàn)槊绹?guó)公司很容易遭到別國(guó)發(fā)動(dòng)的IPv6攻擊。

Donnan說：“如今存在背后有政府撐腰的黑客活動(dòng)，黑客們對(duì)于IPv6又非常精通。”

許多運(yùn)營(yíng)商和企業(yè)紛紛遷移到IPv6，因?yàn)榛ヂ?lián)網(wǎng)上使用IPv4的地址即將告罄。之前未分配的IPv4地址在今年2月就已經(jīng)用光了；亞太地區(qū)在4月份就用光了，就剩下專門留給新興公司的少數(shù)幾個(gè)IPv4地址。美國(guó)互聯(lián)網(wǎng)號(hào)碼注冊(cè)機(jī)構(gòu)（ARIN）負(fù)責(zé)為北美的網(wǎng)絡(luò)運(yùn)營(yíng)商分配IP地址；該組織表示，它提供的IPv4地址會(huì)在今年分配完畢。

IPv4使用32位地址，可以支持直接連接到互聯(lián)網(wǎng)的43億個(gè)設(shè)備；而IPv6使用128位地址，可以連接的設(shè)備數(shù)量幾乎沒有限制：2的128次冪個(gè)。IPv6有望提供比IPv4速度更快、成本更低的互聯(lián)網(wǎng)服務(wù)，還可以使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備，延長(zhǎng)IPv4的使用壽命。

原文鏈接：http://www.pcworld.com/article/238848/scariest_ipv6_attack_scenarios.html#tk.hp_new

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】