IPv6的時(shí)代已然來臨，相信每個(gè)人在迎接它的同時(shí)也已經(jīng)做好了面對(duì)新型安全問題的準(zhǔn)備。終于，IPv6分布式拒絕服務(wù)攻擊首度出現(xiàn)。

IPv4繼續(xù)服務(wù)于互聯(lián)網(wǎng)的時(shí)間已經(jīng)即將進(jìn)入尾聲，但即使如此下一代互聯(lián)網(wǎng)流量協(xié)議IPv6的普及速度始終相當(dāng)緩慢，不過IPv6至少已經(jīng)為大家所廣泛接受。根據(jù)ArborNetworks日前發(fā)布的報(bào)告，“IPv6發(fā)展道路上的新里程碑：IPv6分布式拒絕服務(wù)攻擊（簡稱DDoS）首度出現(xiàn)。”

出現(xiàn)這種情況的原因在于，基于IPv6的網(wǎng)絡(luò)終端已經(jīng)發(fā)展得相當(dāng)龐大，這種規(guī)模已經(jīng)足以為攻擊者提供大量注入點(diǎn)以進(jìn)行針對(duì)IPv6協(xié)議的攻擊。同樣，這也說明攻擊者們認(rèn)為在使用IPv6的網(wǎng)絡(luò)中勞心費(fèi)力并組織攻擊活動(dòng)是完全值得的。

網(wǎng)絡(luò)工程師們開始意識(shí)到IPv6的安全性問題（圖片由ArborNetworks提供）

其實(shí)除了人為因素以外，上述情況都在意料之中。ArborNetworks在其發(fā)布的全球基礎(chǔ)設(shè)施安全報(bào)告中已經(jīng)對(duì)IPv6DDoS攻擊的出現(xiàn)做出了明確預(yù)期。“這是一大關(guān)鍵性里程碑，標(biāo)志著攻擊者與維護(hù)者之間的軍備競賽將就此展開，”報(bào)告中提到。“我們認(rèn)為IPv6DDoS攻擊在廣泛性及出現(xiàn)比例方面將隨時(shí)間推移而逐步上升，因?yàn)镮Pv6本身的普及度正在穩(wěn)步提高。”而時(shí)至今日，這種預(yù)期已經(jīng)開始變成現(xiàn)實(shí)。

根據(jù)ArborNetworks高級(jí)軟件質(zhì)量保障工程師BillCerveny的說法，“在過去一段時(shí)間中，IPv6網(wǎng)絡(luò)中出現(xiàn)的故障與問題往往被人們忽視甚至未能發(fā)現(xiàn)，因?yàn)楫?dāng)時(shí)沒人注意到（或是關(guān)心）這一點(diǎn)……這種關(guān)注度上的缺失又反過來促使攻擊者們將IPv6當(dāng)作實(shí)施攻擊的大好起點(diǎn)。盡管目前來看IPv6所遭受的攻擊頻率相對(duì)較低、損失也較小，但隨著普及度的逐漸提高，相信攻擊者們也將迅速跟上，帶來更多令人頭痛的安全難題。”

這些攻擊現(xiàn)象背后還隱藏著另一個(gè)問題，即人們普遍相信IPv6比IPv4更為安全。的確，Cerveny援引的例子的確很說明問題：“美國政府機(jī)構(gòu)內(nèi)部的某個(gè)網(wǎng)絡(luò)安全團(tuán)隊(duì)日前宣布解散，因?yàn)樗麄冋J(rèn)為IPv6比舊有網(wǎng)絡(luò)協(xié)議更加安全。鑒于下一代互聯(lián)網(wǎng)協(xié)議自有的安全能力非常強(qiáng)大，該團(tuán)隊(duì)認(rèn)為各類安全問題都將自行瓦解，團(tuán)隊(duì)本身也就沒有必要繼續(xù)存在下去。”

他們代表了大多數(shù)用戶的想法，但需要強(qiáng)調(diào)的是，這種觀點(diǎn)并不正確。誠然，IPv6自身整合了互聯(lián)網(wǎng)協(xié)議安全性（簡稱IPsec）的諸多內(nèi)容，不過光是一套協(xié)議根本無法保證萬全。IPv6的標(biāo)頭設(shè)計(jì)同樣有助于安全保護(hù)，因?yàn)樗軌虮挥脕頌榧用茉獢?shù)據(jù)與被加密的有效負(fù)載之間提供一套更加干凈利落的隔離機(jī)制。此外，IPv6帶來的海量地址空間在經(jīng)過部署之后，會(huì)使掃描攻擊在子網(wǎng)內(nèi)很難通過隨機(jī)地址分配方式為非作歹。然而，這一切效果的實(shí)現(xiàn)都取決于我們能否正確部署IPv6。就自身而言，IPv6與我們小時(shí)候裹在身上的厚毯子頗為相似，如果不用心處理，那是半點(diǎn)保護(hù)作用也談不上的。

正如來自云及IPv6集成業(yè)務(wù)企業(yè)Nephos6的JohnSpence所說：“大多數(shù)認(rèn)為IPv6比IPv4更加安全的想法，都源于RFC（即網(wǎng)絡(luò)請(qǐng)求注解）強(qiáng)制要求IPv6堆棧中包含IPsec支持；但無疑是一種太過簡單的看法（而且在最近發(fā)布的RFC6434中，這一強(qiáng)制要求已經(jīng)被取消）。”也就是說，我們根本無法確定IPsec保護(hù)機(jī)制是否將作用于某些IPv6軟件及硬件上。

Spence還觀察到，“由于IPv6固有的自動(dòng)轉(zhuǎn)換機(jī)制努力在為雙堆棧節(jié)點(diǎn)提供IPv6服務(wù)（例如WindowsVista或Windows7），因此在表面上只部署了IPv4的設(shè)備往往正是IPv6安全漏洞的高發(fā)環(huán)境。我將這種情況稱為‘IPv6意外部署’，因?yàn)榇祟悹顟B(tài)雖然未經(jīng)管理、癥狀隱晦，但卻很可能被攻擊者為利用?？偠灾?，在大多數(shù)設(shè)備上，IPv6都處于默認(rèn)設(shè)置狀態(tài)，所以即使是自己的機(jī)構(gòu)根本就沒有部署過IPv6，我仍然呼吁大家盡快制訂一套相關(guān)安全規(guī)劃。”

以上各類問題都是真實(shí)存在的。幸運(yùn)的是，解決方案也將很快出臺(tái)?；ヂ?lián)網(wǎng)工程任務(wù)組（簡稱IETF）已經(jīng)拿出一份草案——《IPv6路由器通告（簡稱RA）防護(hù)實(shí)施意見》，但項(xiàng)目尚處于進(jìn)展當(dāng)中。

正如華盛頓城際網(wǎng)絡(luò)公司TachyonDynamics所指出的那樣，目前“像WindowsXP、2003、Vista、7以及2008等操作系統(tǒng)都沒有限制所監(jiān)聽路由器的數(shù)量。而Linux及Mac設(shè)備則將監(jiān)聽對(duì)象的數(shù)量設(shè)定為15個(gè)，這才是正確的做法。一旦有15個(gè)以上的不同RA發(fā)至設(shè)備，Linux與Mac都能及時(shí)停止為其配置地址及路由。而在Windows系統(tǒng)中則不是這樣，廣受好評(píng)的漏洞工具flood_router6正是由這一點(diǎn)出發(fā)，在許多個(gè)人計(jì)算機(jī)上橫行無忌，并成為黑客首選IPv6攻擊工具包（簡稱THC-IPv6）中的一員。Flood_router6基本上是在短時(shí)間內(nèi)向子網(wǎng)發(fā)送數(shù)以百萬計(jì)的、各自擁有不同IPv6前綴的RA源地址。只在數(shù)秒之內(nèi)，一臺(tái)功能齊備的Windows設(shè)備就會(huì)瞬間變磚。

由于互聯(lián)網(wǎng)上針對(duì)IPv6系統(tǒng)的威脅如此之多，我們顯然應(yīng)該馬上行動(dòng)起來脫離原本坐以待斃的狀況，努力保證IPv6在自己的網(wǎng)絡(luò)中安全運(yùn)作。此外，Windows用戶必須明確一點(diǎn)：在未能徹底防范已知的各種IPv6攻擊之前，不要輕易使用這套新興的網(wǎng)絡(luò)協(xié)議。

原文鏈接：

http://www.zdnet.com/blog/networking/first-ipv6-distributed-denial-of-service-internet-attacks-seen/2039