IPv6解決了很多IPv4難以解決的安全問題，但是同時它又引進了新的安全風(fēng)險。其中一個常被人質(zhì)疑的是，全部網(wǎng)絡(luò)設(shè)備都將擁有自己的可被路由到的IPv6 地址，這將使得這些設(shè)備都暴露在互聯(lián)網(wǎng)的復(fù)雜環(huán)境下。

降低隱私能見度

如果所有網(wǎng)絡(luò)設(shè)備都可以通過互聯(lián)網(wǎng)訪問，那么個人用戶就很容易通過網(wǎng)絡(luò)被追蹤。這個問題很早就被弗吉尼亞理工大學(xué)的研究團隊發(fā)現(xiàn)了，他們在較早前的一份報告中解釋說：

“默認的地址系統(tǒng)如果采用IPv6，在自動配置地址的情況下，第三方將可以通過簡單的指令，諸如ping以及trace route 等在全球范圍追蹤和監(jiān)視目標用戶。同時用戶發(fā)送數(shù)據(jù)的接受方信息，也會被第三方監(jiān)視者獲取。”

該研究團隊還發(fā)現(xiàn)，如果采用默認的IPv6地址方案，設(shè)備的MAC地址也將暴露在互聯(lián)網(wǎng)環(huán)境中。于是他們開發(fā)了一種防御方案，叫做Moving Target IPv6 Defense (MT6D)。該方案可以提供以下功能：

“主機之間通過互聯(lián)網(wǎng)進行通信時，對于定位，跟蹤和數(shù)據(jù)流截獲等都保持匿名狀態(tài)。”

這是一個很重要的工作，該研究團隊的Stephen Groat, Matthew Dunlop, William Urbanski, Randolph Marchany, 和 Joseph Tront為這項方案申請了專利，并且為此獲得了2011年美國全國安全創(chuàng)新競賽的第三名。

在我看來，這個團隊已經(jīng)解決了IPv6的隱私保護問題。但是為了讓廣大讀者更好的了解MT6D，我決定親自讓團隊的成員來解釋一下他們的工作。

Kassner: 你們的研究報告提到，在使用IPv6的無狀態(tài)地址自動配置功能時，隱私泄漏問題就凸現(xiàn)出來了。你能解釋一下什么是無狀態(tài)地址自動配置功能，還有這個功能為什么會影響用戶隱私的安全性?

Research team: 無狀態(tài)地址自動配置 (SLAAC)是采用IPv6協(xié)議的主機自己配置網(wǎng)絡(luò)地址的一種方式。主機自己配置IP地址，可以減少網(wǎng)絡(luò)管理者的管理負擔(dān)。這與IPv4網(wǎng)絡(luò)環(huán)境中使用的DHCP方式有所改變。

使用SLAAC的問題在于，不論主機是否連接子網(wǎng)，它的地址或接口ID(IID)都是相同的。而默認的地址體系也就是64位擴展唯一標識 (EUI64)是采用MAC地址作為IID的。這樣做的結(jié)果就是，攻擊者擁有了子網(wǎng)列表以及主機的MAC地址，就可以從世界任何位置對該主機展開攻擊。

Kassner: 據(jù)說微軟在新版本操作系統(tǒng)中使用了隱私擴展技術(shù)來隱藏主機的部分MAC地址，這樣做是不是就夠了?

Research team: 隱私擴展技術(shù)可以算是一種改進，但是只能保護客戶端系統(tǒng)，而服務(wù)器系統(tǒng)仍然處于威脅中。因為隱私擴展技術(shù)不能頻繁的變化地址來防止網(wǎng)絡(luò)攻擊，對于網(wǎng)站服務(wù)器或企業(yè)VPN服務(wù)器這樣需要全天候開通并且保持固定IP地址的系統(tǒng)來說，并沒有什么防護效果。

這樣的系統(tǒng)還是容易被鎖定和攻擊。另外，隱私擴展技術(shù)主要應(yīng)用于Web通信，其他應(yīng)用領(lǐng)域，諸如VoIP，VPN等，都無法在隱私擴展模式下工作。

Windows系統(tǒng)下應(yīng)用的隱私擴展還需要依賴于另一個IPv6地址進行鄰居發(fā)現(xiàn)，本地DNS以及其它相關(guān)功能。而這個地址必須是靜態(tài)的，并且能夠被其它主機獲取。如果黑客獲取了該地址，同樣可以用來進一步攻擊目標主機。

Kassner: 你們的團隊給出的方案是通過MT6D來提高隱私安全性，在這個系統(tǒng)中，發(fā)送方和接收方的IP地址都是動態(tài)變化的。這是怎么實現(xiàn)的呢?

Research team: 動態(tài)變化的地址可以保護隱私，使得通信雙方實現(xiàn)匿名和安全的通信。我們的技術(shù)有些類似于跳頻技術(shù)。當(dāng)現(xiàn)實中兩臺主機在IPv6網(wǎng)絡(luò)中通信時，攻擊者攔截到的是多個獨立主機地址的配對。攻擊者無法得知其中哪個地址配對才是真正的通信雙方，也無法簡單的對某個地址進行攻擊。

Kassner: MT6D 同時還會將信息流加密，那是否意味著 IPsec 就該退休了?

Research team: MT6D可以被看做是一個增強型的IPsec。 IPsec可以對網(wǎng)絡(luò)數(shù)據(jù)流進行加密，但是需要固定IP地址。 如果主機或網(wǎng)關(guān)上配備了IPsec ，那么攻擊者就可以通過發(fā)起拒絕服務(wù)攻擊的方式對主機或網(wǎng)關(guān)進行攻擊。

MT6D 提供了網(wǎng)絡(luò)層加密以及動態(tài)地址。和IPsec一樣，攻擊者無法對通過MT6D封裝的數(shù)據(jù)包進行偵聽，同時，攻擊者也無法鎖定主機地址，因此無法發(fā)動拒絕服務(wù)攻擊。

Kassner: 你的報告指出：

“MT6D 的一個關(guān)鍵功能是它可以在兩個主機進行通信時在線程中段進行地址變化，而不會引起通信的重置或崩潰。”

這一點非常獨特，你們是不是將TCP的三次握手進行了改進?

Research team: MT6D建立了一個通道并將所有數(shù)據(jù)流封裝進去，并沒有修改TCP的三次握手規(guī)則。隧道通過平衡所有4層協(xié)議，限制了TCP線程開銷。在線程中段改變地址并不會中斷已有的線程，也不會導(dǎo)致額外增加三次握手通信。

Kassner: 論文里提到 MT6D的設(shè)計是為了阻止特定的網(wǎng)絡(luò)攻擊。那么這個特定的網(wǎng)絡(luò)攻擊是什么呢?是否因為這個攻擊的特點才使用了動態(tài)地址呢?

Research team: MT6D可以防止多種針對某個地址發(fā)動的網(wǎng)絡(luò)攻擊，比如拒絕服務(wù)攻擊，同時也可以對應(yīng)用層攻擊進行防護。這都是通過對通信雙方主機IP地址進行動態(tài)模糊來實現(xiàn)的。由于IPv6網(wǎng)絡(luò)地址數(shù)量相當(dāng)龐大，理論上黑客是不可能通過范圍掃描來定位主機的。

就算黑客獲知了目標主機的IP地址，其所能攻擊的時間也僅限于主機地址再次進行變換之前。

Kassner: 論文里還提到，弗吉尼亞理工大學(xué)是進行IPv6應(yīng)用的一個最佳地點，為什么這么說呢?

Research team: 弗吉尼亞理工大學(xué)是美國全境內(nèi)少數(shù)幾個完全支持IPv6協(xié)議的網(wǎng)絡(luò)環(huán)境。實際上，它是美國最大規(guī)模的校園IPv6網(wǎng)絡(luò)，包含了大約3萬個網(wǎng)絡(luò)節(jié)點。這種規(guī)模能夠支持我們進行MT6D的現(xiàn)實環(huán)境測試。

Kassner: 聽說MT6D也可以用于IPv4 網(wǎng)絡(luò)。這有可能嗎?還是說它首先會應(yīng)用于IPv6網(wǎng)絡(luò)。

Research team: 雖然 MT6D的概念也適用于IPv4網(wǎng)絡(luò)，但是還是存在兩個問題。 首先， IPv4的子網(wǎng)規(guī)模太小，攻擊者可以在幾分鐘內(nèi)將整個子網(wǎng)掃描一遍，這使得黑客鎖定目標主機變得更加容易了。其次，IPv4已經(jīng)沒有足夠多的可用地址用來進行地址變換了，如果采用MT6D很容易出現(xiàn)地址沖突。

IPv6 的子網(wǎng)是 64位的，這意味著整個IPv4網(wǎng)址空間都可以放在一個IPv6子網(wǎng)中，所占用的地址空間還不及總空間的四十億分之一。目前來看，對這樣大范圍的子網(wǎng)進行詳細掃描，還不太可能完成。

同樣，由于IPv6擁有足夠大的地址空間，地址變換時出現(xiàn)地址沖突的可能性就非常小了。因此MT6D 最好還是在IPv6環(huán)境中使用。

總結(jié)

由此看來，盡管在IPv6環(huán)境中，我們的電腦都將直接面對互聯(lián)網(wǎng)，但是 MT6D卻能夠幫助我們保護隱私，消除很多潛在的被攻擊風(fēng)險。