互聯(lián)網(wǎng)工程師們發(fā)現(xiàn)了據(jù)稱業(yè)內(nèi)第一起基于IPv6的分布式拒絕服務(wù)（DDoS）攻擊。他們警告，這僅僅是個(gè)開(kāi)頭，下一波網(wǎng)絡(luò)大破壞迫在眉睫。

網(wǎng)絡(luò)專家韋斯利.喬治（Wesley George）本周早些時(shí)候注意到了奇怪的流量，這是針對(duì)一臺(tái)DNS服務(wù)器發(fā)動(dòng)的大規(guī)模攻擊的一部分，企圖讓服務(wù)器不堪重負(fù)。他供職于Neustar公司的SiteProtect DDoS保護(hù)服務(wù)部門，當(dāng)時(shí)他在獲取惡意流量的數(shù)據(jù)包，這是其工作的一部分，他當(dāng)時(shí)意識(shí)到“來(lái)自IPv6地址的數(shù)據(jù)包流入到IPv6主機(jī)。”

這次攻擊不是很大――不像本周針對(duì)GitHub發(fā)動(dòng)的創(chuàng)紀(jì)錄的1.35Tbps攻擊，也沒(méi)有采用IPv6獨(dú)有的方法，但是不同尋常、令人擔(dān)憂，于是他提醒團(tuán)隊(duì)的其余成員要注意。

1900個(gè)IPv6地址背后的那些計(jì)算機(jī)在攻擊DNS服務(wù)器，它們只是更多數(shù)量的被征用的系統(tǒng)的一部分，這些系統(tǒng)主要使用公共互聯(lián)網(wǎng)上的IPv4地址。因此，運(yùn)行IPv6網(wǎng)絡(luò)的任何人都要確保自己已部署了與IPv4網(wǎng)絡(luò)同樣級(jí)別的網(wǎng)絡(luò)安全和緩解工具，而且動(dòng)作要快。

Neustar的研發(fā)負(fù)責(zé)人巴雷特?萊昂（Barrett Lyon）告訴我們：“面臨的風(fēng)險(xiǎn)在于，如果你沒(méi)有將IPv6作為威脅模型的一部分，很可能兩眼抹黑。”

除了少數(shù)幾家知名公司（比如Facebook和LinkedIn）外，已開(kāi)始引入IPv6網(wǎng)絡(luò)的公司大多數(shù)是通過(guò)并行運(yùn)行IPv4和IPv6來(lái)開(kāi)展這項(xiàng)工作的，常常設(shè)有兩個(gè)不同的團(tuán)隊(duì)。萊昂和喬治都警告，根據(jù)他們的經(jīng)驗(yàn)，網(wǎng)絡(luò)工程師們先安裝好IPv6網(wǎng)絡(luò)，之后才為確保安全而操心。

敞開(kāi)的解析系統(tǒng)

萊昂特別指出，在1900個(gè)IPv6地址中，400個(gè)被配置不當(dāng)?shù)腄NS系統(tǒng)所使用，大約三分之一的攻擊流量來(lái)自那些服務(wù)器――不法分子可以使用DNS服務(wù)器來(lái)放大發(fā)送到受害者系統(tǒng)的網(wǎng)絡(luò)流量。這可能是將來(lái)的一個(gè)巨大問(wèn)題，因?yàn)樗砻鞴こ處焸冊(cè)跇?gòu)建的網(wǎng)絡(luò)存在固有的安全問(wèn)題，之后可能需要數(shù)年才能解決。

幾年來(lái)，互聯(lián)網(wǎng)社區(qū)一直高度專注于找出敞開(kāi)的IPv4解析系統(tǒng)，并打上補(bǔ)丁，因?yàn)樗鼈冇锌赡鼙挥糜谏鲜龅腄NS放大攻擊。

但是這之所以有可能得逞，一方面是由于IPv4地址空間是可掃描的；而IPv6并非如此，IPv6的地址空間非常龐大，不法分子很難使用同樣的技術(shù)來(lái)發(fā)現(xiàn)IPv6地址。正因?yàn)槿绱?，如今新部署的任何敞開(kāi)的解析系統(tǒng)無(wú)異于是未來(lái)潛在的安全噩夢(mèng)。

除了潛在的IPv6安全問(wèn)題外，還有這些問(wèn)題：一些緩解工具僅適用于IPv4（常常歸因于硬編碼地址寫入到代碼中）或者部署到IPv4環(huán)境中，后來(lái)移植到IPv6環(huán)境中；許多IPv6網(wǎng)絡(luò)任務(wù)是用軟件（而不是用硬件）來(lái)實(shí)現(xiàn)的，這留下了多得多的潛在安全漏洞；而IPv6協(xié)議中的數(shù)據(jù)包報(bào)頭擴(kuò)展帶來(lái)了潛在的、新的攻擊途徑。

[[222669]]

說(shuō)到逐步部署IPv6，IPv6在安全方面有利也有弊，不過(guò)隨著IPv6逐漸成為網(wǎng)絡(luò)默認(rèn)協(xié)議，有利方面會(huì)逐漸消失。

說(shuō)到有利方面，IPv6網(wǎng)絡(luò)還沒(méi)有遍地開(kāi)花，因而攻擊者不會(huì)特別關(guān)注它，專門針對(duì)這種新的協(xié)議開(kāi)發(fā)新的攻擊方法，至少目前如此。而目前最糟糕的安全風(fēng)險(xiǎn)：拼湊而成的物聯(lián)網(wǎng)產(chǎn)品幾乎完全專注于IPv4。

默認(rèn)協(xié)議

但是說(shuō)到不利方面，幾乎所有現(xiàn)代移動(dòng)設(shè)備和PC都內(nèi)置了支持IPv6的功能，而且在默認(rèn)情況下已開(kāi)啟，所以當(dāng)那些IPv6攻擊來(lái)臨時(shí)，它們將會(huì)遭受重創(chuàng)。另外，許多網(wǎng)絡(luò)工程師不知道IPv6是什么，所以保護(hù)IPv6也就無(wú)從談起。

喬治假設(shè)，如果網(wǎng)絡(luò)遭到組合型IPv4和IPv6攻擊流量的攻擊（就像本案中發(fā)生的那樣），這是將來(lái)的一大問(wèn)題。系統(tǒng)管理員可能會(huì)用上所有正常的緩解工具，但只能對(duì)付IPv4流量，致使網(wǎng)絡(luò)仍然受到攻擊，負(fù)責(zé)人無(wú)法查清楚原因。

由于大多數(shù)人使用雙堆棧系統(tǒng)在現(xiàn)有系統(tǒng)旁邊部署IPv6，萊昂還擔(dān)心IPv6攻擊可能會(huì)破壞用來(lái)并行運(yùn)行網(wǎng)絡(luò)的路由器和交換機(jī)，因此通過(guò)后門攻擊IPv4網(wǎng)絡(luò)。

萊昂表示，本周的攻擊“只是冰山一角”。他希望這可以向系統(tǒng)管理員們敲響一記警鐘，以便將最佳實(shí)踐運(yùn)用于IPv6網(wǎng)絡(luò)，他認(rèn)為“你在IPv4界采取什么措施，就應(yīng)該在IPv6界采取什么措施。”

不過(guò)客觀地說(shuō)，他并不確信人們會(huì)事先吸取教訓(xùn)。萊昂說(shuō)：“人們并不往往后來(lái)把安全看成是優(yōu)先事項(xiàng)。直到面臨危機(jī)，才會(huì)格外重視安全。”