从IPv4到IPv6 安全要跟上技术升级的脚步

来源:科技日报

近日，据媒体报道，有IT专家称发现了首例基于IPv6的分布式拒绝服务（DDoS）攻击，来自1900个IPv6地址背后的计算机设备向目标域名服务器发起进攻。

“这只是新一轮网络破坏活动的开始。”有互联网工程师如是警告。

当前，由于全球联网设备总量迅速攀升，现有基于IPv4协议的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约。IPv６能提供充足的网络地址和广阔的创新空间，这意味着有更多的设备可以接入互联网，因此业界对IPv6呼声颇高。

然而，正当全球各国积极部署IPv6之时，针对它的攻击也悄然而至。

那么，IPv6存在哪些技术缺陷？我国又该如何将其补足？

2012年就曾出现过类似攻击

偶然间，网络专家韦斯利·乔治注意到了一些奇怪的流量，这是针对一台域名服务器发动的大规模攻击的一部分，企图让服务器不堪重负。乔治供职于美国Neustar公司的SiteProtect DDoS保护服务部门，他当时正在收集恶意流量的数据包，并立即意识到“这些数据包源自IPv6地址并指向IPv6主机”。

此次事件，国内很多报道将其称为首例针对IPv6的“拒绝服务攻击”。

“其实这并不是首例拒绝服务攻击，更谈不上是首例基于IPv6的攻击了。”4月8日，北京理工大学软件安全研究所副所长闫怀志在接受科技日报记者采访时说。

闫怀志介绍，早在2012年2月，美国信息安全公司Arbor Networks就在年度研究报告中称：“出现了针对IPv6的DDoS攻击，这是攻击者和防御者之间‘军备竞赛’的一个重要里程碑，针对IPv6的DDoS攻击将会越来越常见。”当时，有4%的受访者就表示，他们曾见过IPv6网络遭到这类攻击。

对此，360安全专家李洪亮也表示，严格来说这不能算是基于IPv6的首例攻击,只是目前已知的基于IPv6的最大规模分布式拒绝服务攻击。“当然，随着IPv6的资源越来越多，攻击也会越来越多。”他说。

DDoS攻击瞄准域名服务器

“从描述信息看，这是一次普通的流量型DDoS攻击，IP地址数量并不是很多。与其他流量型攻击不同的是，它发生在IPv6环境。”李洪亮说。

闫怀志表示，拒绝服务攻击（DoS）是一种较为常见且危害巨大的攻击方式。这种攻击通常采用消耗网络带宽等方式，以求让目标信息系统无法正常提供服务。

而分布式拒绝服务是拒绝服务攻击的高级形式，它通常借助客户/服务器技术，将多台计算机联合起来形成多级攻击平台，实现对一个或多个目标的拒绝服务攻击，这种方式成倍提高了拒绝服务攻击的威力。

在分布式拒绝服务攻击中，大量计算机同时访问目标服务器，导致服务器的流量剧增，从而无法正常提供服务。

域名服务器是本次攻击的目标，它主要负责将域名转换成与之相对应的IP地址。闫怀志认为，此次网络专家发现的异常流量，就是指向域名服务器，意在摧毁其正常解析能力。

“这种攻击方式并非只针对IPv6，只不过是来自 IPv6、指向 IPv6而已。”闫怀志说。

的确，也有专家表示，此次攻击并未采用专门针对IPv6的攻击方法。但由于其来自 IPv6并指向IPv6，引起安全人员的高度重视。

新协议也存在诸多隐患

“应当承认，IPv6协议与IPv4相比，在保密性、完整性、抗抵赖性、可认证性等安全性方面有了很大的改进。但从来没有绝对的安全，IPv6协议也不例外，也存在诸多安全隐患。”闫怀志说。

具体来讲，首先，IPv6与IPv4的伴生和过渡所采用的双协议栈、隧道和地址转换等技术，给网络安全防护设置了更高难度。其次，IPv6协议为提升自身安全性而采取的安全机制，如被攻击者恶意利用，就会给安全识别和检测带来更大困难。

也有专家表示，多数IPv6网络存在于软件而非硬件中，这意味着其可能隐藏更多安全漏洞。另外，某些缓解工具仅适用于IPv4或仅提供IPv4版本，而后再移植至IPv6。

如同互联网没有国界一样，网络空间的安全问题也没有国界，我国也不例外。

“国内的不法分子会针对IPv6网络发起攻击，国外敌对势力更会将矛头对准我国的IPv6网络。”闫怀志说，我国是最早开展IPv6应用的国家之一，也在一定程度上参与了国际IPv6标准的制订工作。

目前，我国正处于IPv6的大规模部署和应用阶段。因此，闫怀志建议，要从国家导向、安全意识、安全技术和安全管理等方面多管齐下，构建面向IPv6的网络空间安全保障体系。

“对我国来说，用IPv6的人越来越多，与之相匹配的设备也越来越多。IPv4环境下出现的安全攻击，也一定会出现在IPv6环境下。”李洪亮说，IPv6的大规模部署需要各方面努力，其中运营商应承担更多责任，最有效的方法是从资费角度引导用户和内容提供商迁移到IPv6环境下。

李洪亮认为，当前的安全防护设备、手段和体系等都集中在IPv4层面，尽管很多安全设备的入网许可需要通过IPv6测试，但在IPv6方面投入的精力还很不够。他建议，以区域或行业为试点全面部署IPv6充分验证IPv6安全产品的成熟度。(付丽丽)