牛盾網絡在上篇文章中收到很多用戶反饋,對於IPv6和IPv4的認知並不是很明確,現在牛小盾為大家普及下IPv6和IPv4的安全性區別。
牛盾網絡認為IPv6的時代已然來臨,相信每個人在迎接它的同時也已經做好了面對新型安全問題的準備。終於,IPv6分佈式拒絕服務攻擊首度出現。IPv4繼續服務於互聯網的時間已經即將進入尾聲,但即使如此下一代互聯網流量協議IPv6的普及速度始終相當緩慢,不過IPv6至少已經為大家所廣 泛接受。根據ArborNetworks日前發佈的報告,“IPv6發展道路上的新里程碑:IPv6分佈式拒絕服務攻擊(簡稱DDoS)首度出現。”出現這種情況的原因在於,基於IPv6的網絡終端已經發展得相當龐大,這種規模已經足以為攻擊者提供大量注入點以進行針對IPv6協議的攻擊。同樣,這也說明攻擊者們認為在使用IPv6的網絡中勞心費力並組織攻擊活動是完全值得的。
其實除了人為因素以外,上述情況都在意料之中。ArborNetworks在其發佈的全球基礎設施安全報告中已經對IPv6DDoS攻擊的出現做出了 明確預期。“這是一大關鍵性里程碑,標誌著攻擊者與維護者之間的軍備競賽將就此展開,”報告中提到。“我們認為IPv6DDoS攻擊在廣泛性及出現比例方 面將隨時間推移而逐步上升,因為IPv6本身的普及度正在穩步提高。”而時至今日,這種預期已經開始變成現實。
根據ArborNetworks高級軟件質量保障工程師BillCerveny的說法,“在過去一段時間中,IPv6網絡中出現的故障與問題往往被人 們忽視甚至未能發現,因為當時沒人注意到(或是關心)這一點……這種關注度上的缺失又反過來促使攻擊者們將IPv6當作實施攻擊的大好起點。儘管目前來看 IPv6所遭受的攻擊頻率相對較低、損失也較小,但隨著普及度的逐漸提高,相信攻擊者們也將迅速跟上,帶來更多令人頭痛的安全難題。”
這些攻擊現象背後還隱藏著另一個問題,即人們普遍相信IPv6比IPv4更為安全。的確,Cerveny援引的例子的確很說明問題:“美國政府機構內 部的某個網絡安全團隊日前宣佈解散,因為他們認為IPv6比舊有網絡協議更加安全。鑑於下一代互聯網協議自有的安全能力非常強大,該團隊認為各類安全問題 都將自行瓦解,團隊本身也就沒有必要繼續存在下去。”
他們代表了大多數用戶的想法,但需要強調的是,這種觀點並不正確。誠然,IPv6自身整合了互聯網協議安全性(簡稱IPsec)的諸多內容,不過光是 一套協議根本無法保證萬全。IPv6的標頭設計同樣有助於安全保護,因為它能夠被用來為加密元數據與被加密的有效負載之間提供一套更加乾淨利落的隔離機 制。此外,IPv6帶來的海量地址空間在經過部署之後,會使掃描攻擊在子網內很難通過隨機地址分配方式為非作歹。然而,這一切效果的實現都取決於我們能否 正確部署IPv6。就自身而言,IPv6與我們小時候裹在身上的厚毯子頗為相似,如果不用心處理,那是半點保護作用也談不上的。
牛盾網絡觀察到網絡專家對此有自己獨特的見解:“由於IPv6固有的自動轉換機制努力在為雙堆棧節點提供IPv6服務(例如WindowsVista或Windows7), 因此在表面上只部署了IPv4的設備往往正是IPv6安全漏洞的高發環境。我將這種情況稱為‘IPv6意外部署’,因為此類狀態雖然未經管理、症狀隱晦, 但卻很可能被攻擊者為利用。總而言之,在大多數設備上,IPv6都處於默認設置狀態,所以即使是自己的機構根本就沒有部署過IPv6,我仍然呼籲大家儘快 制訂一套相關安全規劃。”
以上各類問題都是真實存在的。幸運的是,解決方案也將很快出臺。互聯網工程任務組(簡稱IETF)已經拿出一份草案——《IPv6路由器通告(簡稱RA)防護實施意見》。
正如華盛頓城際網絡公司TachyonDynamics所指出的那樣,目前“像WindowsXP、2003、Vista、7以及2008等操作系統 都沒有限制所監聽路由器的數量。而Linux及Mac設備則將監聽對象的數量設定為15個,這才是正確的做法。一旦有15個以上的不同RA發至設 備,Linux與Mac都能及時停止為其配置地址及路由。而在Windows系統中則不是這樣,廣受好評的漏洞工具flood_router6正是由這一 點出發,在許多個人計算機上橫行無忌,併成為黑客首選IPv6攻擊工具包(簡稱THC-IPv6)中的一員。Flood_router6基本上是在短時間 內向子網發送數以百萬計的、各自擁有不同IPv6前綴的RA源地址。只在數秒之內,一臺功能齊備的Windows設備就會瞬間變磚。
由於互聯網上針對IPv6系統的威脅如此之多,牛盾網絡呼籲大家應該馬上行動起來脫離原本坐以待斃的狀況,努力保證IPv6在自己的網絡中安全運作。而目前牛盾網絡也推出了IPv6的相關安全產品,以應對這種互聯網未來的潛在威脅(可通過搜索“杭州牛盾網絡”獲得官網地址)。最後,牛盾網絡也提醒網絡用戶:在未能徹底防範已知的各種IPv6攻擊之前,不要輕易使用這套新興的網絡協議。
閱讀更多 牛小盾 的文章
