IPv6環境下漏洞掃描方法研究

宜春學院 易文平

IPv6環境下漏洞掃描方法研究

宜春學院 易文平

IPv6協議于2012年6月6日正式啟動，全球互聯網巨頭Google、Yahoo、Microsoft以及各大互聯網服務提供商于當日永久啟用 IPv6 協議。2012年年初，國家發改委下發了下一代互聯網關于商業和安全的2個專項通知，明確提出了我國互聯網向 IPv6 過渡的目標和時間點，國內下一代互聯網的高速發展時期即將來臨。

一、IPv6 環境下漏洞掃描產品遇到的問題

一般來講，漏洞掃描產品在進行漏洞掃描時可分為4個過程：主機發現、端口發現、服務識別、漏洞檢測。在 IPv6 環境下，漏洞掃描產品的這幾個過程都會受到較大影響，由于地址空間爆炸的增長，主機發現過程在 IPv6 協議下將不得不采用新的技術，并且隨著 IPv6協議地深入應用，大量的設備接入網絡，系統、服務識別和漏洞檢查也將面對各自全新的問題。

1. 主機發現過程遇到的問題。主機發現過程是漏洞掃描的前提，其目的是確定目標網絡上的主機是否可達。這是信息搜集的初始階段，它將直接影響到后續的掃描。主動探測發現是目前掃描器產品使用最多的方式，發現過程是通過 ICMP 協議或構造異常 IP 報頭等技術，逐一發送給目標主機，通過分析響應報文來得知主機是否存活可達。

2.資產管理的問題。使用漏洞掃描產品的主要目標是用于風險評估，業內對漏洞的風險評估會從漏洞嚴重性、資產重要性、威脅帶來的影響等幾個方面進行，其中資產管理是漏洞掃描產品必不可少的功能。在 IPv6 時代，采用 128 位的 IP地址，并使用 16 進制來表示，IP 地址格式如fe80:fd9a:1d3a:ced8:7e8e， 這樣的一串地址對于人類的閱讀和記憶將是極大的挑戰。

3. 更多的應用所帶來的問題。IPv6 的應用不僅僅是從技術上解決了 IP 地址空間枯竭的問題，更是下一代互聯網深入發展的基礎，今后辦公室中的打印機、路由器、每個人的手機、甚至家中的電視機、冰箱、空調、音響都會分配到1個地址，最終會完成理想中的物聯網搭建。其實物聯網技術在2011年深圳大運會的“智能化大運村”已經亮相。在這種情況下的網絡安全將顯得尤為重要，多種類型設備接入網絡，對于漏洞掃描產品也帶來了系統識別上的問題。

二、IPv6 環境下的漏洞檢測方法

1.多種方式完成主機發現。

（1）利用 NDP（鄰居發現協議）。NDP是 IPv6協議中的關鍵部分，它替代了 IPv4 中的 ARP（地址解析協議）、ICMP路由發現和重定向協議。NDP協議可以用于發現相鄰節點及其存活的狀態，通過獲取NDP相鄰節點的高速緩存，能夠實現本地網絡被其他 IPv6 主機發現。

（2）通過代理主機訪問 NDP 緩存。該方法仍然是利用NDP 協議的原理，對于不同的子網，事先指定1臺已知主機，通過在主機上執行命令獲取該子網的存活主機地址。在實際產品實現上，可在目標子網中部署一個輕量級的代理設備來完成這個工作。

（3）通過網關設備。網絡數據會經過路由交換等網關類設備轉發，獲取和分析這些數據，對漏洞掃描產品的主機發現過程具有很高的價值。通過網關設備發現主機，漏洞掃描產品需要有一個學習的過程才能獲得穩定的主機列表，在實際實現過程中可以邊發現邊掃描，以提升產品的用戶體驗。

2.用域名來管理資產。在 IPv6協議下，DNS（域名系統）將變得非常重要。用域名來表示資產，是資產管理的一個有效手段。在主機發現過程結束后，可以使用IP 地址 DNS 服務器反向查詢，從而獲取主機域名，形成資產清單。同樣的道理，這需要用戶提交復雜的IPv6地址來進行掃描，這樣漏洞掃描產品的用戶體驗將很差。優秀的設計應該是利用資產管理功能來實現，由用戶通過選擇資產或提交采用域名表達的主機給漏洞掃描產品，進行對應的漏洞掃描。

3.及時更新產品知識庫。IPv4 和 IPv6 會在相當長的一段時間內并存，IPv6 的引入，不可避免的為現有的服務和應用帶來新的安全隱患，目前披露的IPv6 相關漏洞已超過 100 個，漏洞掃描產品也要及時更新漏洞庫，適應IPv6環境下的漏洞檢測。此外，互聯網的發展，會使網絡中涌入大量的應用設備，漏洞掃描產品的知識庫也需要進行及時補充。

三、結論

IPv6 的應用雖然對漏洞掃描產品帶來了一定的影響，但它是未來技術發展的趨勢，它將為互聯網的發展注入全新的活力。對于漏洞掃描產品來講，需要提前研究和適應這種新技術的出現，從而及時為用戶提供安全保障。