IPv6規模部署呼喚全新視角應對網絡安全問題

◎上海戎磐網絡科技有限公司總裁 劉旭

一、IPv6規模部署背景

2017年11月26日，中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，《計劃》明確了推進IPv6部署的重要意義，提出了部署的總體要求和主要目標，并從互聯網應用、網絡和應用基礎設施、網絡安全和關鍵前沿技術角度，安排了實施步驟。《計劃》同時提出，要用5-10年時間，形成下一代互聯網自主技術體系和產業生態，建成全球最大規模的IPv6商業應用網絡，實現下一代互聯網在經濟社會各領域深度融合應用，成為全球下一代互聯網發展的重要主導力量。特別值得一提的是，《計劃》中涉及多項考核性指標，比如到2018年末活躍用戶達到2億，占比不低于20%，國內用戶排名前50的商業應用網站以及應用全面支持IPv6，到2020年用戶則達到5億，占比超過50%等。其次，在實施上，也明確了各自角色：政府引導，企業主導。在策略上，強調統籌規劃，重點突破，著力彌補IPv6應用短板，以應用拉動需求等。

TCP／IP協議是互聯網發展的基石，其中IP是網絡層協議，用于規范互聯網中分組信息的交換和選路。目前主體采用的IPv4協議地址長度為32位，總數約43億個IPv4地址已分配殆盡。為應對地址不足，上世紀90年代，負責互聯網國際標準制定的機構——互聯網工程任務小組（IETF）協調各方意見后，推出IPv6協議，并大力推廣。IPv6采用128位地址，將地址空間擴大到2的128次方。IPv4和IPv6的主要差異對比如圖1所示。

按照全球CDN網絡服務提供商Akamai提供的數據顯示，目前IPv6使用率最高的國家是比利時（約占46.4%），美國排名第二（約占40.04%），印度排第三（約占36.6%）。中國排在第67位，僅占本國網絡地址使用總量的0.3%。全球IPv6部署程度綜合情況如圖2所示，圖中顏色越深，表明部署應用程度越高。

值得注意的是，美國IPv6使用率今年以來提速明顯，從20%上升至40%，提升了一倍，如圖3。（數據來源：akamai.com，2017年11月30日數據統計）

圖1 IPv4和IPv6的主要差異對比示意圖

二、IPv6環境下網絡安全威脅分析

一直以來，許多人提出，IPv6因為不需要NAT（網絡地址映射），地址池龐大，默認的IPSec安全加密機制，因此有可溯源性，反掃描性，反竊聽及篡改等特性，安全性將極大提升。那么問題來了——在IPv6網絡環境真的能夠解決安全問題嗎？事實上，由于IPv6協議本身并非為解決網絡安全問題而生，IPv6不僅繼承了某些IPv4的安全問題，還有自己特有的安全威脅，并且在IPv4向IPv6遷移的過程中，還會產生安全威脅。

一是IPv6協議本身并沒有改變網絡分層體系結構，協議層自身的加密安全特性對應用層網絡安全影響有限。它突出表現在，在IPv4中常見的網絡掃描攻擊、非法訪問攻擊、竊聽攻擊、中間人攻擊、封包碎片攻擊、病毒蠕蟲攻擊、IP地址偽造以及DHCP攻擊、甚至是DDoS等泛洪攻擊在IPv6中也依然存在。為了支持IPv6，大量應用系統需要升級換代，由于IPv6地址和配置的復雜度更高，各系統廠商會因研發能力不同，引入更多高危漏洞，引發更嚴重的安全威脅。2016年，奇虎360發現一種DNS劫持導致商用VPN客戶端信息數據泄露的漏洞，其受到影響的服務器包括了Facebook、維基百科、雅虎等較早啟用IPv6的公司，而這種漏洞的最大特點是漏洞響應只會出現在主機使用IPv6發起連接的時候。

二是IPv6巨量地址空間帶來的并沒有明顯降低攻擊掃描的搜索空間。許多人都認為，IPv6巨大的地址空間使得攻擊者的掃描變的困難，但事實上，攻擊者仍然可以通過IPv6前綴信息搜集、隧道地址猜測、虛假路由通告及DNS查詢等手段搜集到活動主機信息從而發起攻擊。與IPv4類似，在目前的管理機制下，用于互聯網通訊的IPv6地址的全球路由前綴通常由上游供應商分配，本地網絡管理員將組織網絡分成多個邏輯子網，而接口ID（IID）用來確定該子網中的特定網絡接口。在選擇接口ID（IPv6地址的低階64位）時有很多選擇，包括：嵌入MAC地址、采用低字節地址、嵌入IPv4地址、使用“繁復”的地址、使用隱私或臨時地址依賴于過渡技術或共存技術等。無論采用上述那種選項，這些選項都減小了潛在的搜索空間，使IPv6主機掃描攻擊變得更容易實現。以采用低字節地址選項為例，低字節地址是接口ID全是0的IPv6地址，除了最后8或16位（例如2001:db8::1、2001:db8::2等）。這些地址通常是手動配置的（通常用于基礎設施），但是也可能是使用了一些動態主機配置協議版本6（DHCPv6）服務器，這些服務器會從特定地址范圍按順序分配IPv6地址。當采用低字節地址時，IPv6地址搜索空間被縮小到（最多）216個地址，這使IPv6主機掃描攻擊變得更為可行。同時，由于IPv6網絡不支持NAT，這就意味著任何一臺終端都會暴露在網絡中。由于地址池充沛，更多的設備會接入網絡，任何人、任何地點、任何設備都可以在任何時間（24小時）在線，有的人認為目標發現更難，而隨著設備量急劇增大，遭受網絡攻擊、實施網絡潛伏的威脅也更大。

圖2 全球IPv6部署程度綜合情況示意圖

圖3 2017年美國IPv6使用率

三是IPv6本身強制的加密特性會給現有基于特征檢測的網絡安全防護產品帶來技術挑戰。例如，IPv6的通道功能會影響現有的網絡訪問控制，IPv4防火墻在針對IPv6流量的細力度控制上幾乎無力，基于協議和端口的動態包過濾對于能夠靈活變化的通道也幾近失效，不當配置的企業網絡邊界控管措施在IPv6面前形同虛設。例如，Windows曾爆出的“Teredo”安全事件，Teredo自動隧道轉換，能通過IPv4網絡傳遞IPv6流量，幫助客戶端實現對IPv4與IPv6協議的兼容。但Teredo客戶端可以在把IPv6數據包傳遞到另一目的地的同時，繞過基于網絡的源路由控制，穿透防火墻等安全設備。此外，IPv6的加密通道及自動配置功能讓端到端的通訊更為便捷也更為危險，還令傳統的基于特征檢測與分析的入侵檢測、內容過濾及監控審計系統失效。基于IPv6的攻擊如分布式拒絕服務攻擊、網絡穿透攻擊、IPv6加密蠕蟲等已見諸安全媒體，但卻沒有引起安全界的重視。

四是從目前網絡威脅發展趨勢看，從對抗“黑客”向對抗“黑產”的趨勢不可逆轉。數據泄露事件越來越密集、APT攻擊越來越隱蔽，表明網絡安全今后的重點之一將是對抗“黑產”，而對于“黑產”全鏈來看，針對IPv6的攻擊方法已經很成熟。著名網絡安全服務提供商Arbor Networks監測的數據表明，從2012年開始該公司就監測到了首例IPv6 DDOS攻擊，同時也提出，由于IPv6的網絡終端已經發展得相當龐大，這種規模已經足夠吸引攻擊者耗費經歷獲取大量注入點以進行針對IPv6協議的攻擊。

五是從已經爆發的各類應用系統處理IPv6協議漏洞現狀看，新版本協議環境下的安全性并沒有改觀。從總體漏洞形勢看，2017年以來，CVE編號漏洞涉及IPv6的共計42個，中危以上漏洞占比超過50%，評級10分的高危漏洞1個。相關漏洞影響路由器、防火墻、網絡管理協議、VPN、操作系統等，按危害可以分成權限提升、遠程信息泄露、遠程執行命令、遠程拒絕服務、遠程數據修改、不必要的服務等類別，影響范圍廣泛。而2016年涉及IPv6的CVE漏洞數是27，從數據上看，IPv6相關漏洞隨著各國部署及應用的展開也呈現上升趨勢。2016年，思科爆出死亡之Ping IPv6漏洞，影響范圍巨大，在大規模部署IPv6的網絡環境中甚至極易造成美國東部斷網的類似事件。2017年5月份爆出的Linux內核級IPv6協議處理漏洞（CVE-2017-9242）在處理特殊數據時能夠通過特殊調用導致系統崩潰，曝出apache可編程多層虛擬交換open_vswitch在處理IPv6畸形數據包時可以觸發遠程執行功能等都表明，在新版本協議環境下，軟硬件系統仍面臨與舊版本相同的網絡安全問題。

三、應對IPv6環境下網絡安全威脅的建議

許多院士、專家等談到IPv6規模部署問題時明確指出，如何將我國在發展IPv6上的技術優勢轉化為現實優勢，爭取彎道超車，挑戰首先來源于技術層面，安全問題是關鍵。

一是要有全新視角審視看待和解決新型網絡安全問題。此次《計劃》重點在于規模部署，而在大規模IPv6網絡環境下，許多傳統網絡安全解決方案無法適應新的環境變化，安全問題需要重新審視，采用全新視角看待和著手解決。機器學習、人工智能、軟件基因、去中心化安管等一批新理念、新思想、新視角應運而生。廣州藍盾股份以智慧安全為理念，持續推進機器學習、AI等技術融入防火墻、態勢感知、云安全、移動信息化安全等安全產品。上海戎磐網絡按照“以‘軟件基因’全新視角，重新認識網絡安全”的使命愿景，持續開展“一庫兩平臺”（一庫：軟件基因數據庫；兩平臺：惡意樣本基因在線檢測平臺和基因檢測服務引擎平臺）的網絡安全基礎數據及應用研究，在IPv6規模化部署條件下以全新安全視角，為新型網絡安全防護提供引擎、數據及技術支撐，不僅能夠對惡意代碼、流量行為等實施惡意性判定，而且能夠對關聯性、歷史沿革性等屬性提供維度更加豐富的安全檢測。

二是要有統一標準描述定義網絡安全事件。IPv6環境下更多類型設備接入互聯網，萬物互聯，對網絡安全事件的規范化命名和描述帶來挑戰。以2015年攻擊烏克蘭電網的攻擊事件、2016年襲擊美國大選的DNC黑客事件、2017年的物聯網僵尸木馬的傳播事件這些全球知名威脅事件為例，不同的安全機構和廠商給出了十幾種名稱，同一種威脅被多次重復命名、甚至混淆命名等情況普遍存在，這樣的混亂命名，給威脅情報共享、應急事件處置、安全機制構建帶來了極大困難。為此，應當利用區塊鏈去中心化共識機制思想，遵循“首次發現，優先命名”原則，以“軟件基因”為基礎對威脅事件進行標準化規范，統一威脅事件描述標準，提升網絡安全事件綜合應急響應水平。

三是要有足夠的IPv6網絡安全人才儲備。IPv6下一代互聯網具有非常重要的戰略意義，已成為我國拓展網絡空間競爭力的新平臺。通過下一代互聯網提升創新能力，加強人才培養，助力實現網絡強國戰略，應成為落實《計劃》的同步戰略選擇。應當緊急圍繞下一代網絡安全發展趨勢、標準、技術、安全管理、測評、態勢感知、脆弱性分析的特點，加大高層次創新型人才培養，營造濃厚的網絡安全人才創新創業氛圍，打造布局合理的人才結構梯次，加大IPv6人才資源開發投入，為我國下一代互聯網的發展培養和儲備人才打下堅實基礎。