IPV6 網絡環境下網絡攻擊探討

林 錚

（中電福富信息科技有限公司，福州 350001）

1 引言

根據國家IPv6發展檢測平臺顯示，到2019年9月，我國活躍IPv6用戶已經到達2億。隨著IPV6網絡的逐步普及，IPv6資源和用戶的不斷增加，隨之而來的IPV6網絡安全問題也日益嚴峻，IPv6時代網絡安全和IPv4時代相比，網絡惡意攻擊有哪些新的變化，這些都是非常值得研究的問題。

2 IPv4 報文和IPv6 報文的差異

IPv6協議和IPv4協議相比，有較大的差異，主要如下：

地址空間，IPv4 報文長度為32 位，地址空間只有42 億個，而IPv6報文長度為128位，地址空間有3.4×1038個。

IPv6報文頭部，IPv6頭部為固定40個字節，一共有8個字段。IPv6報文頭部和IPv4報文頭部相比，對其中的內容進行了修改，保留了其中7個字段，丟棄了5個字段，同時增加了流標簽字段。

QOS 支持，由于IPv6包頭增加了流標簽字段，使得IPv6報文對QOS 支持程度比IPv4高許多。

自動配置，IPv6支持自動配置，這是一個重要的IPv6新特性，可以利用IPv6自動配置，通過網絡設備給終端下發IPv6前綴，終端自動生成IPv6后綴，前綴+后綴組合成一個完整的IPv6地址。

3 IPv4 和IPv6 相同的惡意網絡攻擊

在IPv4網絡中，存在很多類型的網絡攻擊，當網絡過渡到IPv6網絡時代，這些類型網絡攻擊仍舊存在，仍然可以利用這些攻擊對IPv6網絡產生危害。

3.1 網絡嗅探攻擊

網絡嗅探攻擊通過捕獲網絡中傳輸的數據獲得通信信息，無論是IPv4報文還是IPv6報文都可以進行嗅探攻擊。不過嗅探攻擊一般只能對未加密的通訊進行探測，如果通訊過程有加密，如通過IPSEC 協議或者SSL 協議協議，則嗅探攻擊無法成功嗅探到信息。

3.2 應用層攻擊

應用層攻擊是當今較為常見的攻擊。如緩沖區溢出攻擊，網站應用程序攻擊，病毒和蠕蟲攻擊。即使網絡過渡到IPv6協議，也無法阻止系統免受這些攻擊，也不會減輕其后果，因為IPv4和IPv6都是網絡層的協議，而應用層攻擊的攻擊目標是ISO 網絡模型的應用層。

3.3 網絡泛洪攻擊

泛洪攻擊在當前網絡中愈演愈烈。泛洪攻擊通過向目標設備注入大量的網絡流量，目標設備無法處理如此大量的網絡流量，網絡變得不可用或服務中斷。這種攻擊同樣也可以在IPv6網絡中進行，只要保證有足夠大的IPv6流量，一樣可以癱瘓IPv6網絡和IPv6主機，IPv6協議并沒有一個好的機制可以防止這種攻擊。

4 IPv6 網絡下惡意網絡攻擊變化

在IPv6網絡中，由于IPv6協議特點，使其攻擊形式和方法產生了新的變化，具體如下：

4.1 偵察攻擊

偵察攻擊過程中，入侵者一般使用ping 來確定受害網絡中正在使用哪些IP 地址。找到可訪問的IP 地址后，入侵者將執行端口掃描過程。IPv6中的子網大小比IPv4大得多，IPv6網絡中的默認子網長度大小是64位，地址數量有264個，如果要執行掃描整個子網，難度是巨大的。因此對于IPv6網絡，可以有效的抵抗偵查攻擊。

4.2 雙棧環境導致安全風險升高

目前我國正處于IPv4到IPv6的過渡過程中，過渡過程大部分網絡都采用雙棧的過渡模式，即同時啟用IPv4協議棧和IPv6協議棧，同時存在IPv4攻擊風險和IPv6攻擊風險，IPv4和IPv6任何一個協議或者配置的漏洞，都有可能導致設備被攻擊。同時攻擊者可以將被攻擊的設備作為據點，在IPv4和IPv6網絡中滲透傳播，增加了雙棧節點的安全暴露面。

4.3 與ICMPv6 和組播相關的安全威脅

在IPv4網絡中，ICMP 協議用于檢測網絡的連通性，為了保障網絡安全，網絡中可以設置丟棄大多數ICMP 消息而不會直接影響網絡的正常運行，因此丟棄ICMP 報文是提高IPv4安全性的常見做法。在IPv6網絡中，一些重要的網絡運行機制，如鄰居發現和地址重復檢測等取決于某些類型的ICMPv6協議。因此為了保障網絡功能的正常運行，某些ICMPv6消息必須被允許，不能像IPV4網絡中設置被丟棄，這樣一定程度上降低了網絡安全。

4.4 IPv6 隧道機制導致安全風險提升

在向IPv6過渡過程中，存在多種隧道解決方案，解決IPv4和IPv6并存問題，如常見的有GRE 隧道、DS-LITE 隧道。這些隧道普遍存在缺乏內置認證、數據沒有加密的問題，導致攻擊者可能截取隧道報文，偽造用戶地址等，增加網絡風險。

5 結束語

IPv6現在已經全面進入生活的方方面面，IPv6網絡安全問題在現在顯得日益重要，針對IPv6的網絡攻擊也會層出不窮，本文針對IPv6網絡下攻擊形態變化進行了一定的闡述，提升對IPv6網絡安全的認知。