IPV6 網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊探討

林 錚

（中電福富信息科技有限公司，福州 350001）

1 引言

根據(jù)國家IPv6發(fā)展檢測(cè)平臺(tái)顯示，到2019年9月，我國活躍IPv6用戶已經(jīng)到達(dá)2億。隨著IPV6網(wǎng)絡(luò)的逐步普及，IPv6資源和用戶的不斷增加，隨之而來的IPV6網(wǎng)絡(luò)安全問題也日益嚴(yán)峻，IPv6時(shí)代網(wǎng)絡(luò)安全和IPv4時(shí)代相比，網(wǎng)絡(luò)惡意攻擊有哪些新的變化，這些都是非常值得研究的問題。

2 IPv4 報(bào)文和IPv6 報(bào)文的差異

IPv6協(xié)議和IPv4協(xié)議相比，有較大的差異，主要如下：

地址空間，IPv4 報(bào)文長(zhǎng)度為32 位，地址空間只有42 億個(gè)，而IPv6報(bào)文長(zhǎng)度為128位，地址空間有3.4×1038個(gè)。

IPv6報(bào)文頭部，IPv6頭部為固定40個(gè)字節(jié)，一共有8個(gè)字段。IPv6報(bào)文頭部和IPv4報(bào)文頭部相比，對(duì)其中的內(nèi)容進(jìn)行了修改，保留了其中7個(gè)字段，丟棄了5個(gè)字段，同時(shí)增加了流標(biāo)簽字段。

QOS 支持，由于IPv6包頭增加了流標(biāo)簽字段，使得IPv6報(bào)文對(duì)QOS 支持程度比IPv4高許多。

自動(dòng)配置，IPv6支持自動(dòng)配置，這是一個(gè)重要的IPv6新特性，可以利用IPv6自動(dòng)配置，通過網(wǎng)絡(luò)設(shè)備給終端下發(fā)IPv6前綴，終端自動(dòng)生成IPv6后綴，前綴+后綴組合成一個(gè)完整的IPv6地址。

3 IPv4 和IPv6 相同的惡意網(wǎng)絡(luò)攻擊

在IPv4網(wǎng)絡(luò)中，存在很多類型的網(wǎng)絡(luò)攻擊，當(dāng)網(wǎng)絡(luò)過渡到IPv6網(wǎng)絡(luò)時(shí)代，這些類型網(wǎng)絡(luò)攻擊仍舊存在，仍然可以利用這些攻擊對(duì)IPv6網(wǎng)絡(luò)產(chǎn)生危害。

3.1 網(wǎng)絡(luò)嗅探攻擊

網(wǎng)絡(luò)嗅探攻擊通過捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)獲得通信信息，無論是IPv4報(bào)文還是IPv6報(bào)文都可以進(jìn)行嗅探攻擊。不過嗅探攻擊一般只能對(duì)未加密的通訊進(jìn)行探測(cè)，如果通訊過程有加密，如通過IPSEC 協(xié)議或者SSL 協(xié)議協(xié)議，則嗅探攻擊無法成功嗅探到信息。

3.2 應(yīng)用層攻擊

應(yīng)用層攻擊是當(dāng)今較為常見的攻擊。如緩沖區(qū)溢出攻擊，網(wǎng)站應(yīng)用程序攻擊，病毒和蠕蟲攻擊。即使網(wǎng)絡(luò)過渡到IPv6協(xié)議，也無法阻止系統(tǒng)免受這些攻擊，也不會(huì)減輕其后果，因?yàn)镮Pv4和IPv6都是網(wǎng)絡(luò)層的協(xié)議，而應(yīng)用層攻擊的攻擊目標(biāo)是ISO 網(wǎng)絡(luò)模型的應(yīng)用層。

3.3 網(wǎng)絡(luò)泛洪攻擊

泛洪攻擊在當(dāng)前網(wǎng)絡(luò)中愈演愈烈。泛洪攻擊通過向目標(biāo)設(shè)備注入大量的網(wǎng)絡(luò)流量，目標(biāo)設(shè)備無法處理如此大量的網(wǎng)絡(luò)流量，網(wǎng)絡(luò)變得不可用或服務(wù)中斷。這種攻擊同樣也可以在IPv6網(wǎng)絡(luò)中進(jìn)行，只要保證有足夠大的IPv6流量，一樣可以癱瘓IPv6網(wǎng)絡(luò)和IPv6主機(jī)，IPv6協(xié)議并沒有一個(gè)好的機(jī)制可以防止這種攻擊。

4 IPv6 網(wǎng)絡(luò)下惡意網(wǎng)絡(luò)攻擊變化

在IPv6網(wǎng)絡(luò)中，由于IPv6協(xié)議特點(diǎn)，使其攻擊形式和方法產(chǎn)生了新的變化，具體如下：

4.1 偵察攻擊

偵察攻擊過程中，入侵者一般使用ping 來確定受害網(wǎng)絡(luò)中正在使用哪些IP 地址。找到可訪問的IP 地址后，入侵者將執(zhí)行端口掃描過程。IPv6中的子網(wǎng)大小比IPv4大得多，IPv6網(wǎng)絡(luò)中的默認(rèn)子網(wǎng)長(zhǎng)度大小是64位，地址數(shù)量有264個(gè)，如果要執(zhí)行掃描整個(gè)子網(wǎng)，難度是巨大的。因此對(duì)于IPv6網(wǎng)絡(luò)，可以有效的抵抗偵查攻擊。

4.2 雙棧環(huán)境導(dǎo)致安全風(fēng)險(xiǎn)升高

目前我國正處于IPv4到IPv6的過渡過程中，過渡過程大部分網(wǎng)絡(luò)都采用雙棧的過渡模式，即同時(shí)啟用IPv4協(xié)議棧和IPv6協(xié)議棧，同時(shí)存在IPv4攻擊風(fēng)險(xiǎn)和IPv6攻擊風(fēng)險(xiǎn)，IPv4和IPv6任何一個(gè)協(xié)議或者配置的漏洞，都有可能導(dǎo)致設(shè)備被攻擊。同時(shí)攻擊者可以將被攻擊的設(shè)備作為據(jù)點(diǎn)，在IPv4和IPv6網(wǎng)絡(luò)中滲透?jìng)鞑ィ黾恿穗p棧節(jié)點(diǎn)的安全暴露面。

4.3 與ICMPv6 和組播相關(guān)的安全威脅

在IPv4網(wǎng)絡(luò)中，ICMP 協(xié)議用于檢測(cè)網(wǎng)絡(luò)的連通性，為了保障網(wǎng)絡(luò)安全，網(wǎng)絡(luò)中可以設(shè)置丟棄大多數(shù)ICMP 消息而不會(huì)直接影響網(wǎng)絡(luò)的正常運(yùn)行，因此丟棄ICMP 報(bào)文是提高IPv4安全性的常見做法。在IPv6網(wǎng)絡(luò)中，一些重要的網(wǎng)絡(luò)運(yùn)行機(jī)制，如鄰居發(fā)現(xiàn)和地址重復(fù)檢測(cè)等取決于某些類型的ICMPv6協(xié)議。因此為了保障網(wǎng)絡(luò)功能的正常運(yùn)行，某些ICMPv6消息必須被允許，不能像IPV4網(wǎng)絡(luò)中設(shè)置被丟棄，這樣一定程度上降低了網(wǎng)絡(luò)安全。

4.4 IPv6 隧道機(jī)制導(dǎo)致安全風(fēng)險(xiǎn)提升

在向IPv6過渡過程中，存在多種隧道解決方案，解決IPv4和IPv6并存問題，如常見的有GRE 隧道、DS-LITE 隧道。這些隧道普遍存在缺乏內(nèi)置認(rèn)證、數(shù)據(jù)沒有加密的問題，導(dǎo)致攻擊者可能截取隧道報(bào)文，偽造用戶地址等，增加網(wǎng)絡(luò)風(fēng)險(xiǎn)。

5 結(jié)束語

IPv6現(xiàn)在已經(jīng)全面進(jìn)入生活的方方面面，IPv6網(wǎng)絡(luò)安全問題在現(xiàn)在顯得日益重要，針對(duì)IPv6的網(wǎng)絡(luò)攻擊也會(huì)層出不窮，本文針對(duì)IPv6網(wǎng)絡(luò)下攻擊形態(tài)變化進(jìn)行了一定的闡述，提升對(duì)IPv6網(wǎng)絡(luò)安全的認(rèn)知。