IPv6網絡的安全風險分析

徐華

摘 要：本文對比IPv6協議與IPv4協議的區別和優勢，分別從針對IPv6協議自身特點、IPv6業務應用、IPv4向IPv6演進階段等方面的攻擊入手，分析IPv6網絡的安全風險，提出IPv6網絡下的風險防范建議，對今后IPv6網絡安全防護具有一定的指導意義。

關鍵詞：IPv6;風險;DNS;DDOS;防范

1 概述

2018年三大運營商和服務機構門戶網站紛紛進行網絡升級，支持IPv6連接訪問。與此同時，早在2018年初，Neustar公司就宣稱受到了IPv6 DDoS攻擊，針對IPv6協議和應用的新特點衍生的網絡安全問題將成為我們關注的重點。

本文對比IPv6協議與IPv4協議的區別和優勢，針對IPv6協議自身特點、IPv6業務應用、IPv4向IPv6演進技術等方面的攻擊，分析IPv6網絡下的安全風險，提出IPv6網絡下的風險防范建議，對今后IPv6網絡安全防護具有一定的指導意義。

2 IPv6協議特點

2.1 IPv4局限性

長度為32bit的IPv4地址可提供約43億個IP地址，隨著全球網民數的迅速增長、物聯網等新技術的發展，對IP地址的需求增長迅速，IP地址枯竭是我們面臨的最大問題。為了節省IPv4公網地址，通常使用NET網絡地址翻譯來解決，但是使用NAT的用戶好像隔著一扇門看外面的世界，破壞了端到端的應用模型。而且IPv4網絡下的各級路由器路由條目過多，路由器處理效率降低。

2.2 IPv6地址

IPv6的地址長度為128bit，每段是一個4位十六進制數，共8段，并用冒號隔開。

2.3 IPv6報文結構

IPv6數據報文由固定長度40個字節的基本報頭和不限制長度的擴展報頭組成。雖然IPv6報文頭對比IPv4報文結構簡單，將分片信息放在擴展報頭中。擴展報頭的特殊屬性也將成為攻擊者的新切入點。

3 IPv6下DNS系統的風險分析

3.1 針對IPv6協議自身特點進行攻擊

攻擊者可利用擴展報頭的特性發起多種形式的攻擊。

3.1.1 多擴展頭攻擊

IPv6擴展報頭可以出現多次相同類型的擴展頭。攻擊者可以構造大量異常的擴展頭報文對服務器進行DDOS攻擊，服務器在處理報文時耗費大量資源，使性能下降。

3.1.2 逐跳選項報頭攻擊

每一跳路由器檢查和處理的擴展報頭，經過構造的數據包，可以讓一個報文在存在漏洞的域名服務器之間來回轉發，耗盡服務器資源，源地址限制也將成為擺設。

3.1.3 數據包分片攻擊

雖然IPv6逐漸替代IPv4，但IPv4中存在的數據包分片攻擊在IPv6的網絡中仍然存在。物理網絡規定了物理幀傳輸的最大傳輸單元MTU，在IPv6網絡中如果發送的IPv6的數據包長度大于數據包經過的所有子網的最小MTU值，源節點將會對數據包分片，在IPv6的數據包中插入擴展報頭Fragment Header用于分片傳輸。分片包攻擊可能造成分片包不按順序到達，部門分片包遭受攻擊不能重組，分片包數據之間重疊，分片包DOS攻擊等問題。

3.1.4 NDP協議攻擊

IPv6采用NDP協議（鄰居發現協議）替代IPv4中的ARP協議，在IPv6協議中類似ARP泛洪、ARP欺騙等的NDP協議攻擊也成為新的攻擊方式。攻擊者可以通過偽造NS/NA報文，修改主機MAC地址或使緩存表溢出。

3.2 針對IPv6業務應用攻擊

Neustar公司宣稱的IPv6 DDoS攻擊僅僅是1900個IPv6地址背后的那些計算機在攻擊DNS服務器，而它們只是更多數量的被征用的系統的一部分。IPv6協議提供了海量的IP地址資源，任何一個擁有IPv6地址的事物都可能成為肉雞，想象一下地球上的每一粒沙子發起的DDOS攻擊將是一個十分可怕的事情，而最容易受到攻擊的系統就是我們的DNS服務器。海量的用戶請求需要我們的DNS服務器具備高速處理能力，需要具備安全防御異常DNS請求包能力。同時，IPv6的網絡已不需要NAT設備，用戶用真實的IPv6的地址向域名服務器發起域名查詢請求，這將成為黑客竊取用戶IP地址的最好途徑，對域名服務器的安全提出了很大的挑戰。

3.3 IPv6和IPv4雙棧下的安全風險

在IPv4向IPv6過渡階段，在IPv4網絡中，多數設備開啟了IPv6協議，這也在IPv4的網絡中建立了隱蔽的IPv6 通道， IPv6 通道的安全防護容易被維護人員忽視，加上安全防護設備對IPv6的適用性存在漏洞，很可能被攻擊者利用，從而對IPv4的網絡實施攻擊。

4 IPv6網絡風險防范

4.1 針對IPv6自身協議特點的攻擊防范

針對IPv6協議自身特點進行攻擊，通常是黑客抓住了IPv6協議自身的漏洞。可以通過限制擴展頭的數量，嚴格限制報文的分片數量或禁止報文分片、等方法來防范。對于NDP協議的攻擊可以通過手工綁定IPv6地址和MAC地址的方法對非法的ND報文進行過濾。同時，對端口學習的最大ND表項進行限制也是預防ND DOS攻擊的方法。

4.2 針對IPv6業務應用進行的攻擊防范

做好應用系統的自身防護和邊界防護策略，及時修補IPv6相關的安全漏洞。由于IPv6的網絡IP地址是IPv4網絡IP地址的2的96次方倍，系統需要支持海量的IP安全防御。DNS系統可按需要線性擴充DNS緩存和防護能力，系統接入鏈路省級至N*10GE，完成遞歸和緩存服務器分離，做好系統冗災備份和安全防御，適應IPv6的各種新特性和新挑戰。

4.3 IPv6和IPv4雙棧下的安全風險防范

在IPv6和IPv4雙協議棧網絡中，升級現有防火墻和安全防護設備，設計時考慮防火墻和防護設備的位置和性能，將防火墻設置在出口路由器外或出口路由器和內部網絡之間，并針對IPv6相關服務設置策略。在采用隧道技術解決IPv6網絡孤島問題時，建議采用靜態隧道，降低非法數據包侵入可能。

5 結論

結合IPv6協議特點、業務應用、IPv4向IPv6演進階段等方面的攻擊分析，做好IPv6網絡下的風險防范是網絡維護十分重要的事情。