《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 淺談IPv6安全
淺談IPv6安全
來源:網(wǎng)界網(wǎng)
岑義濤
摘要: 隨著IPv4地址的告罄,全球各國都加快了由IPv4向IPv6的遷移。 IPv6商用的普及,安全問題也被更多地討論起來。IPv6協(xié)議的制定就是為了解決地址資源短缺和傳輸層安全威脅等問題。而云計算的廣泛應(yīng)用,使網(wǎng)絡(luò)安全威脅成為各界最關(guān)注的話題之一。
關(guān)鍵詞: IPv6 網(wǎng)絡(luò)安全 IPv4
Abstract:
Key words :

一年前,40多億個IPv4地址就已經(jīng)全部分配完畢。今年六月,滿足現(xiàn)有設(shè)備地址分配需求的新一代互聯(lián)網(wǎng)傳輸協(xié)議IPv6正式上線。隨著IPv4地址的告罄,全球各國都不得不加快由IPv4向IPv6的遷移的進度,與之而來的安全問題也被更多地關(guān)注。如今,云計算的廣泛應(yīng)用,使網(wǎng)絡(luò)威脅產(chǎn)生的影響遠非上一個時代所能比擬。因此,IPv6的安全問題也成為各界最關(guān)注的話題之一。

IPv6協(xié)議制定的目的是為了解決地址資源短缺和傳輸層安全威脅等問題。由于IPSec協(xié)議被強制添加到了IPv6協(xié)議中,而不是像在IPv4中只是附加選項,因此早些時候,IPv6被有些人認(rèn)為解決了IPv4所帶來的網(wǎng)絡(luò)安全問題。然而,事實并非如想象的那般美好,IPv6不僅繼承了某些IPv4的安全問題,還有自己特有的安全威脅,并且在IPv4向IPv6遷移的過程中,還會產(chǎn)生安全威脅。
在IPv4中常見的網(wǎng)絡(luò)掃描攻擊、非法訪問攻擊、竊聽攻擊、中間人攻擊、封包碎片攻擊、病毒蠕蟲攻擊、IP地址偽造以及DHCP攻擊、甚至是DDoS等泛洪攻擊在IPv6中也依然存在。但是IPv6的特性有效地降低了常見攻擊發(fā)生的可能性。IPv6的地址長度為128位,其中默認(rèn)網(wǎng)絡(luò)前綴為64位。這樣的改變極大地提升了網(wǎng)絡(luò)掃描攻擊的成本,從而使得黑客抓取“肉雞”的難度也大幅度提升,因此也降低了DDoS攻擊的可能性。雖然在IPv6中定義了新的多播地址來以此取代IPv4中的廣播地址,但是DHCPv6依然可以通過多播泛洪攻擊,針對某個已知的站點地址進行攻擊。在IPv6中還有一些不同于之前的安全威脅。比如鄰居要求及公告攻擊、路由邀請、公告及重定向攻擊等。
整個互聯(lián)網(wǎng)的拓撲已經(jīng)比以前復(fù)雜的多,因此從IPv4到IPv6的遷移也還需要幾年的時間。在這段過渡時期內(nèi),如何解決兩代IP協(xié)議共存帶來的安全問題也成為了安全管理人員需要思考的問題。RFC 3056定義了讓兩個IPv6網(wǎng)絡(luò)通過IPv4網(wǎng)絡(luò)相互連通的機制。對于這種跨協(xié)議互通的情況,需要在網(wǎng)絡(luò)邊界安置IPv6 to IPv4中繼路由器完成跨協(xié)議的網(wǎng)絡(luò)連接。這個時候,就可能發(fā)生地址偽造攻擊和反射式拒絕服務(wù)攻擊。
對于IPv4攻擊防范的方法在IPv6中雖然依然部分有效,但由于IPv6相比上一個版本過于復(fù)雜的設(shè)計也讓安全防范措施的部署難度加大了。另外,過渡時期所使用的機制所產(chǎn)生的安全漏洞也會讓黑客利用,從而加深I(lǐng)Pv6所面臨的威脅。目前,IPv6的PKI部署尚不完善,從而導(dǎo)致安全性并沒有達到預(yù)想的效果。IPv6越來越大規(guī)模的使用也讓刺激了黑客發(fā)掘相關(guān)的漏洞并且制作攻擊工具,因此持續(xù)不斷的網(wǎng)絡(luò)攻防戰(zhàn)也將在一個更寬廣更復(fù)雜的平臺上進行。
 
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。