什么是IPV6？

其實，IPv6并不是一個新鮮事物。早在上個世紀90年代，它就已經誕生了。我相信，從事IT或通信相關工作的人，或多或少聽說過它。

IPv6的全稱是Internet Protocol version 6。其中，Internet Protocol譯為“互聯網協議”。所以，IPv6就是互聯網協議第6版。

眾所周知，互聯網上的每一臺電腦，必須有一個地址，才能被其他互聯網上的計算機訪問，之前唱衰IPv4的原因，就是因為IPv4的數量早就不夠了。

IPv4到底一共有多少個IP地址呢？答案是2的32次方，也就是約42.9億個。

根據互聯網數據研究機構（2018年1月）的統計，全世界76億人口，網民總數已經超過了40億。

IPv6網絡真的安全嗎？

一、IPv6的信息安全隱患

當前，“線上”網絡和“線下”生活正在深度融合，虛擬網絡世界和現實社會生活相互交織。人們在互聯網上變成了“透明人”，個人的一舉一動都被互聯網“記錄在案”，試想一下如果這些信息被非法使用，是不是很恐怖？

構建基于IPv6的可信任下一代互聯網，是一項長期而艱巨的任務。雖然IPv6與IPv4相比，在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全隱患。

一是難以應對拒絕服務攻擊。拒絕服務攻擊仍然是IPv6面臨的最嚴重的一種攻擊，它可能導致計算機硬盤、物理設備毀壞和所有可用內存耗盡的危險。IPv6支持動態自動尋址，雖然給合法網絡用戶使用帶來了方便，但非授權的用戶可以更容易地接入和使用網絡，埋下了拒絕服務攻擊的隱患。拒絕服務攻擊主要包括兩種方式：一種是通過向服務器或主機發送大量數據包，使得主機忙于處理這些無用的數據包而無法響應有用的信息；另一種是對網絡上兩個節點之間的通信直接進行干擾，攻擊者可以冒充通信節點向目標通信節點發送錯誤消息，從而造成路由迂回，導致網絡帶寬浪費及時延增加。對這兩種方式，IPv6從技術上都沒有很好地解決。

二是難以彌補整個網絡協議族的安全缺陷。根據國際標準化組織提出的各種計算機在世界范圍內互聯成網的標準框架，即開放系統互聯參考模型，計算機網絡分為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層等七個功能層。IP協議只是網絡層的協議，其安全性設計得再好，也只能保證本功能層的安全，其他功能層如應用層的網頁服務、郵件服務及文件傳輸等服務的安全仍然難以保證。

二、繼承自IPv4的安全威脅

1.IPv6中協議和報文結構雖有變化，但一些存在于IPv4網絡中的攻擊類型仍然存在。

2.過渡機制存在的安全風險

當前我國IPv6規模部署工作呈現加速發展態勢，在從IPv4向IPv6過渡的過程中，“雙棧”、“隧道”、“翻譯”是三種采用的方案，均可能引入新的安全威脅。

雙棧機制安全風險

IPv4/IPv6雙棧技術是指在網絡節點上同時運行IPv4和IPv6兩種協議，在IP網絡中形成邏輯上相互獨立的兩張網絡：IPv4網絡和IPv6網絡。

過渡期間同時運行著IPv4、IPv6兩個邏輯網絡，增加了設備及系統的暴露面，也意味著防火墻、安全網關等防護設備需同時配置雙棧策略，導致策略管理復雜度加倍，防護被穿透的機會加倍。

在IPv4網絡中，部分操作系統缺省啟動了IPv6自動地址配置功能，使得IPv4網絡中存在隱蔽的IPv6通道，但由于該IPv6通道并沒有進行防護配置，攻擊者可能利用IPv6通道實施攻擊。

雙棧系統同時運行IPv4協議、IPv6協議，會增加網絡節點協議處理復雜性和數據轉發負擔，導致網絡節點的故障率增加。

隧道機制安全風險

一些隧道機制對任何來源的數據包只進行簡單的封裝和解封，所以各種隧道機制的引入，為網絡環境增添了安全隱患。

不對IPv4和IPv6地址的關系做檢查。攻擊者利用隧道機制，可將IPv6報文封裝成IPv4報文進行傳輸，由于IPv4網絡無法驗證源地址的真實性，攻擊者可以偽造隧道報文注入到目的網絡中。

不對隧道封裝的內容進行檢查，通過隧道封裝攻擊報文。對于以隧道形式傳輸的IPv6流量，很多網絡設備直接轉發或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6，將IPv4流量封裝在IPv6報文中，導致原來IPv4網絡的攻擊流量經由IPv6的“掩護”后穿越防護造成威脅。

翻譯機制安全風險

翻譯機制（即協議轉換）通過IPv6與IPv4的網絡地址與協議轉換，實現了IPv6網絡與IPv4網絡的雙向互訪。翻譯設備作為IPv6網絡與IPv4網路的互連節點，易成為安全瓶頸，一旦被攻擊可能導致網絡癱瘓。

三、IPv6特有的安全威脅

IPv6報文結構中引入的新字段（如流標簽、RH0、路由頭等）、IPv6協議族中引入的新協議（如NDP鄰居發現協議等）可能存在漏洞，被用于發起嗅探、DoS等攻擊。

IPv6新的應用也可能帶來安全風險。IPv6使用IPSec，使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見的，控制難度大大增加，需要安全設備能夠識別出攻擊報文新方法和措施。

寫在最后

IPv6并不能解決所有的網絡安全問題。

所以仍然需要專業的信息風險管理人員進行把控，報名加入中國注冊風險管理師協會，學習風險管理實操內容，從最基礎開始教會你如何做好信息風險管理。
責任編輯:pj