世界IPv6日測試需警惕黑客攻擊
包括谷歌、Facebook、雅虎和必應在內的數百個流行的網站將在6月8日參加一個24小時的IPv6互聯網標準測試。這使人們擔心黑客可能會利用這個新興技術的弱點發動攻擊。
這個名為“世界IPv6日”的IPv6測試從美國東部時間星期二晚上8點至星期三晚上7點59分進行。
安全專家擔心,參加“世界IPv6日”試驗的400多個企業、政府機構和大學的網站在這24個小時的測試中可能會遭到拒絕服務攻擊或者其它類型的黑客攻擊。
沒有參加“世界IPv6日”測試的網絡設備公司Radware的產品營銷和安全主管Ron Meyran稱,在過去的五個月里,分布式拒絕服務攻擊一直在大幅度增長。IPv6對于攻擊者來說也許更容易一些,因為IPv6通訊是通過沒有檢測的深層封包檢測系統進行的。
Meyran指出,另一個擔心的問題是IPv6數據包的頭文件比iPv4數據包頭文件大四倍。這意味著路由器、防火墻和其它網絡設備必須處理更多的數據。分布式拒絕服務攻擊更容易阻塞這種通訊。
Meyran稱,采用分布式拒絕服務攻擊,你需要達到100%的網絡和設備利用率以便使服務達到飽和。必須完全處理更長的IPv6頭文件才能做出路由決策。
參加“世界IPv6日”測試的Verizon企業技術機構執行總監Jean McManus稱,我不知道是否會發生這種分布式拒絕服務攻擊的事情,或者黑客會調查同時運行IPv6和Ipv4協議的具有雙堆棧功能的服務器。他說,內容提供商需要特別小心,要保證妥善地鎖定一切設備。
與IPv6有關的許多安全威脅都來自于這樣一個事實:這個技術是新的,沒有經過向IPv4一樣的嚴格測試或者調試。此外,有IPv6經驗的網絡管理員比較少,因此,他們不熟悉編寫自己的防火墻或者其它安全設備的與IPv6有關的規則。
Meyran稱,我們從安全突破事件中了解到,允許你更清楚地看到網絡和應用程序的安全規則正是因為缺乏IPv6的經驗和培訓。這個新的軟件更復雜。熟悉這個軟件的程序員比較少。
“世界IPv6日”的參加者表示,這個事件已經通知了包括黑客在內的互聯網工程社區中的每一個人,他們將相應地增強安全措施。
Comcast作為線纜調制解調器服務提供商和7個IPv6網站的運營商參加“世界IPv6日”。Comcast高級工程師和IPv6首席設計師John Brzozowski稱,任何事情都可能發生。IPv6與其它新技術沒有什么區別。攻擊的可能性是存在的。保護這個網絡對于我們來說是很關鍵的。
Brzozowski稱,Comcast將在整個測試期間監視網絡的攻擊跡象。我們將采取必要的步驟。這樣,Comcast的基礎設施就會得到保護。
Juniper稱,如果它的網站在“世界IPv6日”遭到分布式拒絕服務攻擊,它將轉回到IPv4。Juniper軟件工程主管Alain Durand稱,我們能夠在5分鐘之內回到IPv4。Juniper在這一天將使用自己的“translator-in-a-cloud (云中翻譯)”服務讓自己的主要網站運行IPv6協議。
一個擁有30個客戶的內容交付網絡Akamai將參加“世界IPv6日”。Akamai稱,它也擔心在IPv6測試過程中遭到黑客攻擊或者分布式拒絕服務攻擊。
Akamai負責工程的副總裁Andy Champagne稱,我們所有的指揮與控制系統都留在IPv4中。我們認為,不把一些基礎的東西暴露給我們不熟悉的協議,我們是安全的。我們有足夠的IPv6容量。我不指望出現任何麻煩。
Radware的Meyran稱,黑客也許很聰明,他們不會在“世界IPv6日”攻擊網站,而是在這些網站永久性轉移到IPv6協議之后再實施攻擊。黑客也許非常高興看到這一天迅速取得成功。他預測說,網站正在開始應用IPv6,因為它開放了一個新的攻擊領域。
這是Meyran建議參加“世界IPv6日”的網絡管理員跟蹤以IPv6安全測試非重點的活動的原因。他說,下一個階段將是運行模擬IPv6攻擊的攻擊工具,以保證你的防火墻真正地看到網絡,你的入侵保護系統能夠對IPv6通信實施真正的深度數據包檢測。
“世界IPv6日是互聯網社區贊助的一個大規模的試驗,以便在這個新的協議廣泛應用之前發現IPv6的問題。
互聯網需要IPv6,因為互聯網使用的IPv4地址正在耗盡。空閑的沒有分配的IPv4地址池已經在今年2月到期。今年4月,亞太地區僅剩下一些為創業企業保留的較少的IPv4地址。美洲互聯網號碼注冊管理機構(ARIN)負責向北美網絡運營商分配IP地址。這個機構稱,它的IPv4地址將在今年秋季用完。
IPv4使用32位地址,能夠支持43億個直接連接到互聯網的設備。但是,IPv6使用128位地址,能夠連接幾乎無線數量的設備:2的128次方。IPv6能夠比其它替代的方法提供速度更快和價格更便宜的互聯網服務。這個替代的方法是利用網絡地址解析(NAT)延長IPv4的壽命。
IPv6應用的一個主要障礙是它不能向下兼容IPv4。這意味著網站運營商必須升級自己的網絡設備和軟件來支持IPv6通訊。
