【51CTO.com綜合報道】2011年2月3日悄無聲息的到來又逝去，這一天看似普通，但對互聯(lián)網(wǎng)人士來說，卻非比尋常，無論他們是否知曉，這一天卻是一個里程碑。在那個周四，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（IANA）將最后可用的IPv4地址分配殆盡。雖然某些地區(qū)的互聯(lián)網(wǎng)注冊管理機(jī)構(gòu)（RIR）還有夠一兩年使用的庫存，但全新IPv4地址分配的時代已基本成為歷史。

既然IPv4已經(jīng)用盡，那么是時候認(rèn)真考慮采用下一代互聯(lián)網(wǎng)協(xié)議IPv6了。當(dāng)前，每小時就會增加一百萬臺新設(shè)備，而IPv6具有128位的地址空間（IPv4具有32 位空間），可以適應(yīng)互聯(lián)網(wǎng)當(dāng)前及未來的發(fā)展需求。實際上，與IPv4的43億個IP地址相比，IPv6可以再增加340萬億萬億萬億地址，足以滿足可預(yù)見未來的全球互聯(lián)網(wǎng)需求。

隨著DNS安全擴(kuò)展協(xié)議（DNSSEC）的持續(xù)部署，IPv6將為未來互聯(lián)網(wǎng)提供穩(wěn)定而安全的基礎(chǔ)。但是，要實現(xiàn)從IPv4向IPv6的成功過渡，無論是基礎(chǔ)架構(gòu)運營商、服務(wù)提供商，還是應(yīng)用開發(fā)人員與用戶，所有人都必須在一系列工作中團(tuán)結(jié)合作，這些工作包括：

· 支持并開發(fā)IPv6能力，并建立與IPv4相當(dāng)?shù)墓δ?/p>

· 調(diào)試并修正那些僅使用IPv6的新軟件與應(yīng)用程序中的問題

· 改善與IPv4的交互工作與過渡共存問題

安全性將成為這一工作的關(guān)鍵。IPv6為大多數(shù)互聯(lián)網(wǎng)參與者展示了新的疆界，它的出現(xiàn)也將帶來一些獨特的安全挑戰(zhàn)。雖然下述內(nèi)容并不完全，但它給出了八個需要注意的問題領(lǐng)域，業(yè)界需要在采用IPv6的過程中，不斷地解決這些問題。要知道我們?nèi)匀惶幱诓捎玫某跫夒A段，所以某些風(fēng)險的解決方案只能來自于被實際應(yīng)用所證明的最佳實踐。

* 從IPv4向IPv6的轉(zhuǎn)換過程中，事務(wù)處理（Transaction）可能更容易受到攻擊。由于IPv4與IPv6并非“逐位 (bits on the wire)”地兼容，因此協(xié)議轉(zhuǎn)換就成為更廣泛的部署與采納的一種途徑。從IPv4到IPv6的轉(zhuǎn)換中，當(dāng)轉(zhuǎn)換流通過網(wǎng)絡(luò)時，必然產(chǎn)生需要協(xié)調(diào)事務(wù)處理。設(shè)想一個郵局的信件分揀員，他必須打開每個IPv4信封，再將每封信裝入一個IPv6信封中，以確保它能投遞到正確的地址，此時要修改文件包含的內(nèi)容，從而使之與新的IPv6信封外的信息相符。每做一次這個操作，都給執(zhí)行不善和執(zhí)行不力者提供了一個機(jī)會，從而產(chǎn)生或觸發(fā)一個潛在的漏洞。另外，這種方法引入了必須維護(hù)事務(wù)處理狀態(tài)的中間環(huán)節(jié)(middle boxes)，使網(wǎng)絡(luò)復(fù)雜化，從而危及了端到端的原則。通常情況下，安全人員應(yīng)注意所有轉(zhuǎn)換與事務(wù)處理機(jī)制（包括隧道）的安全問題，只有經(jīng)過了徹底評估以后，才能明確地啟用這些機(jī)制。

* 大網(wǎng)絡(luò)段既有優(yōu)點也有缺點。IPv6的網(wǎng)絡(luò)段規(guī)模要遠(yuǎn)遠(yuǎn)大于我們現(xiàn)有的網(wǎng)絡(luò)段。現(xiàn)在，為一個IPv6子網(wǎng)絡(luò)推薦使用的前綴長度為/64 (264)，它可以在一個網(wǎng)絡(luò)段中容納約18 x 1018個主機(jī)！雖然這能夠?qū)崿F(xiàn)幾乎無限制的LAN長度，但這一規(guī)模也帶來了挑戰(zhàn)。例如，掃描一個IPv6/64塊網(wǎng)絡(luò)的漏洞要花數(shù)年時間，而掃描一個/24的IPv4子網(wǎng)（28）只需花幾秒鐘。既然不可能做完整的掃描，那么比較好的辦法或許是只使用地址的前/118（與一個/22的IPv4中主機(jī)數(shù)量相同），縮小要掃描IP的區(qū)間范圍，或者明確地分配掉所有地址，并且暗中拒絕余下的所有地址。這樣便可以做到細(xì)致的IP管理，以及較今天而言更為嚴(yán)格的監(jiān)控。另外還可以預(yù)測到，攻擊者可能將采用被動式域名系統(tǒng)（DNS）分析以及其它偵測技術(shù)來代替?zhèn)鹘y(tǒng)的掃描方法。

* 鄰居發(fā)現(xiàn)及請求都可能使網(wǎng)絡(luò)出現(xiàn)問題。IPv6中的鄰居發(fā)現(xiàn)（Neighbor Discovery）使用了五種不同類型的第6版互聯(lián)網(wǎng)控制信息協(xié)議（ICMPv6），用于多種目的，如在鏈接中包含可確定鄰居的鏈路層地址，清空已失效的緩存值，以及發(fā)現(xiàn)那些想要自己轉(zhuǎn)發(fā)分組數(shù)據(jù)包的鄰居。雖然鄰居發(fā)現(xiàn)提供了很多有用的功能，包括重復(fù)地址檢測（DAD）以及對不可及鄰居的檢測（NUD），但它也給攻擊者提供了很多機(jī)會。IPv6中的鄰居發(fā)現(xiàn)攻擊將很快取代IPv4中的同類攻擊，如ARP Spoofing攻擊。一般而言，除非明確地提供并實現(xiàn)了鏈路層訪問控制以及安全機(jī)制，否則保持所有端口的關(guān)閉是一個好主意，而且要在不使用IPv6時，將其完全禁用。

* 阻塞大型擴(kuò)展頭、防火墻與安全網(wǎng)關(guān)，可能成為DDoS攻擊者的目標(biāo)。在IPv6中，IP選項功能已被從主頭中移出，而通過一組附加頭來實現(xiàn)。這些附加頭叫做擴(kuò)展頭，其定義了一組目標(biāo)選項、逐跳躍（hop-by-hop）選項、身份認(rèn)證，以及一個其它選項的數(shù)組。這些擴(kuò)展頭跟隨著固定為40字節(jié)的IPv6主頭，它們相互鏈接，構(gòu)成一個IPv6分組數(shù)據(jù)包（固定頭 + 擴(kuò)展頭 + 有效負(fù)載）。有大量擴(kuò)展頭的IPv6流會淹沒防火墻和安全網(wǎng)關(guān)，甚至?xí)率孤酚善鬓D(zhuǎn)發(fā)性能下降，因此成為了DDoS和其它攻擊者的一種潛在動力。在路由器上禁用“IPv6源路由（IPv6 source routing）”可能是防止DDoS威脅的必要方式，并且明確地寫明支持哪種擴(kuò)展頭，以及檢查網(wǎng)絡(luò)設(shè)備的正確實現(xiàn)，這些都很重要。一般而言，IPv6增加了很多需要過濾或區(qū)域性傳播的部件，包括一些擴(kuò)展頭、組播地址，以及增加了互聯(lián)網(wǎng)控制信息協(xié)議（ICMP）的使用。

* 6to4和6RD代理可能會導(dǎo)致攻擊與濫用行為。6to4及其ISP快速部署的6RD均無需配置專用的隧道，就能使IPv6數(shù)據(jù)包跳出IPv4的空間。但部署IPv6代理服務(wù)器可能會使代理運營商進(jìn)入一個麻煩的世界，包括發(fā)現(xiàn)式攻擊、欺騙，以及反射式攻擊，而代理運營商自身可能被利用，成為一個攻擊和濫用的“源頭”。

* 對IPv6服務(wù)的支持可能暴露現(xiàn)有的IPv4應(yīng)用程序或系統(tǒng)。有一個局限便是，現(xiàn)有的安全補(bǔ)丁可能僅適用于IPv4支持，而大多數(shù)核心程序在做DNS查表等動作時，偏向于優(yōu)先采用IPv6接口（而不是IPv4），以促進(jìn)IPv6的更快部署。實際上，IPv6與IPv4之間的這種互動可能使每次DNS查表的流量翻番（同時請求AAAA和A記錄，或更糟糕的情況，即每次都要通過IPv4和IPv6）。為了優(yōu)化用戶體驗，可能產(chǎn)生出大量非必需的DNS流量。OS與內(nèi)容供應(yīng)商在不斷采用措施，以減輕或優(yōu)化這個性能（如：AAAA白名單），但它也增加了系統(tǒng)負(fù)荷和狀態(tài)。另外應(yīng)注意到，使用新的IPv6棧后，肯定會逐步顯現(xiàn)新的漏洞。一個過渡周期內(nèi)長期存在兩個棧，以及路由器、最終系統(tǒng)與網(wǎng)絡(luò)服務(wù)（如DNS）之間的相互依存，顯然會為犯罪分子提供充分施展的空間。

* 很多用戶可能被隱藏在固定地址集后面。被大型網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議（NAT-PT）設(shè)備所隱藏的用戶可能會廢除一些有用功能（如地理定位）或工具，使惡意網(wǎng)絡(luò)行為有了空間，并且讓基于信譽(yù)的號碼與命名空間的安全控制問題更為嚴(yán)重。

* 與其它網(wǎng)絡(luò)做隧道操作時，即使IPSec也可能帶來問題。IP安全機(jī)制（IPSec）能夠?qū)Πl(fā)送者做出認(rèn)證，提供完全的保護(hù)，并且可選采用加密的IP分組數(shù)據(jù)包以提供傳輸數(shù)據(jù)的可信性。IPSec在IPv4中是一個可選功能，而在IPv6中是強(qiáng)制使用的。在隧道模式下（基本上是建立一個網(wǎng)絡(luò)間、主機(jī)—網(wǎng)絡(luò)和主機(jī)間通信的VPN），整個數(shù)據(jù)包被封裝在一個新的IP包內(nèi)，并給它一個新的IP頭。但當(dāng)與某個超出原發(fā)方控制的網(wǎng)絡(luò)建立VPN連接時，則可能產(chǎn)生安全性暴露問題，或被用于漏出數(shù)據(jù)等。由于IPSec要用附加協(xié)議（如互聯(lián)網(wǎng)密鑰交換–IKE）去處理對安全保護(hù)以及相關(guān)安全密鑰的協(xié)商與管理，從而增加了復(fù)雜性，因此IPv6初期對IPSec支持的廣泛程度也許并不會超過IPv4。

在IPv6開始廣泛部署且IPv4設(shè)備開始減少以前，還會有一段時間。到那時，我們都將致力于可實現(xiàn)互聯(lián)網(wǎng)第40億臺設(shè)備的協(xié)議。

2月3日這個里程碑的日子已成歷史，我們將別無選擇地去發(fā)展和傳播一些最佳實踐，從而使下一代IP地址更加穩(wěn)定、可靠和安全，而它的開始要依賴網(wǎng)絡(luò)與安全人員的認(rèn)知與知識。