【51CTO.com 9月1日外電頭條】IPv6是如今在網上日益得到采用的下一代尋址方案，它取代了互聯網的主要通信協議IPv4；但安全專家們表示，越來越多的攻擊在鉆IPv6已知漏洞的空子。

總部設在弗吉尼亞州費爾法克斯市的IT工程公司Salient Federal Solutions聲稱，如今的實際環境中出現了IPv6攻擊事件，這些攻擊利用了這個新興協議的隧道功能、路由報頭、DNS廣播和惡意路由公布等。這家公司聲稱，如果使用能夠支持IPv6的深層數據包檢查工具，就可以消除所有這些威脅。該公司及其他網絡廠商銷售這類工具。

[[41999]]

Salient公司網絡安全卓越中心的負責人Lisa Donnan說：“我們的確看到了這些攻擊，只是說不出來在哪里看到。”今年3月，Salient Federal Solutions收購了IPv6咨詢和培訓公司Command Information。

Salient Federal 看到的頭號攻擊歸咎于眾多的IPv6流量在IPv4網絡上通過隧道來傳送，尤其是使用內置在微軟Windows Vista和Windows 7中的Teredo機制。IPv6流量在IPv4網絡上通過隧道來傳送存在的這個安全漏洞至少五年前就已知道了，但現在仍被不法分子鉆空子。

Salient Federal Systems的高級主管兼IPv6網絡架構師Jeremy Duncan說：“IPv6隧道機制讓攻擊者得以肆無忌憚地滲入到網絡。”

Duncan擔心的是uTorrent，這是支持IPv6的免費客戶端，面向用于共享音樂和電影等大文件的BitTorrent對等協議。Duncan表示，uTorrent在Teredo上運行起來很順暢；BitTorrent用戶社區發現，IPv6是規避網絡擁塞控制措施的一個方法，互聯網服務提供商（ISP）經常采用控制措施來管理IPv4網絡上的BitTorrent流量。

Duncan表示，另一款BitTorrent應用軟件Vuze的用戶也往往偏愛IPv6，而不是IPv4。

Duncan說：“BitTorrent的用戶發現，提供商不會遏制IPv6方面的流量。這對運營商們來說是個問題。它們之所以無法遏制IPv6流量，就是由于沒在檢查這種流量。”

Salient Federal表示，它還看到了針對IPv6的類型0路由報頭（Type 0 Routing Header）發動的攻擊。類型0路由報頭是IPv6的一項功能，讓網絡運營商可以識別一路上哪些路由器可以接收數據包。互聯網工程任務組（IETF）在2007年就建議，應該禁用IPv6的這項功能，原因是該功能可能被用于拒絕服務攻擊。IETF還認為這個威脅的危害性“特別大”。

不過，Salient Federal看到它監控的IPv6生產型網絡同樣受到了針對類型0路由報頭的攻擊。比如說，Command Information最后查明，這種攻擊起源于它自己的其中一只沒有在使用的邊界路由器。攻擊的源頭是遠在中國的一個科研網絡。一旦這種攻擊得逞，中國黑客就可以將惡意流量，從Command Information那只遭到攻擊的邊界路由器發送到其他網絡。

Duncan說：“網絡管理人員必須關閉路由器中的這項功能。幾年前，所有思科路由器在默認情況下都啟用這項功能。比較新的路由器則關閉了這項功能；問題就出在比較舊的路由器上。”

與IPv6相關的另一種威脅來自互聯網的DNS系統播送所謂的四A記錄（Quad A record）的方式，IPv6用到這種記錄。Duncan表示，四A查詢出現在該公司監控的每一個網絡上，盡管那些網絡中有許多并不支持IPv6流量。

四A查詢播出去后，這無異于表明網絡上的一些節點能夠支持IPv6，然后不法分子就可以用基于IPv6的攻擊來鎖定這些節點。因為網絡本身不支持IPv6，所以網絡管理人員很可能沒有使用深層數據包檢查工具來監控IPv6流量。

Duncan把播送四A記錄的IPv4網絡稱為“裝滿子彈的火槍”。

Duncan說：“如果公司企業擁有能夠支持IPv4，但不支持IPv6的設備，黑客們就知道缺少IPv6方面的網絡管理。他們就很容易向該企業的郵件服務器發送洪水般的垃圾郵件，而垃圾郵件里面含有惡意軟件。他們只需要擁有更高權限的某個用戶打開含有惡意軟件的某一封垃圾郵件，而該惡意軟件就可以透過防火墻在隧道里打開IPv6。”

Duncan指出，他還沒有見過四A漏洞被人鉆空子的情況，不過他認為這是企業面臨的一個重大威脅。

Duncan說：“我們還沒有看到利用這個漏洞的具體案例，但見過許多IPv6隧道流量并沒有加以檢查。每家企業播出去的四A記錄可能多達成千上萬條……解決辦法就是，如果你沒有在使用IPv6，就要牢牢鎖住它，另外使用深層數據包檢查工具。”

最后，Salient Federal聲稱，它看到了IPv6的惡意路由器公告；不過該公司承認，還沒有看到哪個不懷好意的人發送這種惡意公告。IETF在今年2月曾提醒防范惡意路由器公告這種威脅，指出這個安全漏洞可能被用于發動拒絕服務攻擊或中間人攻擊。

這種威脅來自這個事實：由于IPv6具有的自動配置功能，能夠支持IPv6的工作站總是會偵聽路由器公告。然而，由于網絡管理員的失誤或黑客攻擊，這些工作站可能會受到假公告的欺騙。無線網絡和有線網絡都存在IPv6的惡意路由公告這個問題。

Duncan說：“企業需要在自己的交換機和路由器上部署像思科的RA Guard這些修復程序；但之后，你要讓網絡的核心部分能夠支持IPv6。你還要在網絡的核心部分使用深層數據包檢查功能。”

Duncan竭力勸告公司在各自的網絡上實施IPv6，并落實合適的安全控制措施，比如深層數據包檢查工具，那樣他們就能管理與IPv6有關的漏洞了。

他說：“企業必須確保，自己的安全廠商能夠防范這些特定的IPv6漏洞。”他竭力勸告公司企業，要對系統工程師和網絡工程師進行IPv6方面的培訓，并制定一項IPv6網絡安全計劃。

Duncan表示，企業網絡的管理人員對IPv6日益有所了解，但是他們對于相關的安全問題還不夠關注。他說：“對于IPv6安全的關注程度不如對于IPv4安全的關注。”

Donnan表示，這個問題讓人擔憂，那是因為美國公司很容易遭到別國發動的IPv6攻擊。

Donnan說：“如今存在背后有政府撐腰的黑客活動，黑客們對于IPv6又非常精通。”

許多運營商和企業紛紛遷移到IPv6，因為互聯網上使用IPv4的地址即將告罄。之前未分配的IPv4地址在今年2月就已經用光了；亞太地區在4月份就用光了，就剩下專門留給新興公司的少數幾個IPv4地址。美國互聯網號碼注冊機構（ARIN）負責為北美的網絡運營商分配IP地址；該組織表示，它提供的IPv4地址會在今年分配完畢。

IPv4使用32位地址，可以支持直接連接到互聯網的43億個設備；而IPv6使用128位地址，可以連接的設備數量幾乎沒有限制：2的128次冪個。IPv6有望提供比IPv4速度更快、成本更低的互聯網服務，還可以使用網絡地址轉換（NAT）設備，延長IPv4的使用壽命。

原文鏈接：http://www.pcworld.com/article/238848/scariest_ipv6_attack_scenarios.html#tk.hp_new

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】