IPv6的時代已然來臨，相信每個人在迎接它的同時也已經做好了面對新型安全問題的準備。終于，IPv6分布式拒絕服務攻擊首度出現。

IPv4繼續服務于互聯網的時間已經即將進入尾聲，但即使如此下一代互聯網流量協議IPv6的普及速度始終相當緩慢，不過IPv6至少已經為大家所廣泛接受。根據ArborNetworks日前發布的報告，“IPv6發展道路上的新里程碑：IPv6分布式拒絕服務攻擊（簡稱DDoS）首度出現。”

出現這種情況的原因在于，基于IPv6的網絡終端已經發展得相當龐大，這種規模已經足以為攻擊者提供大量注入點以進行針對IPv6協議的攻擊。同樣，這也說明攻擊者們認為在使用IPv6的網絡中勞心費力并組織攻擊活動是完全值得的。

網絡工程師們開始意識到IPv6的安全性問題（圖片由ArborNetworks提供）

其實除了人為因素以外，上述情況都在意料之中。ArborNetworks在其發布的全球基礎設施安全報告中已經對IPv6DDoS攻擊的出現做出了明確預期。“這是一大關鍵性里程碑，標志著攻擊者與維護者之間的軍備競賽將就此展開，”報告中提到。“我們認為IPv6DDoS攻擊在廣泛性及出現比例方面將隨時間推移而逐步上升，因為IPv6本身的普及度正在穩步提高。”而時至今日，這種預期已經開始變成現實。

根據ArborNetworks高級軟件質量保障工程師BillCerveny的說法，“在過去一段時間中，IPv6網絡中出現的故障與問題往往被人們忽視甚至未能發現，因為當時沒人注意到（或是關心）這一點……這種關注度上的缺失又反過來促使攻擊者們將IPv6當作實施攻擊的大好起點。盡管目前來看IPv6所遭受的攻擊頻率相對較低、損失也較小，但隨著普及度的逐漸提高，相信攻擊者們也將迅速跟上，帶來更多令人頭痛的安全難題。”

這些攻擊現象背后還隱藏著另一個問題，即人們普遍相信IPv6比IPv4更為安全。的確，Cerveny援引的例子的確很說明問題：“美國政府機構內部的某個網絡安全團隊日前宣布解散，因為他們認為IPv6比舊有網絡協議更加安全。鑒于下一代互聯網協議自有的安全能力非常強大，該團隊認為各類安全問題都將自行瓦解，團隊本身也就沒有必要繼續存在下去。”

他們代表了大多數用戶的想法，但需要強調的是，這種觀點并不正確。誠然，IPv6自身整合了互聯網協議安全性（簡稱IPsec）的諸多內容，不過光是一套協議根本無法保證萬全。IPv6的標頭設計同樣有助于安全保護，因為它能夠被用來為加密元數據與被加密的有效負載之間提供一套更加干凈利落的隔離機制。此外，IPv6帶來的海量地址空間在經過部署之后，會使掃描攻擊在子網內很難通過隨機地址分配方式為非作歹。然而，這一切效果的實現都取決于我們能否正確部署IPv6。就自身而言，IPv6與我們小時候裹在身上的厚毯子頗為相似，如果不用心處理，那是半點保護作用也談不上的。

正如來自云及IPv6集成業務企業Nephos6的JohnSpence所說：“大多數認為IPv6比IPv4更加安全的想法，都源于RFC（即網絡請求注解）強制要求IPv6堆棧中包含IPsec支持；但無疑是一種太過簡單的看法（而且在最近發布的RFC6434中，這一強制要求已經被取消）。”也就是說，我們根本無法確定IPsec保護機制是否將作用于某些IPv6軟件及硬件上。

Spence還觀察到，“由于IPv6固有的自動轉換機制努力在為雙堆棧節點提供IPv6服務（例如WindowsVista或Windows7），因此在表面上只部署了IPv4的設備往往正是IPv6安全漏洞的高發環境。我將這種情況稱為‘IPv6意外部署’，因為此類狀態雖然未經管理、癥狀隱晦，但卻很可能被攻擊者為利用?？偠灾?，在大多數設備上，IPv6都處于默認設置狀態，所以即使是自己的機構根本就沒有部署過IPv6，我仍然呼吁大家盡快制訂一套相關安全規劃。”

以上各類問題都是真實存在的。幸運的是，解決方案也將很快出臺?；ヂ摼W工程任務組（簡稱IETF）已經拿出一份草案——《IPv6路由器通告（簡稱RA）防護實施意見》，但項目尚處于進展當中。

正如華盛頓城際網絡公司TachyonDynamics所指出的那樣，目前“像WindowsXP、2003、Vista、7以及2008等操作系統都沒有限制所監聽路由器的數量。而Linux及Mac設備則將監聽對象的數量設定為15個，這才是正確的做法。一旦有15個以上的不同RA發至設備，Linux與Mac都能及時停止為其配置地址及路由。而在Windows系統中則不是這樣，廣受好評的漏洞工具flood_router6正是由這一點出發，在許多個人計算機上橫行無忌，并成為黑客首選IPv6攻擊工具包（簡稱THC-IPv6）中的一員。Flood_router6基本上是在短時間內向子網發送數以百萬計的、各自擁有不同IPv6前綴的RA源地址。只在數秒之內，一臺功能齊備的Windows設備就會瞬間變磚。

由于互聯網上針對IPv6系統的威脅如此之多，我們顯然應該馬上行動起來脫離原本坐以待斃的狀況，努力保證IPv6在自己的網絡中安全運作。此外，Windows用戶必須明確一點：在未能徹底防范已知的各種IPv6攻擊之前，不要輕易使用這套新興的網絡協議。

原文鏈接：

http://www.zdnet.com/blog/networking/first-ipv6-distributed-denial-of-service-internet-attacks-seen/2039