目前隨著互聯(lián)網(wǎng)應(yīng)用的不斷加深，在全球范圍內(nèi)IPv4地址都呈現(xiàn)出逐漸枯竭的狀況，而面向IPv6地址過(guò)渡的呼聲變得越來(lái)越強(qiáng)。不過(guò)，對(duì)于現(xiàn)在網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，IPv6準(zhǔn)備好了嗎?

作為旨在替代傳統(tǒng)IPv4協(xié)議的IPv6，其在協(xié)議制定和演進(jìn)之時(shí)，便考慮設(shè)計(jì)成能夠修補(bǔ)IPv4協(xié)議中的安全缺陷，并將原IPv4的安全性選項(xiàng)IPSec(IP安全協(xié)議)加入IPv6協(xié)議中，以消除現(xiàn)行采用IPv4協(xié)議所產(chǎn)生的網(wǎng)絡(luò)安全問(wèn)題。

不過(guò)實(shí)際上，像IPv6這樣的新通信協(xié)議同樣也會(huì)出現(xiàn)一些無(wú)法預(yù)期的設(shè)計(jì)漏洞，而且當(dāng)網(wǎng)絡(luò)系統(tǒng)以及終端設(shè)備向IPv6協(xié)議過(guò)渡時(shí)也會(huì)衍生出各種各樣的新安全弱點(diǎn)。

以長(zhǎng)期以來(lái)一直被懷疑會(huì)引發(fā)IPv6安全漏洞的“原子碎片”向量為例，就被網(wǎng)絡(luò)專家指出，可能會(huì)導(dǎo)致大規(guī)模核心網(wǎng)絡(luò)路由器遭受碎片攻擊。

針對(duì)IPv4，碎片攻擊是一個(gè)相當(dāng)普遍的攻擊手段，其主要目的為規(guī)避防火墻及入侵檢測(cè)系統(tǒng)的偵測(cè)，將易被察覺(jué)的惡意數(shù)字簽名(data signature)分散到數(shù)個(gè)封包中，造成防火墻及入侵檢測(cè)系統(tǒng)難以有效偵測(cè)出其原封包的意圖。

而在IPv6僅有來(lái)源端可分割封包，其被分割的封包大小可依來(lái)源端到目的端路徑所測(cè)得的最大MTU來(lái)指定，一般正常的IPv6封包為1280字節(jié)(bytes)，也就是IPv6最小的封包大小，而最后一個(gè)傳送的封包大小通常會(huì)小于1280字節(jié)。同時(shí)，要處理重疊的碎片為相當(dāng)困難的一件事，原因在于不同的目地端系統(tǒng)使用不同的方式來(lái)重組封包。

對(duì)IPv6而言，當(dāng)主機(jī)接收到小于1280字節(jié)(最小IPv6 MTU)的報(bào)文時(shí)，已無(wú)法將其分段為若干片段，這時(shí)便會(huì)發(fā)送包含偏移值為0、MF位為0的碎片頭信息的IPv6原子碎片。關(guān)鍵的是，這些原子碎片會(huì)成為拒絕服務(wù)(DoS)的攻擊向量，進(jìn)而威脅到核心路由器的安全運(yùn)行。

因此，目前來(lái)自國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(IETF)貢獻(xiàn)者之一的Fernando Gont已經(jīng)正式提交了RFC 8021文件，將IPv6協(xié)議中存在的此種情況，歸類到“認(rèn)為有害”列表上，以敦促業(yè)界重視該問(wèn)題。

由于IPv6協(xié)議中的此漏洞會(huì)存在于采用該協(xié)議的任何產(chǎn)品中，這就意味著當(dāng)前主流核心網(wǎng)絡(luò)設(shè)備供應(yīng)商，如思科、瞻博網(wǎng)絡(luò)、愛(ài)立信、華為等都必須給予重視并處理，才能避免協(xié)議層面漏洞引發(fā)原子碎片攻擊的風(fēng)險(xiǎn)。

[[182410]]