互聯網工程師們發(fā)現了據稱業(yè)內第一起基于IPv6的分布式拒絕服務（DDoS）攻擊。他們警告，這僅僅是個開頭，下一波網絡大破壞迫在眉睫。

網絡專家韋斯利.喬治（Wesley George）本周早些時候注意到了奇怪的流量，這是針對一臺DNS服務器發(fā)動的大規(guī)模攻擊的一部分，企圖讓服務器不堪重負。他供職于Neustar公司的SiteProtect DDoS保護服務部門，當時他在獲取惡意流量的數據包，這是其工作的一部分，他當時意識到“來自IPv6地址的數據包流入到IPv6主機。”

這次攻擊不是很大――不像本周針對GitHub發(fā)動的創(chuàng)紀錄的1.35Tbps攻擊，也沒有采用IPv6獨有的方法，但是不同尋常、令人擔憂，于是他提醒團隊的其余成員要注意。

1900個IPv6地址背后的那些計算機在攻擊DNS服務器，它們只是更多數量的被征用的系統(tǒng)的一部分，這些系統(tǒng)主要使用公共互聯網上的IPv4地址。因此，運行IPv6網絡的任何人都要確保自己已部署了與IPv4網絡同樣級別的網絡安全和緩解工具，而且動作要快。

Neustar的研發(fā)負責人巴雷特?萊昂（Barrett Lyon）告訴我們：“面臨的風險在于，如果你沒有將IPv6作為威脅模型的一部分，很可能兩眼抹黑。”

除了少數幾家知名公司（比如Facebook和LinkedIn）外，已開始引入IPv6網絡的公司大多數是通過并行運行IPv4和IPv6來開展這項工作的，常常設有兩個不同的團隊。萊昂和喬治都警告，根據他們的經驗，網絡工程師們先安裝好IPv6網絡，之后才為確保安全而操心。

敞開的解析系統(tǒng)

萊昂特別指出，在1900個IPv6地址中，400個被配置不當的DNS系統(tǒng)所使用，大約三分之一的攻擊流量來自那些服務器――不法分子可以使用DNS服務器來放大發(fā)送到受害者系統(tǒng)的網絡流量。這可能是將來的一個巨大問題，因為它表明工程師們在構建的網絡存在固有的安全問題，之后可能需要數年才能解決。

幾年來，互聯網社區(qū)一直高度專注于找出敞開的IPv4解析系統(tǒng)，并打上補丁，因為它們有可能被用于上述的DNS放大攻擊。

但是這之所以有可能得逞，一方面是由于IPv4地址空間是可掃描的；而IPv6并非如此，IPv6的地址空間非常龐大，不法分子很難使用同樣的技術來發(fā)現IPv6地址。正因為如此，如今新部署的任何敞開的解析系統(tǒng)無異于是未來潛在的安全噩夢。

除了潛在的IPv6安全問題外，還有這些問題：一些緩解工具僅適用于IPv4（常常歸因于硬編碼地址寫入到代碼中）或者部署到IPv4環(huán)境中，后來移植到IPv6環(huán)境中；許多IPv6網絡任務是用軟件（而不是用硬件）來實現的，這留下了多得多的潛在安全漏洞；而IPv6協(xié)議中的數據包報頭擴展帶來了潛在的、新的攻擊途徑。

[[222669]]

說到逐步部署IPv6，IPv6在安全方面有利也有弊，不過隨著IPv6逐漸成為網絡默認協(xié)議，有利方面會逐漸消失。

說到有利方面，IPv6網絡還沒有遍地開花，因而攻擊者不會特別關注它，專門針對這種新的協(xié)議開發(fā)新的攻擊方法，至少目前如此。而目前最糟糕的安全風險：拼湊而成的物聯網產品幾乎完全專注于IPv4。

默認協(xié)議

但是說到不利方面，幾乎所有現代移動設備和PC都內置了支持IPv6的功能，而且在默認情況下已開啟，所以當那些IPv6攻擊來臨時，它們將會遭受重創(chuàng)。另外，許多網絡工程師不知道IPv6是什么，所以保護IPv6也就無從談起。

喬治假設，如果網絡遭到組合型IPv4和IPv6攻擊流量的攻擊（就像本案中發(fā)生的那樣），這是將來的一大問題。系統(tǒng)管理員可能會用上所有正常的緩解工具，但只能對付IPv4流量，致使網絡仍然受到攻擊，負責人無法查清楚原因。

由于大多數人使用雙堆棧系統(tǒng)在現有系統(tǒng)旁邊部署IPv6，萊昂還擔心IPv6攻擊可能會破壞用來并行運行網絡的路由器和交換機，因此通過后門攻擊IPv4網絡。

萊昂表示，本周的攻擊“只是冰山一角”。他希望這可以向系統(tǒng)管理員們敲響一記警鐘，以便將最佳實踐運用于IPv6網絡，他認為“你在IPv4界采取什么措施，就應該在IPv6界采取什么措施。”

不過客觀地說，他并不確信人們會事先吸取教訓。萊昂說：“人們并不往往后來把安全看成是優(yōu)先事項。直到面臨危機，才會格外重視安全。”