浅谈IPv6安全

一年前，40多亿个IPv4地址就已经全部分配完毕。今年六月，满足现有设备地址分配需求的新一代互联网传输协议IPv6正式上线。随着IPv4地址的告罄，全球各国都不得不加快由IPv4向IPv6的迁移的进度，与之而来的安全问题也被更多地关注。如今，云计算的广泛应用，使网络威胁产生的影响远非上一个时代所能比拟。因此，IPv6的安全问题也成为各界最关注的话题之一。

IPv6协议制定的目的是为了解决地址资源短缺和传输层安全威胁等问题。由于IPSec协议被强制添加到了IPv6协议中，而不是像在IPv4中只是附加选项，因此早些时候，IPv6被有些人认为解决了IPv4所带来的网络安全问题。然而，事实并非如想象的那般美好，IPv6不仅继承了某些IPv4的安全问题，还有自己特有的安全威胁，并且在IPv4向IPv6迁移的过程中，还会产生安全威胁。

在IPv4中常见的网络扫描攻击、非法访问攻击、窃听攻击、中间人攻击、封包碎片攻击、病毒蠕虫攻击、IP地址伪造以及DHCP攻击、甚至是DDoS等泛洪攻击在IPv6中也依然存在。但是IPv6的特性有效地降低了常见攻击发生的可能性。IPv6的地址长度为128位，其中默认网络前缀为64位。这样的改变极大地提升了网络扫描攻击的成本，从而使得黑客抓取“肉鸡”的难度也大幅度提升，因此也降低了DDoS攻击的可能性。虽然在IPv6中定义了新的多播地址来以此取代IPv4中的广播地址，但是DHCPv6依然可以通过多播泛洪攻击，针对某个已知的站点地址进行攻击。在IPv6中还有一些不同于之前的安全威胁。比如邻居要求及公告攻击、路由邀请、公告及重定向攻击等。

整个互联网的拓扑已经比以前复杂的多，因此从IPv4到IPv6的迁移也还需要几年的时间。在这段过渡时期内，如何解决两代IP协议共存带来的安全问题也成为了安全管理人员需要思考的问题。RFC 3056定义了让两个IPv6网络通过IPv4网络相互连通的机制。对于这种跨协议互通的情况，需要在网络边界安置IPv6 to IPv4中继路由器完成跨协议的网络连接。这个时候，就可能发生地址伪造攻击和反射式拒绝服务攻击。

对于IPv4攻击防范的方法在IPv6中虽然依然部分有效，但由于IPv6相比上一个版本过于复杂的设计也让安全防范措施的部署难度加大了。另外，过渡时期所使用的机制所产生的安全漏洞也会让黑客利用，从而加深IPv6所面临的威胁。目前，IPv6的PKI部署尚不完善，从而导致安全性并没有达到预想的效果。IPv6越来越大规模的使用也让刺激了黑客发掘相关的漏洞并且制作攻击工具，因此持续不断的网络攻防战也将在一个更宽广更复杂的平台上进行。