從IPv4到IPv6 安全要跟上技術(shù)升級的腳步
發(fā)布時(shí)間:2018-04-12近日,,據(jù)媒體報(bào)道,,有IT專家稱發(fā)現(xiàn)了首例基于IPv6的分布式拒絕服務(wù)(DDoS)攻擊,來自1900個(gè)IPv6地址背后的計(jì)算機(jī)設(shè)備向目標(biāo)域名服務(wù)器發(fā)起進(jìn)攻,。
“這只是新一輪網(wǎng)絡(luò)破壞活動(dòng)的開始,?!庇谢ヂ?lián)網(wǎng)工程師如是警告,。
當(dāng)前,,由于全球聯(lián)網(wǎng)設(shè)備總量迅速攀升,現(xiàn)有基于IPv4協(xié)議的全球互聯(lián)網(wǎng)面臨網(wǎng)絡(luò)地址消耗殆盡,、服務(wù)質(zhì)量難以保證等制約,。IPv6能提供充足的網(wǎng)絡(luò)地址和廣闊的創(chuàng)新空間,這意味著有更多的設(shè)備可以接入互聯(lián)網(wǎng),,因此業(yè)界對IPv6呼聲頗高。
然而,,正當(dāng)全球各國積極部署IPv6之時(shí),,針對它的攻擊也悄然而至。
那么,,IPv6存在哪些技術(shù)缺陷,?我國又該如何將其補(bǔ)足?
2012年就曾出現(xiàn)過類似攻擊
偶然間,,網(wǎng)絡(luò)專家韋斯利·喬治注意到了一些奇怪的流量,,這是針對一臺(tái)域名服務(wù)器發(fā)動(dòng)的大規(guī)模攻擊的一部分,企圖讓服務(wù)器不堪重負(fù),。喬治供職于美國Neustar公司的SiteProtect DDoS保護(hù)服務(wù)部門,,他當(dāng)時(shí)正在收集惡意流量的數(shù)據(jù)包,并立即意識(shí)到“這些數(shù)據(jù)包源自IPv6地址并指向IPv6主機(jī)”,。
此次事件,,國內(nèi)很多報(bào)道將其稱為首例針對IPv6的“拒絕服務(wù)攻擊”,。
“其實(shí)這并不是首例拒絕服務(wù)攻擊,更談不上是首例基于IPv6的攻擊了,?!?月8日,北京理工大學(xué)軟件安全研究所副所長閆懷志在接受科技日報(bào)記者采訪時(shí)說,。
閆懷志介紹,,早在2012年2月,美國信息安全公司Arbor Networks就在年度研究報(bào)告中稱:“出現(xiàn)了針對IPv6的DDoS攻擊,,這是攻擊者和防御者之間‘軍備競賽’的一個(gè)重要里程碑,,針對IPv6的DDoS攻擊將會(huì)越來越常見?!碑?dāng)時(shí),,有4%的受訪者就表示,他們曾見過IPv6網(wǎng)絡(luò)遭到這類攻擊,。
對此,,360安全專家李洪亮也表示,嚴(yán)格來說這不能算是基于IPv6的首例攻擊,只是目前已知的基于IPv6的最大規(guī)模分布式拒絕服務(wù)攻擊,?!爱?dāng)然,隨著IPv6的資源越來越多,,攻擊也會(huì)越來越多,。”他說,。
DDoS攻擊瞄準(zhǔn)域名服務(wù)器
“從描述信息看,,這是一次普通的流量型DDoS攻擊,IP地址數(shù)量并不是很多,。與其他流量型攻擊不同的是,,它發(fā)生在IPv6環(huán)境?!崩詈榱琳f,。
閆懷志表示,拒絕服務(wù)攻擊(DoS)是一種較為常見且危害巨大的攻擊方式,。這種攻擊通常采用消耗網(wǎng)絡(luò)帶寬等方式,,以求讓目標(biāo)信息系統(tǒng)無法正常提供服務(wù)。
而分布式拒絕服務(wù)是拒絕服務(wù)攻擊的高級形式,,它通常借助客戶/服務(wù)器技術(shù),,將多臺(tái)計(jì)算機(jī)聯(lián)合起來形成多級攻擊平臺(tái),實(shí)現(xiàn)對一個(gè)或多個(gè)目標(biāo)的拒絕服務(wù)攻擊,,這種方式成倍提高了拒絕服務(wù)攻擊的威力,。
在分布式拒絕服務(wù)攻擊中,,大量計(jì)算機(jī)同時(shí)訪問目標(biāo)服務(wù)器,導(dǎo)致服務(wù)器的流量劇增,,從而無法正常提供服務(wù),。
域名服務(wù)器是本次攻擊的目標(biāo),它主要負(fù)責(zé)將域名轉(zhuǎn)換成與之相對應(yīng)的IP地址,。閆懷志認(rèn)為,,此次網(wǎng)絡(luò)專家發(fā)現(xiàn)的異常流量,就是指向域名服務(wù)器,,意在摧毀其正常解析能力,。
“這種攻擊方式并非只針對IPv6,只不過是來自 IPv6,、指向 IPv6而已,。”閆懷志說,。
的確,,也有專家表示,此次攻擊并未采用專門針對IPv6的攻擊方法,。但由于其來自 IPv6并指向IPv6,,引起安全人員的高度重視。
新協(xié)議也存在諸多隱患
“應(yīng)當(dāng)承認(rèn),,IPv6協(xié)議與IPv4相比,,在保密性、完整性,、抗抵賴性,、可認(rèn)證性等安全性方面有了很大的改進(jìn)。但從來沒有絕對的安全,,IPv6協(xié)議也不例外,,也存在諸多安全隱患?!遍Z懷志說。
具體來講,,首先,,IPv6與IPv4的伴生和過渡所采用的雙協(xié)議棧、隧道和地址轉(zhuǎn)換等技術(shù),,給網(wǎng)絡(luò)安全防護(hù)設(shè)置了更高難度,。其次,IPv6協(xié)議為提升自身安全性而采取的安全機(jī)制,,如被攻擊者惡意利用,,就會(huì)給安全識(shí)別和檢測帶來更大困難,。
也有專家表示,多數(shù)IPv6網(wǎng)絡(luò)存在于軟件而非硬件中,,這意味著其可能隱藏更多安全漏洞,。另外,某些緩解工具僅適用于IPv4或僅提供IPv4版本,,而后再移植至IPv6,。
如同互聯(lián)網(wǎng)沒有國界一樣,網(wǎng)絡(luò)空間的安全問題也沒有國界,,我國也不例外,。
“國內(nèi)的不法分子會(huì)針對IPv6網(wǎng)絡(luò)發(fā)起攻擊,國外敵對勢力更會(huì)將矛頭對準(zhǔn)我國的IPv6網(wǎng)絡(luò),?!遍Z懷志說,我國是最早開展IPv6應(yīng)用的國家之一,,也在一定程度上參與了國際IPv6標(biāo)準(zhǔn)的制訂工作,。
目前,我國正處于IPv6的大規(guī)模部署和應(yīng)用階段,。因此,,閆懷志建議,要從國家導(dǎo)向,、安全意識(shí),、安全技術(shù)和安全管理等方面多管齊下,構(gòu)建面向IPv6的網(wǎng)絡(luò)空間安全保障體系,。
“對我國來說,,用IPv6的人越來越多,與之相匹配的設(shè)備也越來越多,。IPv4環(huán)境下出現(xiàn)的安全攻擊,,也一定會(huì)出現(xiàn)在IPv6環(huán)境下?!崩詈榱琳f,,IPv6的大規(guī)模部署需要各方面努力,其中運(yùn)營商應(yīng)承擔(dān)更多責(zé)任,,最有效的方法是從資費(fèi)角度引導(dǎo)用戶和內(nèi)容提供商遷移到IPv6環(huán)境下,。
李洪亮認(rèn)為,當(dāng)前的安全防護(hù)設(shè)備,、手段和體系等都集中在IPv4層面,,盡管很多安全設(shè)備的入網(wǎng)許可需要通過IPv6測試,但在IPv6方面投入的精力還很不夠,。他建議,,以區(qū)域或行業(yè)為試點(diǎn)全面部署IPv6充分驗(yàn)證IPv6安全產(chǎn)品的成熟度,。(來源:科技日報(bào))
