在互联网世界,每台联网的设备都被分配了一个用于标识和位置定义的IP地址。20世纪90年代以来互联网的快速发展,联网设备所需的地址远远多于可用IPv4地址的数量,导致了IPv4地址耗尽。因此,协议IPv6的开发和部署已经刻不容缓。
IPv6除了比IPv4提供更充沛的IP地址数量,还有诸多其他优势。
更快更安全,一直是互联网长期的追求。IPv6是固定报头,不像IPv4那样携带一堆冗长的数据,简短的报头有效的提升了网络数据的转发效率;安全方面,IPv6直接集成了IPSec,在网络层进行认证与加密数据,为用户提供端到端的数据安全,保证数据不被劫持。
目前,已经有大部分网站开始引用IPv6,但是IPv4与IPv6的设计并不是可互操作的,这使得IPv4向IPv6的过渡变得复杂了许多,这其中也包含了网络安全领域。
2018年初,Neustar宣称受到了IPv6DDoS攻击,这是首个对外公开的IPv6DDoS攻击事件。该攻击源自大约1900种不同的本地IPv6主机,在650多个不同的网络针对Neustar网络中的权威DNS服务器进行攻击。一些人称这是“第一次本机IPv6DDoS攻击”。虽然这也许并不是第一次,但由此可见,IPv6时代下对于DDoS攻击的防御已经刻不容缓。
DDoS攻击的影响和危害
众所周知,DDoS攻击是黑客利用控制的计算机(肉鸡)对一个特定的目标发送尽可能多的网络访问请求,形成流量洪流来冲击目标系统。DDoS攻击的危害很大,而且很难防范,可以直接导致网站宕机、服务器瘫痪,造成权威受损、品牌蒙羞、财产流失等巨大损失,严重威胁着互联网信息安全的发展。
在IPv6网络中,对于开发DDoS攻击工具的黑客来说,IPv6不仅引入了额外的攻击媒介,而且还增加了攻击量。因为IPv4提供大约43亿个唯一的32位IP地址。而IPv6则是使用128位地址,号称可以为全球的每一粒沙子都分配一个IP,这也意味着攻击者可以利用超过340亿的IP地址,这使得攻击的危害被放大了无数倍。对于网站管理者来说,在跟踪和阻断方面会显得愈加困难。因为地址的数量无限大,类似Spamhaus这样的操作垃圾邮件黑名单的运营商会意识到:垃圾邮件发送者可以轻松地针对每封邮件使用不同的IP地址发起群发垃圾邮件活动。
此外,一些IPv6协议的新特性,也可能会被黑客用于DDoS攻击:
IPv6新增NS/NA/RS/RA,可能会被用于DDoS攻击
IPv6的NextHeader新特性同样有此类风险,比如Type0路由头漏洞,通过精心制造的数据包可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,将链路带宽耗尽
IPv6支持无状态自动配置,同时子网下可能存在非常多可使用的IP地址,攻击者可以便利的发起随机源DDoS攻击
IPv6采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包DoS攻击
IPv6攻击不可避免:做好准备
随着IPv6成为企业网络中越来越大的一部分,基于IPv6的攻击都将会增加。因为IPv6节点可以使用易受恶意干扰的邻居发现协议来发现其他网络节点,所以网站管理员现在需要熟悉安全邻居发现协议(SEND)。该协议解决了连接在同一条链路上的所有节点之间的互操作问题,可以抵御一些潜在的IPv6攻击技术。
除此之外,还有哪些方法可以抵御IPv6协议下的DDoS攻击?
重构操作系统来支持IPv6:这是防御的最佳方法之一。开发出一种系统,可以防止入站和出站的网络攻击,以此用来支持IPv6网络以及IPv6网络下的安全防护。
流量监控预警系统:目前正是IPv4与IPv6共存时期,流量监控预警系统需要支持IPv4和IPv6,同时检测双栈流量,起到监控预警的效果,提前感知异常流量。
更强的流量清洗系统:由于IPv6的IP地址是IPv4的2^96倍,系统需要支持双栈,并能自动判断IP类型。因此需要更强大的处理性能才能支持海量IP的安全防御和清洗。
随时应对新挑战:目前传统的DDoS防御算法和模式应随时做好升级的准备,以便适应IPv6下的各种新特性和新挑战。
IPv6协议采用速度正在不断加快,不久的将来会达到临界点,现在是时候准备网络防御来处理IPv6DDoS攻击了。赶快行动起来!
快来找又小拍
