行業新聞


 

從IPv4到IPv6 安全要跟上技術升級的腳步

日期:2020-07-31 10:23 浏覽次數: 分類:行業新聞 來源:鄭州冰川網絡技術有限公

  近日,據媒體報道,有IT專家稱發現了首例基于IPv6的分布式拒絕服務(DDoS)攻擊,來自1900個IPv6地址背後的計算機設備向目标域名服務器發起進攻。

  “這隻是新一輪網絡破壞活動的開始。”有互聯網工程師如是警告。

  當前,由于全球聯網設備總量迅速攀升,現有基于IPv4協議的全球互聯網面臨網絡地址消耗殆盡、服務質量難以保證等制約。IPv6能提供充足的網絡地址和廣闊的創新空間,這意味着有更多的設備可以接入互聯網,因此業界對IPv6呼聲頗高。

  然而,正當全球各國積極部署IPv6之時,針對它的攻擊也悄然而至。

  那麼,IPv6存在哪些技術缺陷?我國又該如何将其補足?

  2012年就曾出現過類似攻擊

  偶然間,網絡專家韋斯利·喬治注意到了一些奇怪的流量,這是針對一台域名服務器發動的大規模攻擊的一部分,企圖讓服務器不堪重負。喬治供職于美國Neustar公司的SiteProtectDDoS保護服務部門,他當時正在收集惡意流量的數據包,并立即意識到“這些數據包源自IPv6地址并指向IPv6主機”。

  此次事件,國内很多報道将其稱為首例針對IPv6的“拒絕服務攻擊”。

  “其實這并不是首例拒絕服務攻擊,更談不上是首例基于IPv6的攻擊了。”4月8日,北京理工大學軟件安全研究所副所長闫懷志在接受科技日報記者采訪時說。

  闫懷志介紹,早在2012年2月,美國信息安全公司ArborNetworks就在年度研究報告中稱:“出現了針對IPv6的DDoS攻擊,這是攻擊者和防禦者之間‘軍備競賽’的一個重要裡程碑,針對IPv6的DDoS攻擊将會越來越常見。”當時,有4%的受訪者就表示,他們曾見過IPv6網絡遭到這類攻擊。

  對此,360安全專家李洪亮也表示,嚴格來說這不能算是基于IPv6的首例攻擊,隻是目前已知的基于IPv6的最大規模分布式拒絕服務攻擊。“當然,随着IPv6的資源越來越多,攻擊也會越來越多。”他說。

  DDoS攻擊瞄準域名服務器

  “從描述信息看,這是一次普通的流量型DDoS攻擊,IP地址數量并不是很多。與其他流量型攻擊不同的是,它發生在IPv6環境。”李洪亮說。

  闫懷志表示,拒絕服務攻擊(DoS)是一種較為常見且危害巨大的攻擊方式。這種攻擊通常采用消耗網絡帶寬等方式,以求讓目标信息系統無法正常提供服務。

  而分布式拒絕服務是拒絕服務攻擊的高級形式,它通常借助客戶/服務器技術,将多台計算機聯合起來形成多級攻擊平台,實現對一個或多個目标的拒絕服務攻擊,這種方式成倍提高了拒絕服務攻擊的威力。

  在分布式拒絕服務攻擊中,大量計算機同時訪問目标服務器,導緻服務器的流量劇增,從而無法正常提供服務。

  域名服務器是本次攻擊的目标,它主要負責将域名轉換成與之相對應的IP地址。闫懷志認為,此次網絡專家發現的異常流量,就是指向域名服務器,意在摧毀其正常解析能力。

  “這種攻擊方式并非隻針對IPv6,隻不過是來自IPv6、指向IPv6而已。”闫懷志說。

  的确,也有專家表示,此次攻擊并未采用專門針對IPv6的攻擊方法。但由于其來自IPv6并指向IPv6,引起安全人員的高度重視。

  新協議也存在諸多隐患

  “應當承認,IPv6協議與IPv4相比,在保密性、完整性、抗抵賴性、可認證性等安全性方面有了很大的改進。但從來沒有絕對的安全,IPv6協議也不例外,也存在諸多安全隐患。”闫懷志說。

  具體來講,首先,IPv6與IPv4的伴生和過渡所采用的雙協議棧、隧道和地址轉換等技術,給網絡安全防護設置了更高難度。其次,IPv6協議為提升自身安全性而采取的安全機制,如被攻擊者惡意利用,就會給安全識别和檢測帶來更大困難。

  也有專家表示,多數IPv6網絡存在于軟件而非硬件中,這意味着其可能隐藏更多安全漏洞。另外,某些緩解工具僅适用于IPv4或僅提供IPv4版本,而後再移植至IPv6。

  如同互聯網沒有國界一樣,網絡空間的安全問題也沒有國界,我國也不例外。

  “國内的不法分子會針對IPv6網絡發起攻擊,國外敵對勢力更會将矛頭對準我國的IPv6網絡。”闫懷志說,我國是最早開展IPv6應用的國家之一,也在一定程度上參與了國際IPv6标準的制訂工作。

  目前,我國正處于IPv6的大規模部署和應用階段。因此,闫懷志建議,要從國家導向、安全意識、安全技術和安全管理等方面多管齊下,構建面向IPv6的網絡空間安全保障體系。

  “對我國來說,用IPv6的人越來越多,與之相匹配的設備也越來越多。IPv4環境下出現的安全攻擊,也一定會出現在IPv6環境下。”李洪亮說,IPv6的大規模部署需要各方面努力,其中運營商應承擔更多責任,最有效的方法是從資費角度引導用戶和内容提供商遷移到IPv6環境下。

  李洪亮認為,當前的安全防護設備、手段和體系等都集中在IPv4層面,盡管很多安全設備的入網許可需要通過IPv6測試,但在IPv6方面投入的精力還很不夠。他建議,以區域或行業為試點全面部署IPv6充分驗證IPv6安全産品的成熟度。

中文字幕不卡一二三四区乱码视频在线观看