在互聯網世界,每台聯網的設備都被分配了一個用於標識和位置定義的 IP 地址。20 世紀 90 年代以來互聯網的快速發展,聯網設備所需的地址遠遠多於可用 IPv4 地址的數量,導致了 IPv4 地址耗盡。因此,協議 IPv6 的開發和部署已經刻不容緩。
IPv6 除了比 IPv4 提供更充沛的 IP 地址數量,還有諸多其他優勢。
更快更安全,一直是互聯網長期的追求。IPv6 是固定報頭,不像 IPv4 那樣攜帶一堆冗長的數據,簡短的報頭有效的提升了網絡數據的轉發效率;安全方面,IPv6 直接集成了 IPSec,在網絡層進行認證與加密數據,為用戶提供端到端的數據安全,保證數據不被劫持。
目前,已經有大部分網站開始引用 IPv6,但是 IPv4 與 IPv6 的設計並不是可互操作的,這使得 IPv4向 IPv6 的過渡變得復雜了許多,這其中也包含了網絡安全領域。
2018 年初,Neustar 宣稱受到了 IPv6 DDoS 攻擊,這是首個對外公開的 IPv6 DDoS 攻擊事件。該攻擊源自大約 1900 種不同的本地 IPv6 主機,在 650 多個不同的網絡針對 Neustar 網絡中的權威 DNS 服務器進行攻擊。一些人稱這是“第一次本機 IPv6 DDoS 攻擊”。雖然這也許並不是第一次,但由此可見,IPv6 時代下對於 DDoS 攻擊的防御已經刻不容緩。
DDoS 攻擊的影響和危害
眾所周知,DDoS 攻擊是黑客利用控制的計算機(肉雞)對一個特定的目標發送盡可能多的網絡訪問請求,形成流量洪流來沖擊目標系統。DDoS 攻擊的危害很大,而且很難防范,可以直接導致網站宕機、服務器癱瘓,造成權威受損、品牌蒙羞、財產流失等巨大損失,嚴重威脅着互聯網信息安全的發展。
在 IPv6 網絡中,對於開發 DDoS 攻擊工具的黑客來說,IPv6 不僅引入了額外的攻擊媒介,而且還增加了攻擊量。因為 IPv4 提供大約 43 億個唯一的 32 位 IP 地址。而 IPv6 則是使用 128 位地址,號稱可以為全球的每一粒沙子都分配一個 IP,這也意味着攻擊者可以利用超過 340 億的 IP 地址,這使得攻擊的危害被放大了無數倍。對於網站管理者來說,在跟蹤和阻斷方面會顯得愈加困難。因為地址的數量無限大,類似 Spamhaus 這樣的操作垃圾郵件黑名單的運營商會意識到:垃圾郵件發送者可以輕松地針對每封郵件使用不同的 IP 地址發起群發垃圾郵件活動。
此外,一些 IPv6 協議的新特性,也可能會被黑客用於 DDoS 攻擊:
-
IPv6 新增 NS/NA/RS/RA,可能會被用於 DDoS 攻擊
-
IPv6 的 NextHeader 新特性同樣有此類風險,比如 Type0 路由頭漏洞,通過精心制造的數據包可以讓一個報文在兩台有漏洞的服務器之間“彈來彈去”,將鏈路帶寬耗盡
-
IPv6 支持無狀態自動配置,同時子網下可能存在非常多可使用的 IP 地址,攻擊者可以便利的發起隨機源 DDoS 攻擊
-
IPv6 采用端到端的分片重組機制,如果服務器存在漏洞,可能會被精心偽造的分片包 DoS 攻擊
IPv6 攻擊不可避免:做好准備
隨着 IPv6 成為企業網絡中越來越大的一部分,基於 IPv6 的攻擊都將會增加。因為 IPv6 節點可以使用易受惡意干擾的鄰居發現協議來發現其他網絡節點,所以網站管理員現在需要熟悉安全鄰居發現協議(SEND)。該協議解決了連接在同一條鏈路上的所有節點之間的互操作問題,可以抵御一些潛在的 IPv6 攻擊技術。
除此之外,還有哪些方法可以抵御 IPv6 協議下的 DDoS 攻擊?
-
重構操作系統來支持 IPv6:這是防御的最佳方法之一。開發出一種系統,可以防止入站和出站的網絡攻擊,以此用來支持 IPv6 網絡以及 IPv6 網絡下的安全防護。
-
流量監控預警系統:目前正是IPv4 與 IPv6 共存時期,流量監控預警系統需要支持 IPv4 和 IPv6,同時檢測雙棧流量,起到監控預警的效果,提前感知異常流量。
-
更強的流量清洗系統:由於 IPv6 的 IP 地址是 IPv4 的 2^96 倍,系統需要支持雙棧,並能自動判斷 IP 類型。因此需要更強大的處理性能才能支持海量 IP 的安全防御和清洗。
-
隨時應對新挑戰:目前傳統的 DDoS 防御算法和模式應隨時做好升級的准備,以便適應 IPv6 下的各種新特性和新挑戰。
IPv6 協議采用速度正在不斷加快,不久的將來會達到臨界點,現在是時候准備網絡防御來處理 IPv6 DDoS 攻擊了。趕快行動起來!