IPv6安全风险以及应对浅析

IPv6安全风险以及应对浅析

孙从俊 宗明

大庆油田设计院有限公司，黑龙江大庆，163000

摘要：IPv6作为网络基础协议的最新版本，相比之前的IPv4在诸多方面都有显著的优势，尤其是安全方面，更是有明显提升。但是这并不代表IPv6就无懈可击，尤其是IPv6所提出的一些新的规则和机制，也会找招致新的安全威胁。对于这些问题，有必要展开深入研究。

关键字：IPv6；安全；风险

一、IPv6的发展现状

随着IPv6的深入部署，其遭受攻击的案例也在不断增加，安全问题开始越来越突出。美国国家漏洞数据库的相关统计，已经表明IPv6的安全性并没有其设计之初构想的那么完美，目前IPv6已经出现的安全漏洞中，有将近一半都是高危漏洞。其固然在保密性和数据完整性等方面，相对于IPv4有着显著提升，但是也遗传了IPv4的诸多安全问题，诸如拒绝服务攻击以及中间人攻击等，都未能得到解决。除此以外IPv6提供的诸多新的服务，包括新的数据包头部格式以及得到大量扩张的地址空间等，在安全层面看也不是无懈可击，同样有着各类安全隐患。

针对于IPv6而言，我国发布了大量的相关文件来推动其深入部署和应用，诸如2017年的《推进互联网协议第 6 版（IPv6）规模部署行动计划》、2020年的《关于开展 2020年 IPv6

端到端贯通能力提升专项行动的通知》以及次年的《关于加快推进互联网协议第 6 版（IPv6）规模部署和应用工作的通知》，都是重点体现。推进IPv6的部署是因为它确实在很多细节上可以满足当前的数据传输需求，但是在推动的整个进程之中，我国对于IPv6的安全问题也做出了诸多考虑。对于IPv6问题而产生的安全技术，则在其应用不断深入的同时也在不断地成熟。

二、IPv6的安全防范

前面已经提出，IPv6的安全问题，一部分是继承了IPv4，即IPv4的安全并未在IPv6体系之下得到解决。而另一部分则是伴随着IPv6自身的属性而产生，本文仅关注这一方面的相关问题。

（1）报头安全

IPv6的报头包括基本报头和扩展报头，两个方面都存在安全风险。对于基本报头而言，IPv6增加了流标签，这是一个用于识别数据包身份和优先级的标签，但是其本身并未定义安全防护机制，因此很容易在传输过程中成为一个攻击点。外部攻击可能会伪造流标签或者利用流标签来隐藏有危害的数据内容。扩展部分同样也会招致安全攻击，例如攻击方可以通过链接多个扩展头部绕过防火墙实现攻击；或者攻击方在数据包的第一个分段之后混入危险内容来规避安全设备的检查；又或者攻击方制造大量的扩展头部来形成对于数据传输网络环境的资源消耗，本质上是一种拒绝服务攻击。

对于这些问题，可以考虑使用均匀随机的流标签或利用散列算法生成流标签不易让攻击节点探测。在针对扩展报头进行安全部署的时候，可以重点加强过滤策略的建设，使其能够尽量识别报头流量特征，更好地实现防御。还可以在转发路径节点上加强分析，用来防御资源消耗性质的攻击。并且考虑到中间设备多专注于数据包的第一分段，而造成攻击方可能会隐藏在后面的问题，还可以在实际工作中加强对于数据包后面的检查。并且将访问控制检查进行扩张，覆盖到路由报头地址，避免出现报头安全问题。

（2）地址安全

IPv6扩张了地址空间，因此可能会出现地址探测和地址配置两种主要的风险类型。其中前者指IPv6过于依赖域名解析，从而可能会导致DNS成为攻击对象。而对于后者来说，进一步分为有状态自动配置和无状态自动配置两种。无状态地址自动配置主要利用ICM Pv6中的路由器请求信息和路由器通告来获取网络前缀等信息，对应的安全风险主要包括欺骗攻击、恶意最后一跳路由器攻击和隐私问题三个方面。而有状态自动配置通过DHC Pv6来获取相关信息，可控性强，也更能清晰地了解主机与地址分配情况。对应的安全问题主要包括私设服务器攻击、消息篡改攻击和拒绝服务攻击。

针对上述的安全问题，提出对应的方案策略。对于地址探测而言，主要是隐藏真实的DNS服务器或者限制对其访问，或者结合云计算等策略来分辨恶意访问。而对于地址配置方面的安全问题，有三个方面的策略可以进行落实。首先是两种地址生成方式的安全防范。密码生成地址提供了消息完整性以及身份等验证机制，能够实现IP伪造攻击的防御；而使用源地址合法性检验，则可以对IPv6地址欺骗风险进行防范。其次，对于使用了DHCPv6地址生成的情况，则可以考虑使用重配置密钥认证协议来抵御，能够实现信息完整性方面的攻击防范。而针对无状态地址自动配置地址生成方式的安全威胁，可以将网络环境中的路由信息和IPv6地址预先存入路由数据库，数据传输过程中通过对比来防范路由器攻击。

（3）ICMPv6安全风险

这一方面的安全风险主要包括错误类消息安全风险、信息类消息安全风险以及PMTU发现安全风险三种。其中错误类消息安全风险是指攻击方将大量不合法数据包送达被攻击节点，最终形成拒绝服务。信息类消息安全分先是指攻击方伪装成被攻击节点向网络中的其他节点发送求救信息，导致被冒充的节点会收到大量帮助消息，从而忙于应答。而PMTU发现安全风险则是指攻击方通过发送大量数据碎片来形成攻击，导致被攻击系统出现缓冲器超载的问题。

在面对这些问题的时候，需要引入入侵检测系统来展开对于流量的识别，同时用IPsec以及路由通告保护技术等祥光防护机制，落实对于信息类消息泛洪攻击以及组播放大攻击的抵御。对于碎片攻击来说，如果不是数据流中的最后一个数据包，则可以考虑将过小的数据包进行直接丢弃。

（4）NDP安全风险

NDP在网络环境中对于发现网络邻居有着积极意义，但是因为其在设计的时候并未引入认证机制，因此必然会导致不可信的问题发生。攻击方就是利用这一点，才能够冒用主机MAC地址，并且通过多种手段来达成攻击目标。具体来说，主要的攻击形态包括重复地址检测攻击、邻居不可达攻击以及欺骗攻击。其中重复地址检测攻击发生在主机启动或者改变其IPv6地址的时候，当邻居发送地址请求的时候，攻击方可以进行应答，表示该地址已经被占用。如果攻击方每次都进行应答，则邻居无法加入网络环境中展开有效通信，通过这种方式会阻碍主机无法获取地址。邻居不可达攻击是指，当某一个节点朝向网络中其他节点发送请求的时候，如果两次都未能得到答复，则对方的地址信息会从该节点的邻居缓存中删除。这个时候如果攻击方冒充对方回复确认消息，则攻击方就可以冒用那个无应答的节点在网络环境中进行通信，同时也在其他节点中备注了错误的地址映射。欺骗攻击则是指因为ICMPv6重定向机制中并未设置认证环节，因此攻击方就有了可乘之机。所谓的ICMP重定向，就是路由器朝向网络中的节点发送实时路由信息，这些节点接收到信息后会依据这些信息对自身节点中的地址备份进行更新。但是如果对不同节点进行攻击，并且向其发送虚假的重定向信息，则会造成整个网络环境的混乱。如果虚假的重定向信息表中的MAC地址地址不存在，则被攻击的节点就无法与其他节点进行通信，从而导致拒绝服务的状态；而如果MAV地址错误，则就会形成重定向攻击，也可以在MAC列表中插入虚假的节点地址，从而帮助攻击方在网络环境中伪装潜伏。

针对这些问题，可以使用安全邻居发现协议（SEND，Secure  Neighbor  Discovery）来进行抵御，该协议能够实现对于NDP消息的保护，使其避免遭受链路层和网络层的安全威胁。但是就目前的网络环境来说，有些终端并不能实现对于SEND的支持，这时候可以考虑采用ND Snooping、DHCP-Snooping 获取用户 IP 地址、MAC、物理端口的对应关系或通过手动绑定表项等方式建立信任表项，过滤非法的 ND 报文，达到保护 ND 协议的效果。

三、结论

总体来说，IPv6并不是坚不可破的网络，同样也有很多安全隐患。实际工作中必须对安全问题保持警惕，合理配置，才能切实提升网络安全水平。