IPv6無法解決全部安全問題

在今年6月份的ipv6 day期間，google,facebook,yahoo!,akamai以及limelight

networks等公司均通過ipv6網路發布內容，並進行了為期24小時的ipv6測試。

ad：本文**51cto

在今年6月份的ipv6 day期間，google,facebook,yahoo!,akamai以及limelight

networks等公司均通過ipv6網路發布內容，並進行了為期24小時的ipv6測試。

ipv6

day的目的

為了鼓勵企業，網際網路服務**商，硬體裝置廠商，作業系統廠商以及網路公司為ipv6服務做好準備，確保ipv4網路向ipv6網路過渡的順利進行。

ipv6無法解決全部安全問題

ipv6解決了很多ipv4難以解決的安全問題，但是同時它又引進了新的安全風險。其中乙個常被人質疑的是，全部網路裝置都將擁有自己的可被路由到的ipv6

位址，這將使得這些裝置都暴露在網際網路的複雜環境下。

降低隱私能見度

如果所有網路裝置都可以通過網際網路訪問，那麼個人使用者就很容易通過網路被追蹤。這個問題很早就被維吉尼亞理工大學的研究團隊發現了，他們在較早前的乙份報告中解釋說：預設的位址系統如果採用ipv6，在自動配置位址的情況下，第三方將可以通過簡單的指令，諸如ping以及trace

route 等在全球範圍追蹤和監視目標使用者。同時使用者傳送資料的接受方資訊，也會被第三方監視者獲取。

該研究團隊還發現，如果採用預設的ipv6位址方案，裝置的mac位址也將暴露在網際網路環境中。於是他們開發了一種防禦方案，叫做moving

target ipv6 defense (mt6d)。該方案可以提供以下功能：

主機之間通過網際網路進行通訊時，對於定位，跟蹤和資料流截獲等都保持匿名狀態。

這是乙個很重要的工作，該研究團隊的stephen groat, matthew dunlop, william urbanski,

randolph marchany, 和joseph

tront為這項方案申請了專利，並且為此獲得了2023年美國全國安全創新競賽的第三名。

為了讓廣大讀者更好的了解mt6d，我們有必要通過團隊的成員來了解一下他們的具體工作。以下是該團隊成員接受採訪時的記錄：

記者提問:

你們的研究報告提到，在使用ipv6的無狀態位址自動配置功能時，隱私洩漏問題就凸現出來了。你能解釋一下什麼是無狀態位址自動配置功能，還有這個功能為什麼會影響使用者隱私的安全性?

research team: 無狀態位址自動配置

(slaac)是採用ipv6協議的主機自己配置網路位址的一種方式。主機自己配置ip位址，可以減少網路管理者的管理負擔。這與ipv4網路環境中使用的dhcp方式有所改變。

使用slaac的問題在於，不論主機是否連線子網，它的位址或介面id(iid)都是相同的。而預設的位址體系也就是64位擴充套件唯一標識(eui64)是採用mac位址作為iid的。這樣做的結果就是，攻擊者擁有了子網列表以及主機的mac位址，就可以從世界任何位置對該主機展開攻擊。

記者提問: 據說微軟在新版本作業系統中使用了隱私擴充套件技術來隱藏主機的部分mac位址，這樣做是不是就夠了?

research team:

隱私擴充套件技術可以算是一種改進，但是只能保護客戶端系統，而伺服器系統仍然處於威脅中。因為隱私擴充套件技術不能頻繁的變化位址來防止網路攻擊，對於**伺服器或企業vpn伺服器這樣需要全天候開通並且保持固定ip位址的系統來說，並沒有什麼防護效果。

這樣的系統還是容易被鎖定和攻擊。另外，隱私擴充套件技術主要應用於web通訊，其他應用領域，諸如voip，vpn等，都無法在隱私擴充套件模式下工作。

windows系統下應用的隱私擴充套件還需要依賴於另乙個ipv6位址進行鄰居發現，本地dns以及其它相關功能。而這個位址必須是靜態的，並且能夠被其它主機獲取。如果黑客獲取了該位址，同樣可以用來進一步攻擊目標主機。

記者提問:

你們的團隊給出的方案是通過mt6d來提高隱私安全性，在這個系統中，傳送方和接收方的ip位址都是動態變化的。這是怎麼實現的呢?

research team:

動態變化的位址可以保護隱私，使得通訊雙方實現匿名和安全的通訊。我們的技術有些類似於跳頻技術。當現實中兩台主機在ipv6網路中通訊時，攻擊者攔截到的是多個獨立主機位址的配對。攻擊者無法得知其中哪個位址配對才是真正的通訊雙方，也無法簡單的對某個位址進行攻擊。

記者提問: mt6d 同時還會將資訊流加密，那是否意味著ipsec就該退休了?

research team:

mt6d可以被看做是乙個增強型的ipsec。ipsec可以對網路資料流進行加密，但是需要固定ip位址。如果主機或閘道器上配備了ipsec

，那麼攻擊者就可以通過發起拒絕服務攻擊的方式對主機或閘道器進行攻擊。

mt6d提供了網路層加密以及動態位址。和ipsec一樣，攻擊者無法對通過mt6d封裝的資料報進行偵聽，同時，攻擊者也無法鎖定主機位址，因此無法發動拒絕服務攻擊。

記者提問:

research team:

記者提問:

**裡提到mt6d的設計是為了阻止特定的網路攻擊。那麼這個特定的網路攻擊是什麼呢?是否因為這個攻擊的特點才使用了動態位址呢?

research team:

mt6d可以防止多種針對某個位址發動的網路攻擊，比如拒絕服務攻擊，同時也可以對應用層攻擊進行防護。這都是通過對通訊雙方主機ip位址進行動態模糊來實現的。由於ipv6網路位址數量相當龐大，理論上黑客是不可能通過範圍掃瞄來定位主機的。

就算黑客獲知了目標主機的ip位址，其所能攻擊的時間也僅限於主機位址再次進行變換之前。

記者提問: **裡還提到，維吉尼亞理工大學是進行ipv6應用的乙個最佳地點，為什麼這麼說呢?

research team:

維吉尼亞理工大學是美國全境內少數幾個完全支援ipv6協議的網路環境。實際上，它是美國最大規模的校園ipv6網路，包含了大約3萬個網路節點。這種規模能夠支援我們進行mt6d的現實環境測試。

記者提問: 聽說mt6d也可以用於ipv4 網路。這有可能嗎?還是說它首先會應用於ipv6網路。

research team: 雖然mt6d的概念也適用於ipv4網路，但是還是存在兩個問題。首先，

ipv4的子網規模太小，攻擊者可以在幾分鐘內將整個子網掃瞄一遍，這使得黑客鎖定目標主機變得更加容易了。其次，ipv4已經沒有足夠多的可用位址用來進行位址變換了，如果採用mt6d很容易出現位址衝突。

ipv6的子網是64位的，這意味著整個ipv4**空間都可以放在乙個ipv6子網中，所占用的位址空間還不及總空間的四十億分之一。目前來看對這樣大範圍的子網進行詳細掃瞄還不太可能完成。

同樣，由於ipv6擁有足夠大的位址空間，位址變換時出現位址衝突的可能性就非常小了。因此mt6d最好還是在ipv6環境中使用。

總結

由此看來，儘管在ipv6環境中，我們的電腦都將直接面對網際網路，但是mt6d卻能夠幫助我們保護隱私，消除很多潛在的被攻擊風險。

IPv6無法解決全部安全問題

《IPv6安全》第1章 IPv6安全引言

《IPv6安全》導讀

《IPv6安全》 2 5 小結

IPv6無法解決全部安全問題

《IPv6安全》 第1章 IPv6安全引言

《IPv6安全》 導讀

《IPv6安全》 2 5 小結

相關推薦

《IPv6安全》第1章 IPv6安全引言

《IPv6安全》導讀