IPv6 常见安全问题

IPv6 技术虽然在保密性、完整性等方面有了较大的改进，但有些方面仍然面临着和 IPv4 同样的安全问题。这里简单介绍 IPv6 常见的安全问题，并适当地与 IPv4 安全进行比较。

1、嗅探侦测

嗅探侦测虽不能对网络安全造成直接的影响，却是各种攻击入侵的第一步。在 IPv4 环境中，攻击者很容易在较短时间内通过各种手段（如黑客工具等）扫描出目标主机和目标端口，原因就是 IPv4 地址空间相对较小。而 IPv6 地址空间太大，盲目地扫描一个网段所消耗的时间会非常多，从这方面讲，IPv6 要比 IPv4 安全。但在实际应用中，攻击人员并不一定进行大范围扫描，而是借助 DNS 来解析出特定服务器的 IPv6 地址。也有一些 IPv6 服务器在配置 IPv6 地址时，为了便于记忆，其 64 位接口 ID 往往只使用很简单的几位或者使用兼容的 IPv4 地址，这样也容易被快速扫描到。网络系统管理员平时也要注意细节，尽量不使用易记的 IPv6 地址，同时还要做好 DNS 的系统安全工作，及时修补系统漏洞，并尽量使用 IPSec，以减少因嗅探侦测而带来的进一步危害。

2、应用层攻击

当今多数的网络攻击和威胁针对的是应用层而非 IP 层，所以在应用层攻击方面，IPv6 面临的安全问题和 IPv4 是完全一样的。针对诸如 SQL 注入、跨站脚本攻击、主页篡改等威胁，都要有相应的 Web 应用防火墙（Web Application Firewall，WAF）来实施防护，前提是 WAF 能识别出 IPv6 上的应用。

3、DoS 攻击

拒绝服务（Daniel of Service，DoS）攻击以及分布式 DoS 攻击在 IPv6 中依然存在。这种攻击通过伪造看似合法的访问来消耗网络带宽或系统资源，从而达到阻止正常服务被访问的目的。针对 DoS 攻击，一般只能部署专业的且能识别并屏蔽非法访问的专用设备，以减轻或避免该攻击带来的危害。

4、路由协议攻击

路由协议攻击主要是指在网络中冒充路由设备发送路由协议报文，以干扰正常的路由协议，从而达到非法入侵等目的。在 IPv4 中有相应的防范办法，主要是在路由更新报文中加入 MD5 认证，防止非法的路由欺诈设备接入网络中。在 IPv6 中情况则有了一些变化：BGP 和 IS-IS 路由协议继续沿用 IPv4 的 MD5 认证，而 OSPFv3 和 RIPng 则建议采用 IPSec。

5、过渡技术带来的安全隐患

在 IPv4 向 IPv6 过渡期间，即在 IPv4 和 IPv6 并存的网络环境中，各种各样的过渡技术层出不穷，但很多过渡技术都只考虑了功能的实现，对安全的考虑有所欠缺。同时在过渡期间，不可避免地会出现各种复杂的网络结构，新的安全隐患也难以完全避免。

6、IPv6 自身协议的缺陷

设计 IPv6 的初衷就是创建一个全新的 IP 层协议，而不是在 IPv4 的基础上修修补补。IPv6 的一个重要特征就是“即插即用”，但在计算机网络领域，易用性和安全性存在一定程度的对立，只能在两者之间寻找一个可以接受的平衡点。从目前已知的情况来看，无状态自动配置、邻居发现协议等都存在被欺诈或“中间人”攻击的隐患。当然，IPv6 也在不断完善，这些因协议自身缺陷所导致的安全问题也越来越受到重视并加以修正。

7、非法访问

非法访问即未经授权的访问。在网络中，总是会对访问者的身份进行确认后才开放相应的访问权限。一般来说，服务器会设置自身开放的服务端口，以及设置允许访问的客户端 IP 范围，以尽可能达到防止非法访问的目的。

8、扩展报头可能带来的安全问题

IPv6 定义了基本报头和多种类型的扩展报头，虽然这提升了处理效率，但可能存在一些安全问题。比如攻击者可构造多个连续无用的路由扩展报头，由此导致防火墙等安全设备难以找到有效的 TCP/UDP 报头，甚至会导致资源耗尽、内存溢出。所以在一般情况下，建议在 IPv6 中禁止逐跳路由报头、路由报头（类似于 IPv4 的源路由）等扩展报头。