写点什么

50 万年——黑客找到你 IPv6 地址的时间

作者:国科云
  • 2024-07-29
    北京
  • 本文字数:1230 字

    阅读完需:约 4 分钟

相信 IPv6 的地址数量优势已为大家熟知,丰沛的地址存量是 IPv6 被选作新一代网络承载协议并逐渐商用部署的根本驱动力。

然而IPv6协议相比于 IPv4,不仅地址数量接近无限,还在网络安全性方面更胜一筹。本文将为您集中介绍 IPv6 的安全优势。

可溯源和防攻击

IPv6 的地址空间巨大,当下为了节省 IPv6 公网地址而被运营商广泛使用的 NAT 技术将不再是必须。IPv6 终端之间可以直接建立点对点连接,无需地址转换,因此 IPv6 地址非常容易溯源。

IPv6 地址分为 64 位的网络前缀和 64 位的接口地址。一个 64 位的前缀地址支持 64 位的主机数量,攻击者无法扫描一个 IPv6 网段内所有可能的主机。假设攻击者以每秒扫描 100 万个主机的速度扫描,大约 50 万年左右才能遍历一个 64 位前缀内所有的主机地址,64 位的主机地址使得网络扫描的难度和代价都大大增加,从而进一步防范了攻击。

64 位的主机地址使得网络扫描的难度和代价都大大增加,从而进一步防范了攻击。

支持 IPSec 安全加密机制

IPv6 协议中默认集成了 IPSec 安全功能,通过扩展认证报头(AH)和封装安全载荷报头(ESP)实现加密和验证功能。

AH 协议实现数据完整性和数据源身份认证功能,ESP 在上述功能基础上增加安全加密功能。集成了 IPSec 的 IPv6 协议真正实现了端到端的安全,中间转发设备只需要对带有 IPSec 扩展包头的报文进行普通转发,而不对 IPSec 扩展包头进行处理,大大减轻转发压力。

NDP 和 SEND 的安全增强

在 IPv6 协议中,采用邻居发现协议(NDP)取代现有 IPv4 中的 ARP 及部分 ICMP 控制功能。

NDP 协议通过在节点之间交换 ICMPv6 信息报文和差错报文实现链路层地址及路由发现、地址自动配置等功能,并且通过维护邻居可达状态来加强通信的健壮性。NDP 协议独立于传输介质,可以更方便地进行功能扩展。

现有的 IPv6 协议层加密认证机制可以实现对 NDP 协议的保护。IPv6 的安全邻居发现协议(SEND)协议是 NDP 的一个安全扩展,SEND 的目的是提供一种备用机制,通过独立于 IPSec 的另一种加密方式保护 NDP,保证了传输的安全性。

真实源地址验证体系

真实源 IPv6 地址验证体系结构(SAVA)分为接入网(Access Network)、区域内(Intra-AS)和区域间(Inter-AS)源地址验证三个层次,从主机 IP 地址、IP 地址前缀和自治域三个粒度构成多重监控防御体系。

该体系不但可以有效阻止仿冒源地址类攻击,还能够通过监控流量来实现基于真实源地址的计费和网管。

IPv6 安全风险仍然存在

与 IPv4 相比,IPv6 在安全性方面进行了预先设计和充分考虑,但仍然存在一些难以解决的安全风险。IPv6 作为网络层协议,其他功能层(如应用层漏洞)所引发的攻击,IPv6 本身并不能解决。

同时,IPv6 沿袭了部分 IPv4 已有的安全风险,在 IPv4 与 IPv6 实施的双栈配置等过渡期机制也可能引入安全风险。同时,IPv6 也存在自身独有的安全漏洞。

由于 IPv6 协议提供了可靠的地址验证与溯源机制,可以在上述攻击发生后及时溯源处置,因而实现高效的信息安全治理。

拥有网络安全意识是保证网络安全的前提,因此在 IPv6 部署时就需要树立良好的安全防范意识。部署时充分利用 IPv6 自身的安全特性的同时,设定合理的安全部署策略。

用户头像

国科云

关注

还未添加个人签名 2021-01-07 加入

还未添加个人简介

评论

发布
暂无评论
50万年——黑客找到你IPv6地址的时间_国科云_InfoQ写作社区