七种常见的 IPv6 网络攻击

随着互联网技术得到广泛应用，无论是对于哪一种网络协议，IPv4 也好，IPv6 也好，它都会存在很多的网络安全问题。大规模的网络攻击比较隐秘，而我们很难发现。对于一些具体的攻击，单纯从技术角度来说能够阻止黑客进行攻击。但事实上，当对相关边界安全进行部署的时候，可能会使得系统的运营或者管理引发风险，那么在这个基础上构建的这些应用系统，实际上可能还会存在更多的问题。关于 IPv6 的常见的攻击如下：

1、RH0 攻击

互联网采用基于存储转发的路由协议，对于 IPv6 情况下，网络上所有的节点都要能够对数据包进行存储和转发。转发是基于路由头部的 IPv6 协议信息，IPv6 的首部主要分成两种类型，一种是类型 0，一种是类型 2。类型 0 类似于 IPv4 的源路由。类型 2 主要适用于移动互联网的环境。流量到达目的地之前，转发的协议信息有可能会被用作中间人攻击的一种方式，把数据包发到另外一个恶意地点，或者对数据包进行篡改或放置病毒木马等。

2、分片攻击

为了实现互联网的高性能以及高可靠的数据传输，所有比较大的数据包都会被进行分片再进行传输，就是把大的数据包切成小的数据包。那么每一个数据包可能都包含本层次协议的内容，但是如果包含在本分片里面的这种信息得不到保护，并且不能对所有大的数据包进行完整检测，分片攻击就有可能通过精心构造分别隐含在每一个分片中。而当这些被恶意分散到每一个分片中的攻击到达主机终端的时候，会被重新组装起来，组装以后，这些被分片的恶意代码就会被重新组装成一个完整的代码，从而导致攻击行为发生，造成严重后果。对于 DDoS 这种场景，攻击者还可以采用迫使主机终端等待分片的方式来构造 DDoS。

3、泛洪攻击

泛洪攻击作为正常通信的一种方式，在 IP 地址解析的时候，会发挥比较基础的作用。例如在把 IP 地址解析为 MAC 地址的时候，就会用到 IPv6 的广播方式。这种方式在 IPv4 网络环境下就已经被广泛使用。在广播的这种情况下，通常是使用多播地址等方式对网络进行划分，防止出现广播泛滥的问题。在 IPv6 情况下，虽然不使用广播作为基本的通信方式，但是 IPv6 有比较强的多播特性，而这种多播的地址就有可能被用到泛洪攻击上面。这种攻击对局域网的影响比较大，涉及两种：一种是影响本地局域网；另一种是影响远程的局域网。

这两种泛洪攻击分别叫作 Smurf6 和 Rsmurf6，Smurf6 是正向的方式，主要影响局域网上的主机。Rsmurf6 主要影响远程的主机。对于局域网的主机而言，如果向多播地址发送 ICMPv6 的请求响应包，那么会造成源节点不停响应请求，而这些节点就会受到 DDoS。对 Rsmurf6 而言，由于发送的是针对多播地址的应答包，因此目的局域网成为受害网络。

4、无状态地址自动配置

在 IPv6 环境下，为了方便主机配置，IPv6 设计了一种无状态地址自动配置的机制。这种机制会传输 ICMPv6 的协议信息，主要包括以下内容。

• 路由器的链路地址。

• IPv6 地址的前 64b，即路由器的链路地址。

• 用户对路由器可达性的监测数据，即关联寿命。

• MTU（最大传输单元）。

• 额外表示。

虽然无状态地址自动配置方便管理主机配置，但是这种机制由于没有采用认证，攻击者就可以用这种方式进行欺骗。这个消息如果被攻击者用作路由器伪装攻击者，就可以把路由信息以这种方式发布出去，其他的节点会通过路由转发，把这个数据包发到攻击者的主机。在这种情况下，如果把地址解析到对应的虚假 MAC 地址上，那么所有解析到这些地址的数据包都会丢失。

5、邻居发现问题

IPv6 的 NDP 协议类似于 IPv4 的 ARP 协议，主要用作地址解析，那么在 IPv4 的情况下，这种邻居发现的机制有可能会被利用，例如中间人攻击对数据进行篡改，包括植入病毒木马等，在 IPv6 的情况下，NDP 协议的这种缺陷和 ARP 的攻击是非常类似的。

6、重复地址检测

IPv6 的网络环境下，每一个主机都要对本机地址是否与其他节点地址冲突进行检测，这个在 IPv6 里面叫作重复地址检测（Duplicate Address Detection，DAD）。其中一种方式是当地址发生变化的时候，可以向网络进行通知。还有一种方式，是在自己的地址发生变化的时候还要启动协议，再对地址进行解析，如果出现地址冲突，就收不到这种应答。如果存在，它就不会再使用这个地址进行通信，IP 的攻击类似，由于 NDP 没有经过认证，很容易导致 DDoS。

7、重定向问题

为了优化网络的传输性能以及数据包的传输路径，在 IPv6 的环境下，经常会用到地址的重定向，主要是为了向一台主机说明这里有一条更好的路由可以选择。假设在信息传输的时候，主机使用路由器，但是并没有发现路由器 R1 到对应位置最好的路由。这时，当发送数据时，并且在接收到数据的过程中，会使用默认的路由器，这里并不是路由器 R1。在这个过程中，如果发现了 R1（假设 R1 是更好的路由），我们会将带有最佳路由信息以及发现的情况都重定向发送到主机。这时，主机可以安装更准确的路由，并且在发送数据包到 R1 的过程中，寻找最短路由。而在这个过程中，ICMPv6 的保护机制会防止消息在重定向中被伪造。这个保护过程很简单，就是让消息带有重定向数据包的副本。