IPv6安全性問題

現實Internet上的各種攻擊、黑客、網絡蠕蟲病毒弄得網民人人自危，每天上網開了實時防病毒程序還不夠，還要繼續使用個人防火墻，打開實時防木馬程序才敢上網沖浪。諸多人把這些都歸咎于IPv4網絡?，F在IPv6來了，它設計的時候充分研究了以前IPv4的各種問題，在安全性上得到了大大的提高。但是是不是IPv6就沒有安全問題了？答案是否定的。

　　目前，病毒和互聯網蠕蟲是最讓人頭疼的網絡攻擊行為。但這種傳播方式在IPv6的網絡中就不再適用了，因為IPv6的地址空間實在是太大了，如果這些病毒或者蠕蟲還想通過掃描地址段的方式來找到有可乘之機的其他主機，就猶如大海撈針。在IPv6的世界中，對IPv6網絡進行類似IPv4的按照IP地址段進行網絡偵察是不可能了。

　　所以，在IPv6的世界里，病毒、互聯網蠕蟲的傳播將變得非常困難。但是，基于應用層的病毒和互聯網蠕蟲是一定會存在的，電子郵件的病毒還是會繼續傳播。此外，還需要注意IPv6網絡中的關鍵主機的安全。IPv6中的組發地址定義方式給攻擊者帶來了一些機會。例如，IPv6地址FF05::3是所有的DHCP服務器，就是說，如果向這個地址發布一個IPv6報文，這個報文可以到達網絡中所有的DHCP服務器，所以可能會出現一些專門攻擊這些服務器的拒絕服務攻擊。

　　另外，不管是IPv4還是IPv6，都需要使用DNS，IPv6網絡中的DNS服務器就是一個容易被黑客看中的關鍵主機。也就是說，雖然無法對整個網絡進行系統的網絡偵察，但在每個IPv6的網絡中，總有那么幾臺主機是大家都知道網絡名字的，也可以對這些主機進行攻擊。而且，因為IPv6的地址空間實在是太大了，很多IPv6的網絡都會使用動態的DNS服務。而如果攻擊者可以攻占這臺動態DNS服務器，就可以得到大量的在線IPv6的主機地址。另外，因為IPv6的地址是128位，很不好記，網絡管理員可能會常常使用一下好記的IPv6地址，這些好記的IPv6地址可能會被編輯成一個類似字典的東西，病毒找到IPv6主機的可能性小，但猜到IPv6主機的可能性會大一些。而且由于IPv6和IPv4要共存相當長一段時間，很多網絡管理員會把IPv4的地址放到IPv6地址的后32位中，黑客也可能按照這個方法來猜測可能的在線IPv6地址。所以，對于關鍵主機的安全需要特別重視，不然黑客就會從這里入手從而進入整個網絡。所以，網絡管理員在對主機賦予IPv6地址時，不應該使用好記的地址，也要盡量對自己網絡中的IPv6地址進行隨機化，這樣會在很大程度上減少這些主機被黑客發現的機會。

　　以下這些網絡攻擊技術，不管是在IPv4還是在IPv6的網絡中都存在，需要引起高度的重視：報文偵聽，雖然IPv6提供了IPSEC最為保護報文的工具，但由于公匙和密匙的問題，在沒有配置IPsec的情況下，偷看IPv6的報文仍然是可能的；應用層的攻擊，顯而易見，任何針對應用層，如WEB服務器，數據庫服務器等的攻擊都將仍然有效；中間人攻擊，雖然IPv6提供了IPsec，還是有可能會遭到中間人的攻擊，所以應盡量使用正常的模式來交換密匙；洪水攻擊，不論在IPv4還是在IPv6的網絡中，向被攻擊的主機發布大量的網絡流量的攻擊將是會一直存在的，雖然在IPv6中，追溯攻擊的源頭要比在IPv4中容易一些。

原文轉自：http://www.anti-gravitydesign.com