阿里云優(yōu)惠券 先領(lǐng)券再下單

50萬年——黑客找到你IPv6地址的時間

相信IPv6的地址數(shù)量優(yōu)勢已為大家熟知，豐沛的地址存量是IPv6被選作新一代網(wǎng)絡(luò)承載協(xié)議并逐漸商用部署的根本驅(qū)動力。

然而IPv6協(xié)議相比于IPv4，不僅地址數(shù)量接近無限，還在網(wǎng)絡(luò)安全性方面更勝一籌。本文將為您集中介紹IPv6的安全優(yōu)勢 。

可溯源和防攻擊

IPv6的地址空間巨大，當(dāng)下為了節(jié)省IPv6公網(wǎng)地址而被運(yùn)營商廣泛使用的NAT技術(shù)將不再是必須。IPv6終端之間可以直接建立點(diǎn)對點(diǎn)連接，無需地址轉(zhuǎn)換，因此IPv6地址非常容易溯源。

IPv6地址分為64位的網(wǎng)絡(luò)前綴和64位的接口地址。假設(shè)攻擊者以每秒掃描100萬個主機(jī)的速度掃描，大約50萬年左右才能遍歷一個64位前綴內(nèi)所有的主機(jī)地址， 64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價都大大增加，從而進(jìn)一步防范了攻擊。

64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價都大大增加，從而進(jìn)一步防范了攻擊。

支持IPSec安全加密機(jī)制

IPv6協(xié)議中默認(rèn)集成了IPSec安全功能，通過擴(kuò)展認(rèn)證報頭(AH)和封裝安全載荷報頭(ESP)實(shí)現(xiàn)加密和驗(yàn)證功能。

AH協(xié)議實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證功能，ESP在上述功能基礎(chǔ)上增加安全加密功能。集成了IPSec的IPv6協(xié)議真正實(shí)現(xiàn)了端到端的安全，中間轉(zhuǎn)發(fā)設(shè)備只需要對帶有IPSec擴(kuò)展包頭的報文進(jìn)行普通轉(zhuǎn)發(fā)，而不對IPSec擴(kuò)展包頭進(jìn)行處理，大大減輕轉(zhuǎn)發(fā)壓力。

NDP和SEND的安全增強(qiáng)

在IPv6協(xié)議中，采用鄰居發(fā)現(xiàn)協(xié)議(NDP)取代現(xiàn)有IPv4中的ARP及部分ICMP控制功能。

NDP協(xié)議通過在節(jié)點(diǎn)之間交換ICMPv6信息報文和差錯報文實(shí)現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動配置等功能，并且通過維護(hù)鄰居可達(dá)狀態(tài)來加強(qiáng)通信的健壯性。NDP協(xié)議獨(dú)立于傳輸介質(zhì)，可以更方便地進(jìn)行功能擴(kuò)展。

現(xiàn)有的IPv6協(xié)議層加密認(rèn)證機(jī)制可以實(shí)現(xiàn)對NDP協(xié)議的保護(hù)。IPv6的安全鄰居發(fā)現(xiàn)協(xié)議(SEND)協(xié)議是NDP的一個安全擴(kuò)展，SEND的目的是提供一種備用機(jī)制，通過獨(dú)立于IPSec的另一種加密方式保護(hù)NDP，保證了傳輸?shù)陌踩浴?/p>

真實(shí)源地址驗(yàn)證體系

真實(shí)源IPv6地址驗(yàn)證體系結(jié)構(gòu)(SAVA)分為接入網(wǎng)(Access Network)、區(qū)域內(nèi)(Intra-AS)和區(qū)域間(Inter-AS)源地址驗(yàn)證三個層次，從主機(jī)IP 地址、IP 地址前綴和自治域三個粒度構(gòu)成多重監(jiān)控防御體系。

該體系不但可以有效阻止仿冒源地址類攻擊，還能夠通過監(jiān)控流量來實(shí)現(xiàn)基于真實(shí)源地址的計費(fèi)和網(wǎng)管。

IPv6安全風(fēng)險仍然存在

與IPv4相比，IPv6在安全性方面進(jìn)行了預(yù)先設(shè)計和充分考慮，但仍然存在一些難以解決的安全風(fēng)險。IPv6作為網(wǎng)絡(luò)層協(xié)議，其他功能層(如應(yīng)用層漏洞)所引發(fā)的攻擊，IPv6本身并不能解決。

同時，IPv6沿襲了部分IPv4已有的安全風(fēng)險，在IPv4與IPv6實(shí)施的雙棧配置等過渡期機(jī)制也可能引入安全風(fēng)險。同時，IPv6也存在自身獨(dú)有的安全漏洞。

由于IPv6協(xié)議提供了可靠的地址驗(yàn)證與溯源機(jī)制，可以在上述攻擊發(fā)生后及時溯源處置，因而實(shí)現(xiàn)高效的信息安全治理。

擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的前提，因此在IPv6部署時就需要樹立良好的安全防范意識。部署時充分利用IPv6自身的安全特性的同時，設(shè)定合理的安全部署策略。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！