50萬年——黑客找到你IPv6地址的時間

相信IPv6的地址數(shù)量優(yōu)勢已為大家熟知，豐沛的地址存量是IPv6被選作新一代網(wǎng)絡承載協(xié)議并逐漸商用部署的根本驅(qū)動力。

然而IPv6協(xié)議相比于IPv4，不僅地址數(shù)量接近無限，還在網(wǎng)絡安全性方面更勝一籌。本文將為您集中介紹IPv6的安全優(yōu)勢 。

可溯源和防攻擊

IPv6的地址空間巨大，當下為了節(jié)省IPv6公網(wǎng)地址而被運營商廣泛使用的NAT技術將不再是必須。IPv6終端之間可以直接建立點對點連接，無需地址轉(zhuǎn)換，因此IPv6地址非常容易溯源。

IPv6地址分為64位的網(wǎng)絡前綴和64位的接口地址。假設攻擊者以每秒掃描100萬個主機的速度掃描，大約50萬年左右才能遍歷一個64位前綴內(nèi)所有的主機地址， 64位的主機地址使得網(wǎng)絡掃描的難度和代價都大大增加，從而進一步防范了攻擊。

64位的主機地址使得網(wǎng)絡掃描的難度和代價都大大增加，從而進一步防范了攻擊。

支持IPSec安全加密機制

IPv6協(xié)議中默認集成了IPSec安全功能，通過擴展認證報頭(AH)和封裝安全載荷報頭(ESP)實現(xiàn)加密和驗證功能。

AH協(xié)議實現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認證功能，ESP在上述功能基礎上增加安全加密功能。集成了IPSec的IPv6協(xié)議真正實現(xiàn)了端到端的安全，中間轉(zhuǎn)發(fā)設備只需要對帶有IPSec擴展包頭的報文進行普通轉(zhuǎn)發(fā)，而不對IPSec擴展包頭進行處理，大大減輕轉(zhuǎn)發(fā)壓力。

NDP和SEND的安全增強

在IPv6協(xié)議中，采用鄰居發(fā)現(xiàn)協(xié)議(NDP)取代現(xiàn)有IPv4中的ARP及部分ICMP控制功能。

NDP協(xié)議通過在節(jié)點之間交換ICMPv6信息報文和差錯報文實現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動配置等功能，并且通過維護鄰居可達狀態(tài)來加強通信的健壯性。NDP協(xié)議獨立于傳輸介質(zhì)，可以更方便地進行功能擴展。

現(xiàn)有的IPv6協(xié)議層加密認證機制可以實現(xiàn)對NDP協(xié)議的保護。IPv6的安全鄰居發(fā)現(xiàn)協(xié)議(SEND)協(xié)議是NDP的一個安全擴展，SEND的目的是提供一種備用機制，通過獨立于IPSec的另一種加密方式保護NDP，保證了傳輸?shù)陌踩浴?/p>

真實源地址驗證體系

真實源IPv6地址驗證體系結(jié)構(gòu)(SAVA)分為接入網(wǎng)(Access Network)、區(qū)域內(nèi)(Intra-AS)和區(qū)域間(Inter-AS)源地址驗證三個層次，從主機IP 地址、IP 地址前綴和自治域三個粒度構(gòu)成多重監(jiān)控防御體系。

該體系不但可以有效阻止仿冒源地址類攻擊，還能夠通過監(jiān)控流量來實現(xiàn)基于真實源地址的計費和網(wǎng)管。

IPv6安全風險仍然存在

與IPv4相比，IPv6在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全風險。IPv6作為網(wǎng)絡層協(xié)議，其他功能層(如應用層漏洞)所引發(fā)的攻擊，IPv6本身并不能解決。

同時，IPv6沿襲了部分IPv4已有的安全風險，在IPv4與IPv6實施的雙棧配置等過渡期機制也可能引入安全風險。同時，IPv6也存在自身獨有的安全漏洞。

由于IPv6協(xié)議提供了可靠的地址驗證與溯源機制，可以在上述攻擊發(fā)生后及時溯源處置，因而實現(xiàn)高效的信息安全治理。

擁有網(wǎng)絡安全意識是保證網(wǎng)絡安全的前提，因此在IPv6部署時就需要樹立良好的安全防范意識。部署時充分利用IPv6自身的安全特性的同時，設定合理的安全部署策略。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！