IPv6中有哪些安全设计？能否逐一描述一下？

IPv6中有哪些安全设计？

IPv6基于它的极大IP地址空间以及对应的协议栈安全设计，可以缓解IPv4网络所面临的扫描泛滥、攻击不可追查、易于遭受DDoS、IP Spoofing等攻击。

1) 实现IP地址管理与源地址检查，解决IPv4下地址不可靠的问题

IPv6在协议层面提供了源路由检查功能，可根据需要开启反向路由检测功能，防止源路由篡改和对应攻击，如IPv6提供CGA等将地址与用户证书绑定的地址验证机制，可以避免IP地址伪造带来的安全问题。由于IPv6协议下地址的分配使用严格受控、难以进行地址伪造、易于进行点对点溯源，IPv6可以解决IPv4下基于IP地址伪造的各种攻击，攻击活动更易被追查。

2) 消除IPv4下针对复杂IP报文头的攻击

IPv6数据包头由基本头不同类型的扩展报头组成，扩展头包括：逐个路程段选项报头、目的选项报头、路由报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。基本头和扩展头功能明确，固定长度，不允许分片，解决了IPv4下针对包头的碎片攻击。

3) 防范基于IPv4广播机制的网络放大攻击

对于类似Smurf这样的攻击类型，在RFC2463中已经有禁止机制阻止此类攻击的发生。ICMPv6在设计上不会响应组播地址和广播地址的消息，不存在广播，只需要在网络边缘过滤组播数据包，即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。

4) 防止已知的碎片攻击

IPv6对于碎片机制具有严格的限制如IPv6规定MTU小于1280字节的数据包是非法的，处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包)，这有助于防止碎片攻击；IPv6对IPv4下的分片ID 的生成机制进行了安全性约束，使得分片ID不能被攻击者预测，从而使得攻击者通过预测Fragment ID，发送伪造的碎片报文以发动攻击的方法在IPv6下不再有效。

5) 可有效抵御网络蠕虫攻击

基于网络扫描的传播方式在IPv4环境下普遍而且非常迅速，当前典型的基于随机扫描的算法可以在30分钟内扫描整个IPv4网络。但这种基于地址穷举的蠕虫传播方式会因为IPv6网段地址空间的无穷巨大而变得不再适用，完成对2的64次方（IPv6子网地址空间）地址的扫描需要花费数亿年。病毒及网络蠕虫通过盲扫描和随机选择IP地址的方式在IPv6的网络中传播将会变得很困难

6) 对DNS域名服务网络关键基础设施的安全性提供扩展

基于IPv6的DNS系统可作为PKI系统的基础设施，有助于PKI架构在IP网络中的部署，可抵御网上的身份伪装与偷窃。DNSv6中定义了DNS安全扩展协议，提供认证和完整性保障，能有效应对网络钓鱼攻击、DNS中毒等攻击，避免域名被篡改。

7) IPsec提供网络层安全通信保障机制

根据RFC4301中的定义，IPsec是IPv6协议中的一个可选部分。IPsec在IPv6中的用途，主要是保证IPsec协议栈自身的安全性，使得IPsec协议可以为诸如OSPFv3、RIPng提供无缝的加密和认证，提高 整个IPv6网络抗攻击的能力。

8) 在IPv6下提供NPT代替IPv4下的NAT，避免基于NAT后的不可溯源

对于需要在IPv6下隐藏内网地址的用户，可以使用IPv6 Network Prefix Translation协议（RFC6296）隐藏内部IPv6地址。IPv6 NPT技术限制了原本在IPv4 NAT中1：N的地址翻译，只允许1:1的地址隐藏。NPT协议可以保证外部非授权用户无法直接对真实IPv6地址建立连接，同时避免IPv4下传统NAT阻断网络端到端的连通性、使IP溯源困难而产生的安全隐患。