IPv6安全风险凸显，挑战下一代互联网安全保障能力

2018年3月，美国安全厂商 Neustar 发现了业内第一起基于 IPv6 协议的 DDoS 攻击，攻击对象为存储 1900 个 IPv6 地址的 DNS服务器。

攻击的规模算不上惊人，也并没有采用专门针对 IPv6 的攻击方法，然而其来自 IPv6、指向 IPv6 的特性已经足够引起重视与警惕。

此次攻击中，大多数计算设备仍普遍在公共互联网上使用 IPv4 地址。因此，任何运行有 IPv6 网络的用户都需要确保自身的网络安全机制拥有充足的抵御能力，从而对抗与 IPv4 网络具有同等规模的攻击活动。

Neustar的研发负责人巴雷特·莱昂特别指出，“目前的风险在于，如果没能将 IPv6 视为威胁模型当中的组成部分，则很可能无法准确找到攻击根源。”

回到国内，随着 IPv6 网络和业务开始上线，IPv6 网络攻击事件也开始出现，IPv6 网络安全问题相继浮出水面，影响范围也呈现出向各行业领域扩大趋势。

今年3月两会重保期间，知道创宇就拦截到来自IPv6的网络攻击超过8000万次。更有统计数据显示，仅2019年上半年，监测发现的 IPv6 网络攻击超过 9 万起，攻击对象覆盖政府部门、事业单位、教育机构等单位。在针对 283 家政府部门、教育机构、中央企业云托管网站来自 IPv6 网络的攻击中，目录遍历攻击、Web Shell 攻击、SQL 注入等典型 Web攻击超过 90%。

图/中国信通院

尽管 IPv6 相关技术概念早已提出，但直到近年来才开始引起各界的广泛关注和投入，相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段，尚不具备较为完善的安全机制，IPv6 安全漏洞是客观存在的。截止 2019 年 7 月，CVE 漏洞库中已收录 IPv6 相关漏洞 381 条，覆盖系统漏洞、应用漏洞、硬件漏洞、协议漏洞等不同层面。

图/中国信通院

IPv6 带来的潜在安全隐患还在于，某些安全工具仅适用于 IPv4 或者仅提供 IPv4 版本，而后再移植至 IPv6 环境中；许多IPv6网络任务是用软件来实现的，这留下了许多的潜在安全漏洞；而IPv6协议中的数据包报头扩展带来了潜在的、新的攻击途径。

与之对应的，近年来我国各政府部门立足自身职责分工，在政策方面频频发力，出台部门相关政策文件，同步强化各行业领域 IPv6 发展和安全工作部署。而到如今，IPv4地址也已经正式耗尽了，IPv6的部署工作更加迫在眉睫。

我国政府部门IPv6相关政策文件

从未来互联网安全需求看，IPv6 环境下协议类型转变、海量地址空间等特性给安全产品功能提出新的要求。IPv4 向 IPv6网络升级演进是长期、持续的过程，网络安全产品同时支持 IPv4 和IPv6 已经成为其部署应用的关键要素。

知道创宇提供的IPv6安全改造服务，可以帮助网站应用在已有支持IPv4用户访问的基础上，几分钟内快速支持IPv6访客访问。该服务将外部访问IPv6请求转换成为IPv4服务，实现IPv4和IPv6双栈部署，将IPv4与IPv6协议同时转发处理给源站，使系统端到端业务支持IPv4/IPv6双栈，网站无需进行任何改造、不用添加任何硬件设备。

与此同时，知道创宇将IPv6流量转换为IPv4流量，进行防御清洗，将安全流量转发给网站源站，提供安全加速和安全防护能力，保障网站的安全性。并根据IPv6访问态势以及攻击态势，动态调整资源，确保IPv6正常访问。提供跨可用区部署，单个可用区故障时，迅速切换，保障IPv6转换服务的业务连续性。并全面解决IPv6改造中，由于部分外链网站还不支持IPv6导致的“天窗问题”，给用户更好的访问体验。

目前，企业的网络工程师们一般情况下是部署好IPv6网络，之后才来为安全问题而操心，这更是直接导致了IPv6的危机。IPv6的安全挑战是我国下一代互联网建设正面临的客观问题，知道创宇将全力帮助企事业单位和互联网企业积极响应国家号召，抓住发展机遇，提供更安全的互联网服务。