近日，據媒體報道，有IT專家稱發現了首例基於IPv6的分布式拒絕服務（DDoS）攻擊，來自1900個IPv6地址背后的計算機設備向目標域名服務器發起進攻。

　　“這只是新一輪網絡破壞活動的開始。”有互聯網工程師如是警告。

　　當前，由於全球聯網設備總量迅速攀升，現有基於IPv4協議的全球互聯網面臨網絡地址消耗殆盡、服務質量難以保証等制約。IPv６能提供充足的網絡地址和廣闊的創新空間，這意味著有更多的設備可以接入互聯網，因此業界對IPv6呼聲頗高。

　　然而，正當全球各國積極部署IPv6之時，針對它的攻擊也悄然而至。

　　那麼，IPv6存在哪些技術缺陷？我國又該如何將其補足？

　　2012年就曾出現過類似攻擊

　　偶然間，網絡專家韋斯利·喬治注意到了一些奇怪的流量，這是針對一台域名服務器發動的大規模攻擊的一部分，企圖讓服務器不堪重負。喬治供職於美國Neustar公司的SiteProtect DDoS保護服務部門，他當時正在收集惡意流量的數據包，並立即意識到“這些數據包源自IPv6地址並指向IPv6主機”。

　　此次事件，國內很多報道將其稱為首例針對IPv6的“拒絕服務攻擊”。

　　“其實這並不是首例拒絕服務攻擊，更談不上是首例基於IPv6的攻擊了。”4月8日，北京理工大學軟件安全研究所副所長閆懷志在接受科技日報記者採訪時說。

　　閆懷志介紹，早在2012年2月，美國信息安全公司Arbor Networks就在年度研究報告中稱：“出現了針對IPv6的DDoS攻擊，這是攻擊者和防御者之間‘軍備競賽’的一個重要裡程碑，針對IPv6的DDoS攻擊將會越來越常見。”當時，有4%的受訪者就表示，他們曾見過IPv6網絡遭到這類攻擊。

　　對此，360安全專家李洪亮也表示，嚴格來說這不能算是基於IPv6的首例攻擊,只是目前已知的基於IPv6的最大規模分布式拒絕服務攻擊。“當然，隨著IPv6的資源越來越多，攻擊也會越來越多。”他說。

　　DDoS攻擊瞄准域名服務器

　　“從描述信息看，這是一次普通的流量型DDoS攻擊，IP地址數量並不是很多。與其他流量型攻擊不同的是，它發生在IPv6環境。”李洪亮說。

　　閆懷志表示，拒絕服務攻擊（DoS）是一種較為常見且危害巨大的攻擊方式。這種攻擊通常採用消耗網絡帶寬等方式，以求讓目標信息系統無法正常提供服務。

　　而分布式拒絕服務是拒絕服務攻擊的高級形式，它通常借助客戶/服務器技術，將多台計算機聯合起來形成多級攻擊平台，實現對一個或多個目標的拒絕服務攻擊，這種方式成倍提高了拒絕服務攻擊的威力。

　　在分布式拒絕服務攻擊中，大量計算機同時訪問目標服務器，導致服務器的流量劇增，從而無法正常提供服務。

　　域名服務器是本次攻擊的目標，它主要負責將域名轉換成與之相對應的IP地址。閆懷志認為，此次網絡專家發現的異常流量，就是指向域名服務器，意在摧毀其正常解析能力。

　　“這種攻擊方式並非隻針對IPv6，隻不過是來自 IPv6、指向 IPv6而已。”閆懷志說。

　　的確，也有專家表示，此次攻擊並未採用專門針對IPv6的攻擊方法。但由於其來自 IPv6並指向IPv6，引起安全人員的高度重視。

　　新協議也存在諸多隱患

　　“應當承認，IPv6協議與IPv4相比，在保密性、完整性、抗抵賴性、可認証性等安全性方面有了很大的改進。但從來沒有絕對的安全，IPv6協議也不例外，也存在諸多安全隱患。”閆懷志說。

　　具體來講，首先，IPv6與IPv4的伴生和過渡所採用的雙協議棧、隧道和地址轉換等技術，給網絡安全防護設置了更高難度。其次，IPv6協議為提升自身安全性而採取的安全機制，如被攻擊者惡意利用，就會給安全識別和檢測帶來更大困難。

　　也有專家表示，多數IPv6網絡存在於軟件而非硬件中，這意味著其可能隱藏更多安全漏洞。另外，某些緩解工具僅適用於IPv4或僅提供IPv4版本，而后再移植至IPv6。

　　如同互聯網沒有國界一樣，網絡空間的安全問題也沒有國界，我國也不例外。

　　“國內的不法分子會針對IPv6網絡發起攻擊，國外敵對勢力更會將矛頭對准我國的IPv6網絡。”閆懷志說，我國是最早開展IPv6應用的國家之一，也在一定程度上參與了國際IPv6標准的制訂工作。

　　目前，我國正處於IPv6的大規模部署和應用階段。因此，閆懷志建議，要從國家導向、安全意識、安全技術和安全管理等方面多管齊下，構建面向IPv6的網絡空間安全保障體系。

　　“對我國來說，用IPv6的人越來越多，與之相匹配的設備也越來越多。IPv4環境下出現的安全攻擊，也一定會出現在IPv6環境下。”李洪亮說，IPv6的大規模部署需要各方面努力，其中運營商應承擔更多責任，最有效的方法是從資費角度引導用戶和內容提供商遷移到IPv6環境下。

　　李洪亮認為，當前的安全防護設備、手段和體系等都集中在IPv4層面，盡管很多安全設備的入網許可需要通過IPv6測試，但在IPv6方面投入的精力還很不夠。他建議，以區域或行業為試點全面部署IPv6充分驗証IPv6安全產品的成熟度。

分享讓更多人看到