IPv6 時代如何防護 DDoS 攻擊？

在互聯網世界，每臺聯網的設備都被分配了一個用於標識和位置定義的 IP 地址。20 世紀 90 年代以來互聯網的快速發展，聯網設備所需的地址遠遠多於可用 IPv4 地址的數量，致使了 IPv4 地址耗盡。所以，協議 IPv6 的開發和部署已經刻不容緩。

IPv6 除了比 IPv4 提供更充沛的 IP 地址數量，還有諸多其餘優點。

更快更安全，一直是互聯網長期的追求。IPv6 是固定報頭，不像 IPv4 那樣攜帶一堆冗長的數據，簡短的報頭有效的提高了網絡數據的轉發效率；安全方面，IPv6 直接集成了 IPSec，在網絡層進行認證與加密數據，爲用戶提供端到端的數據安全，保證數據不被劫持。

目前，已經有大部分網站開始引用 IPv6，可是 IPv4 與 IPv6 的設計並非可互操做的，這使得 IPv4向 IPv6 的過渡變得複雜了許多，這其中也包含了網絡安全領域。

2018 年初，Neustar 宣稱受到了 IPv6 DDoS 攻擊，這是首個對外公開的 IPv6 DDoS 攻擊事件。該攻擊源自大約 1900 種不一樣的本地 IPv6 主機，在 650 多個不一樣的網絡針對 Neustar 網絡中的權威 DNS 服務器進行攻擊。一些人稱這是「第一次本機 IPv6 DDoS 攻擊」。雖然這也許並非第一次，但因而可知，IPv6 時代下對於 DDoS 攻擊的防護已經刻不容緩。

DDoS 攻擊的影響和危害

衆所周知，DDoS 攻擊是黑客利用控制的計算機（肉雞）對一個特定的目標發送儘量多的網絡訪問請求，造成流量洪流來衝擊目標系統。DDoS 攻擊的危害很大，並且很難防範，能夠直接致使網站宕機、服務器癱瘓，形成權威受損、品牌蒙羞、財產流失等巨大損失，嚴重威脅着互聯網信息安全的發展。

在 IPv6 網絡中，對於開發 DDoS 攻擊工具的黑客來講，IPv6 不只引入了額外的攻擊媒介，並且還增長了攻擊量。由於 IPv4 提供大約 43 億個惟一的 32 位 IP 地址。而 IPv6 則是使用 128 位地址，號稱能夠爲全球的每一粒沙子都分配一個 IP，這也意味着攻擊者能夠利用超過 340 億的 IP 地址，這使得攻擊的危害被放大了無數倍。對於網站管理者來講，在跟蹤和阻斷方面會顯得越發困難。由於地址的數量無限大，相似 Spamhaus 這樣的操做垃圾郵件黑名單的運營商會意識到：垃圾郵件發送者能夠輕鬆地針對每封郵件使用不一樣的 IP 地址發起羣發垃圾郵件活動。

此外，一些 IPv6 協議的新特性，也可能會被黑客用於 DDoS 攻擊：

• IPv6 新增 NS/NA/RS/RA，可能會被用於 DDoS 攻擊
• IPv6 的 NextHeader 新特性一樣有此類風險，好比 Type0 路由頭漏洞，經過精心製造的數據包可讓一個報文在兩臺有漏洞的服務器之間「彈來彈去」，將鏈路帶寬耗盡
• IPv6 支持無狀態自動配置，同時子網下可能存在很是多可以使用的 IP 地址，攻擊者能夠便利的發起隨機源 DDoS 攻擊
• IPv6 採用端到端的分片重組機制，若是服務器存在漏洞，可能會被精心僞造的分片包 DoS 攻擊

IPv6 攻擊不可避免：作好準備

隨着 IPv6 成爲企業網絡中愈來愈大的一部分，基於 IPv6 的攻擊都將會增長。由於 IPv6 節點可使用易受惡意干擾的鄰居發現協議來發現其餘網絡節點，因此網站管理員如今須要熟悉安全鄰居發現協議（SEND）。該協議解決了鏈接在同一條鏈路上的全部節點之間的互操做問題，能夠抵禦一些潛在的 IPv6 攻擊技術。

除此以外，還有哪些方法能夠抵禦 IPv6 協議下的 DDoS 攻擊？

• 重構操做系統來支持 IPv6：這是防護的最佳方法之一。開發出一種系統，能夠防止入站和出站的網絡攻擊，以此用來支持 IPv6 網絡以及 IPv6 網絡下的安全防禦。
• 流量監控預警系統：目前正是IPv4 與 IPv6 共存時期，流量監控預警系統須要支持 IPv4 和 IPv6，同時檢測雙棧流量，起到監控預警的效果，提早感知異常流量。
• 更強的流量清洗系統：因爲 IPv6 的 IP 地址是 IPv4 的 2^96 倍，系統須要支持雙棧，並能自動判斷 IP 類型。所以須要更強大的處理性能才能支持海量 IP 的安全防護和清洗。
• 隨時應對新挑戰：目前傳統的 DDoS 防護算法和模式應隨時作好升級的準備，以便適應 IPv6 下的各類新特性和新挑戰。

IPv6 協議採用速度正在不斷加快，不久的未來會達到臨界點，如今是時候準備網絡防護來處理 IPv6 DDoS 攻擊了。趕快行動起來！

推薦閱讀

你們都在說的雲安全，究竟是怎麼回事？

全球 43 億 IPv4 地址已耗盡！IPv6，刻不容緩