IPv6对网络安全的改进与挑战.docVIP

IPv6对网络安全的改进与挑战 谷 耀 摘要：本文从IPv4地址资源紧缺引发的安全问题出发，论述了IPv6协议对网络安全的多项改进，以及IPv6协议引入后带来的新的安全问题，并指出由IPv4向 IPv6转移可能出现的安全漏洞及相应对策。 关键词：IPv6，网络安全，IP协议 IPv4地址资源匮乏引发的安全问题 由于我国IPv4地址资源严重不足，除了采用CIDR、VLSM和技术网络地址对路由信息加密和认证的安全保证在两端主机上对数据包进行IPSec封装，中间路由器实现对有IPSec扩展头的IPv6数据包进行透传，端到端的。Neighbor dicovery）动态收集相邻网络信息，包括本地网络参数、IPv6地址到MAC地址的解析、路由复位及相邻节点状态等，替代了ARP和RARP，帮助节点从目的IP地址中确定本地节点（即邻居）的链路层地址，可有效减轻“广播风暴”等的不利影响。 地址重复检测机制（DAD：Duplicate Address Detection）检测和确定节点想使用的IP地址是否已经在网络中配置使用，如果已被占用，则拒绝为该节点网络接口赋予该地址，而另行指派地址，解决安全引导（boot-strap）问题。 4．源路由检查 出于安全性和多业务的考虑，许多核心路由器需要开启反向路由检测功能，防止源路由篡改和攻击。 5．防止未授权访问 IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。 6．域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础，有助于抵御网上的身份伪装与偷窃。而采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议，能进一步增强目前针对DNS新的攻击方式的防护（例如：“网络钓鱼（Phishing）”攻击、“DNS中毒（DNS poisoning）”攻击）。这些攻击会控制DNS服务器，将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外，专家认为，如果能争取在我国建立IPv6域名系统根服务器，对于我国的信息安全很有必要和十分重要。 7．灵活的扩展报头 一个完整的IPv6的数据包可包括多种扩展报头：逐个路程段选项报头，目的选项报头，路由报头，分段报头，身份认证报头，有效载荷安全封装报头，最终目的报头。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。 8．网络扫描与病毒蠕虫传播 当病毒和蠕虫在感染了一台主机之后，就开始对其他主机进行随机扫描，在扫描到其他有问题的主机后，会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速（如Nimdar病毒在4、5分钟内感染了上百万台计算机）。但这种传播方式因为IPv6的地址空间的巨大变得不适用了，病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。 9．网络放大攻击（Broadcast Amplication Attacks）IPv6认为MTU小于1280字节的数据包是非法的,处理时会丢弃MTU小于1280字节的数据包（除非它是最后一个包），有利于防止碎片攻击。 由此看来，IPv6协议确实比IPv4的安全性有所改进。IPv4中常见的一些攻击方式，将在IPv6网络中失效，例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题，在IPv6中仍会继续继续，只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。 三、IPv6引入后带来的新的安全问题 IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题： 1．拒绝服务攻击（DoS）：由于IPSec加密/解密需要大量的计算开销，若攻击者向目标主机发送大量随意的加密数据包，就有可能造成被攻击主机消耗大量的资源来检验这些垃圾数据包，无法响应其他网络用户的服务请求，造成目标主机停止服务。 此外，IPv6中的组播（Multicast）地址定义方式也会给攻击者带来一些机会。例如，IPv6地址FF05::2是所有的路由器，FF05::5是所有的DHCP服务器，如果向这类地址发IPv6数据包，这个数据包就会到达网络中所有的路由器或DHCP服务器，所以可能会出现一些专门针对这些网络设备的拒绝服务攻击。 2．包过滤式防火墙：由于IPSec实现端到端的加密，并能够采用多种加密算法，且密钥不公开，防火墙无法解密IP数据包，也就无从知道TCP/UDP协议端口号，因此导致包过滤式防火墙无法根据访问控制规则ACL正常工作。 3．入侵检测系统（IDS）：通过加密通道的攻击目前尚不多见，但随着IPv6的普