亲宝软件园·资讯

展开

IPv6 时代如何防御 DDoS 攻击?

又拍云 人气:2
在互联网世界,每台联网的设备都被分配了一个用于标识和位置定义的 IP 地址。20 世纪 90 年代以来互联网的快速发展,联网设备所需的地址远远多于可用 IPv4 地址的数量,导致了 IPv4 地址耗尽。因此,协议 IPv6 的开发和部署已经刻不容缓。 IPv6 除了比 IPv4 提供更充沛的 IP 地址数量,还有诸多其他优势。 更快更安全,一直是互联网长期的追求。IPv6 是固定报头,不像 IPv4 那样携带一堆冗长的数据,简短的报头有效的提升了网络数据的转发效率;安全方面,IPv6 直接集成了 IPSec,在网络层进行认证与加密数据,为用户提供端到端的数据安全,保证数据不被劫持。 目前,已经有大部分网站开始引用 IPv6,但是 IPv4 与 IPv6 的设计并不是可互操作的,这使得 IPv4向 IPv6 的过渡变得复杂了许多,这其中也包含了网络安全领域。 ![](https://upload-images.jianshu.io/upload_images/80097-ca60df2b47bbab42.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240) 2018 年初,Neustar 宣称受到了 IPv6 DDoS 攻击,这是首个对外公开的 IPv6 DDoS 攻击事件。该攻击源自大约 1900 种不同的本地 IPv6 主机,在 650 多个不同的网络针对 Neustar 网络中的权威 DNS 服务器进行攻击。一些人称这是“第一次本机 IPv6 DDoS 攻击”。虽然这也许并不是第一次,但由此可见,IPv6 时代下对于 DDoS 攻击的防御已经刻不容缓。 ## DDoS 攻击的影响和危害 众所周知,DDoS 攻击是黑客利用控制的计算机(肉鸡)对一个特定的目标发送尽可能多的网络访问请求,形成流量洪流来冲击目标系统。DDoS 攻击的危害很大,而且很难防范,可以直接导致网站宕机、服务器瘫痪,造成权威受损、品牌蒙羞、财产流失等巨大损失,严重威胁着互联网信息安全的发展。 在 IPv6 网络中,对于开发 DDoS 攻击工具的黑客来说,IPv6 不仅引入了额外的攻击媒介,而且还增加了攻击量。因为 IPv4 提供大约 43 亿个唯一的 32 位 IP 地址。而 IPv6 则是使用 128 位地址,号称可以为全球的每一粒沙子都分配一个 IP,这也意味着攻击者可以利用超过 340 亿的 IP 地址,这使得攻击的危害被放大了无数倍。对于网站管理者来说,在跟踪和阻断方面会显得愈加困难。因为地址的数量无限大,类似 Spamhaus 这样的操作垃圾邮件黑名单的运营商会意识到:垃圾邮件发送者可以轻松地针对每封邮件使用不同的 IP 地址发起群发垃圾邮件活动。 ![](https://upload-images.jianshu.io/upload_images/80097-eb2b7f511e6684a1.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240) 此外,一些 IPv6 协议的新特性,也可能会被黑客用于 DDoS 攻击: - IPv6 新增 NS/NA/RS/RA,可能会被用于 DDoS 攻击 - IPv6 的 NextHeader 新特性同样有此类风险,比如 Type0 路由头漏洞,通过精心制造的数据包可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,将链路带宽耗尽 - IPv6 支持无状态自动配置,同时子网下可能存在非常多可使用的 IP 地址,攻击者可以便利的发起随机源 DDoS 攻击 - IPv6 采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包 DoS 攻击 ## IPv6 攻击不可避免:做好准备 随着 IPv6 成为企业网络中越来越大的一部分,基于 IPv6 的攻击都将会增加。因为 IPv6 节点可以使用易受恶意干扰的邻居发现协议来发现其他网络节点,所以网站管理员现在需要熟悉安全邻居发现协议(SEND)。该协议解决了连接在同一条链路上的所有节点之间的互操作问题,可以抵御一些潜在的 IPv6 攻击技术。 ![](https://upload-images.jianshu.io/upload_images/80097-e40bcc43d5dfc0c2.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240) 除此之外,还有哪些方法可以抵御 IPv6 协议下的 DDoS 攻击? - 重构操作系统来支持 IPv6:这是防御的最佳方法之一。开发出一种系统,可以防止入站和出站的网络攻击,以此用来支持 IPv6 网络以及 IPv6 网络下的安全防护。 - 流量监控预警系统:目前正是IPv4 与 IPv6 共存时期,流量监控预警系统需要支持 IPv4 和 IPv6,同时检测双栈流量,起到监控预警的效果,提前感知异常流量。 - 更强的流量清洗系统:由于 IPv6 的 IP 地址是 IPv4 的 2^96 倍,系统需要支持双栈,并能自动判断 IP 类型。因此需要更强大的处理性能才能支持海量 IP 的安全防御和清洗。 - 随时应对新挑战:目前传统的 DDoS 防御算法和模式应随时做好升级的准备,以便适应 IPv6 下的各种新特性和新挑战。 IPv6 协议采用速度正在不断加快,不久的将来会达到临界点,现在是时候准备网络防御来处理 IPv6 DDoS 攻击了。赶快行动起来! ###### 推荐阅读 [大家都在说的云安全,到底是怎么回事?](https://www.upyun.com/tech/article/526/%E5%A4%A7%E5%AE%B6%E9%83%BD%E5%9C%A8%E8%AF%B4%E7%9A%84%E4%BA%91%E5%AE%89%E5%85%A8%EF%BC%8C%E5%88%B0%E5%BA%95%E6%98%AF%E6%80%8E%E4%B9%88%E5%9B%9E%E4%BA%8B%EF%BC%9F.html) [全球 43 亿 IPv4 地址已耗尽!IPv6,刻不容缓](https://www.upyun.com/tech/article/500/%E5%85%A8%E7%90%83%2043%20%E4%BA%BF%20IPv4%20%E5%9C%B0%E5%9D%80%E5%B7%B2%E8%80%97%E5%B0%BD%EF%BC%81IPv6%EF%BC%8C%E5%88%BB%E4%B8%8D%E5%AE%B9%E7%BC%93.html)

加载全部内容

相关教程
猜你喜欢
用户评论