前国内的网络正在快速的向IPv6升级中,从网络基础设施如运营商骨干网、城域网,到互联网服务商如各类云服务,以及各类终端设备厂商如手机、电脑、路由器、交换机等,均在向IPv6网络的升级改造中。根据国家相关部门的计划,2019年要基本全面实现IPv6的支持。
那么什么是IPv6,有哪些特点,对网络安全有何影响,又将如何应对等等,关于IPv6的种种疑惑,本文将一一为大家做出阐述!
IPv6是英文“Internet Protocol Version 6”(互联网协议第6版)的缩写,是用于替代IPv4的下一代IP协议,也就是下一代互联网的协议,其地址数量号称可以为全世界的每一粒沙子编上一个地址。
IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。其128位地址格式将以其在IP地址数量、安全性、移动性、服务质量等方面的巨大优势,改变现代信息生活。
互联网数字分配机构(IANA)在2016年已向国际互联网工程任务组(IETF)提出建议,要求新制定的国际互联网标准只支持IPv6,不再兼容IPv4。
IPv6 在解决了 IPv4 的地址匮乏问题的同时,还在许多方面实现了优化改进,主要包括以下五点:
主要从微观技术角度来加以说明
一、IPv4 安全威胁延续
1、报文监听
IPv6中可使用IPSec对其网络层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的。
2、应用层攻击
IPv4网络中应用层可实施的攻击在IPv6网络下依然可行,比如SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等应用层的防御不受网络层协议变化的影响。
3、中间人攻击
启用IPSec对数据进行认证与加密操作前需要建立SA,通常情况下动态SA的建立通过密钥交换协议IKE、IKEv2实现,由DH(Diffie-Hellman)算法对IKE密钥载荷交换进行安全保障[1],然而DH密钥交换并未对通信双方的身份进行验证,因此可能遭受中间人攻击。
4、泛洪攻击
在IPv4与IPv6中,向目标主机发送大量网络流量依旧是有效的攻击方式,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃。
5、分片攻击
在IPv6中,中间节点不可以对分段数据包进行处理,只有端系统可以对IP数据包进行分分段与重组,因此攻击者可能借助该性质构造恶意数据包。
6、路由攻击
在IPv6下,由于部分路由协议并未发生变化,因此路由攻击依旧可行。
7、地址欺骗
IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行。IPv6 引入的安全隐患
二、Pv6扩展首部威胁
1、逐跳选项报头
安全威胁:可利用逐跳选项报头发送大量包含路由提示选项的IPv6数据包,包含有路由提示选项的数据包要求所有路由器对该数据包进行处理并仔细查看该数据包的报头信息[3],当攻击者发送大量此类IPv6数据包时,将消耗链路上路由器大量资源,严重可造成DoS攻击。
应对方式:应当限制路由器对包含路由提示选项的数据包的处理数量。
2、目的选项报头
安全威胁:移动IPv6协议的数据通信以明文进行传输,因此其本身便是不安全的,攻击者可对MIPv6数据包进行嗅探进而识别其通信节点、转交地址、家乡地址、家乡代理等信息,并利用这些信息伪造数据包。攻击者可通过拦截类型为消息绑定更新的数据包,修改绑定关系中的转交地址。此外,移动节点标识符选项揭示了用户的家乡从属关系,攻击者可利用该选项确定用户身份,锁定特定的攻击对象。
应对方式:可尝试开启IPSec保证数据包不会被窃听。
3、 路由报头
安全威胁:在RH0路由类型(即type 0)下,攻击者可利用路由报头选项伪装成合法用户接收返回的数据包。同时,RH0提供了一种流量放大机制,攻击者可利用该类型进行拒绝服务攻击。
应对方式:应当尽快更新安全设备并升级至最新的IPv6协议版本,同时对所有的RH0数据包进行丢弃。
4、分段报头
安全威胁:如若将关键的报头信息切分在多个片段中,安全防护设备对关键信息进行提取与检测处理会耗费大量资源,构造大量该类数据包可能对目标主机造成DoS攻击。攻击者可向节点发送大量不完整的分段集合,强迫节点等待片段集合的最后片段,节点在超时时间内由于只接收到部分IPv6片段进而无法完成重组,最终只能将数据包丢弃,在超时等待期间,会造成存储资源的消耗。
应对方式:防火墙应该丢弃除最后分段外所有小于1280字节的所有分段。Cisco ASA防火墙的FragGuard功能可以将所有的分片组装并进行整个数据包检查用以确定是否存在丢失的分段或重叠分段。
三、协议威胁
1、 ICMPv6协议
安全威胁:可通过向组播地址FF02::1发送Echo Request报文,通过接收Echo Reply报文实现本地链路扫描,或以目标节点作为源地址向组播地址FF02 :: 1发送ICMPv6 EchoRequest消息实现Smurf攻击。可通过向目标节点发送ICMPv6 Packet too big报文,减小接收节点的MTU,降低传输速率。可通过向目标节点发送过多的ICMPv6包以及发送错误消息,导致会话被丢弃,从而破坏已建立的通信,实现DoS攻击。可通过向主机发送格式不正确的消息刺激主机对ICMPv6的响应,从而通发现潜在的攻击目标。
应对方式:可在交换机的每个物理端口设置流量限制,将超出流量限制的数据包丢弃。或在防火墙或边界路由器上启动ICMPv6数据包过滤机制,也可配置路由器拒绝转发带有组播地址的ICMPv6 EchoRequest报文。可尝试关闭PMTU发现机制,但其会影响到网络数据的传输速率。
2、邻居发现协议(NDP)
安全威胁
中间人攻击:由于NDP协议基于可信网络因此并不具备认证功能,因此可通过伪造ICMPv6 NA/RA报文实现中间人攻击。攻击者可以伪造NA报文,将自己的链路层地址并启用覆盖标志(O)作为链路上其他主机的地址进行广播。攻击者可伪造RA报文发送至目标节点修改其默认网关。
重复地址检测攻击:当目标节点向FF02 :: 16所有节点发送NS数据包进行重复地址检测时,攻击者可向该节点发送NA报文进行响应,并表明该地址已被自己使用。当节点接收到该地址已被占用消息后重新生成新的IPv6地址并再一次进行重复地址检测时,攻击者可继续进行NA响应实现DoS攻击。
泛洪攻击:攻击者可伪造不同网络前缀RA消息对FF02 :: 1进行进行泛洪攻击,接收节点将会根据不同的网络前缀进行更新,从而消耗大量的CPU资源。
应对方式
安全邻居发现(SEND)[7]协议是邻居发现协议中的一个安全扩展,其工作原理为使网络中每个IPv6节点都有一对公私钥以及多个邻居扩展选项。采用SEND协议后,各个节点的接口标识符(IPv6地址低64比特)将基于当前的IPv6网络前缀与公钥进行计算产生,而不能由各个节点自行选择。安全邻居发现协议通过时间戳和Nonce选项抵御重放攻击,并引入了CGA(密码生成地址)与RSA签名对数据源进行验证以解决邻居请求/邻居通告欺骗的问题。SEND虽然可以解决一定的安全问题,但目前系统与设备对SEND的支持十分有限。
RFC7113提出了IPv6安全RA方案RA-Guard[8],其通过阻断非信任端口RA报文转发来避免恶意RA可能带来的威胁,在攻击包实际到达目标节点之前阻塞二层设备上的攻击数据包。
使用访问控制列表或空路由过滤对地址空间中未分配的部分的访问,用以防止攻击者迫使路由解析未使用的地址。
3、DHCPv6
安全威胁
地址池耗尽攻击
攻击者可以伪装为大量的DHCPv6客户端,向DHCPv6服务器请求大量的IPv6地址,耗光IPv6地址池。
拒绝服务攻击
攻击者可向DHCPv6服务器发送大量的SOLICIT消息,强制服务器在一定时间内维持一个状态,致使服务器CPU与文件系统产生巨大负担,直至无法正常工作。
伪造DHCPv6服务器
攻击者可伪造成DHCPv6服务器向目标客户端发送伪造的ADVERTISE与REPLY报文,在伪造报文中携带虚假的默认网关、DNS服务器等信息,以此实现重定向攻击。
应对方式
对客户端所有发送到FF02::1:2(所有DHCPv6中继代理与服务器)和FF05::1:3(所有DHCPv6服务器)的消息数量进行速率限制。
DHCPv6中内置了认证机制,认证机制中的RKAP协议[9]可以对伪造DHCPv6服务器的攻击行为提供防范。
四、IPv6 对安全硬件的影响
1、 防火墙
IPv6报头的影响
针对IPv6报文,防火墙必须对IPv6基本报头与所有的扩展首部进行解析,才能获取传输层与应用层的信息,从而确定当前数据报是否应该被允许通过或是被丢弃。由于过滤策略相比IPv4更加复杂,在一定程度上将加剧防火墙的负担,影响防火墙的性能。
IPSec的影响
如若在IPv6数据包中启用加密选项,负载数据将进行加密处理,由于包过滤型防火墙无法对负载数据进行解密,无法获取TCP与UDP端口号,因此包过滤型防火墙无法判断是否可以将当前数据包放行。
由于地址转换技术(NAT)和IPSec在功能上不匹配,因此很难穿越地址转换型防火墙利用IPSec进行通信。
2、IDS&IPS
面对IPv6数据包,倘若启用了加密选项,IDS与IPS则无法对加密数据进行提取与分析,无法通过报文分析获取TCP、UDP信息,进而无法对网络层进行全面的安全防护。即便只允许流量启用AH认证报头,但认证报头内部具有可变长度字段ICV,因此检测引擎并不能准确地定位开始内容检查的位置。
五、 过渡技术的安全性
1、双栈技术
倘若双栈主机不具备IPv6网络下的安全防护,而攻击者与双栈主机存在邻接关系时,则可以通过包含IPv6前缀的路由通告应答的方式激活双栈主机的IPv6地址的初始化,进而实施攻击。
2、隧道技术
3、翻译技术
利用翻译技术实现IPv4-IPv6网络互联互通时,需要对报文的IP层及传输层的相关信息进行改动,因此可能会对端到端的安全产生影响,导致IPSec的三层安全隧道在翻译设备处出现断点。(以上研究来源于狴犴安全团队)
从地址配置角度看:
IETF 已经意识到 IPV6地址的确存在泄露设备和用户隐私的风险,随后推出了一系列隐私保护方案,从技术和标准的角度规避了上述隐私泄露的风险。然而,考虑到上述隐私保护协议在 2017 年刚刚完成,不排除有些设备仍然采用了较低的配置方式,那么这种风险的确是存在的,因而在实施层面,也的确会因为隐私保护协议的缺失带来隐私泄漏的风险。
从应用角度看:
IPv6 巨大的地址空间和自动化的地址配置方式为以物联网和移动互联网等海量设备实时在线、端到端互联的应用场景提供了良好的支撑,同时便于溯源管理。当然,IPv6 的灵活配置和永远在线特点也存在应用层面的安全风险。
从全球层面看:
IPv6 的部署和应用已经进入加速发展的阶段。目前,已有超过 100 个国家和地区部署了 IPv6 网络,有 317 个网络运营商提供基于 IPv6 的接入服务。截至 2018 年 7 月,全球 IPv6 用户总数超过 5.59 亿,显然IPv6 已经成为下一阶段互联网发展的全球共识。
从网络空间格局的力量博弈看:
第一,发达国家在这一场新的竞赛中并未懈怠,特别是美国作为互联网的起源地,仍然是 IPv6部署和应用的领头羊。
第二,发展中国家和不发达国家可以把握机遇,提升本国的互联网基础设施建设。特别是对那些尚未获得 IPv4 地址资源的发展中国家和不发达国家而言,更充足的地址资源可以为提高互联网接入和普及率,发展互联网产业及推动数字经济的可持续发展提供必要的保障。
第三,主要大国在 IPv6 相关领域和全球市场的竞争博弈将更趋激烈。
对于《IPv6网络安全白皮书》,中国信通院副院长王志勤从深化IPv6安全风险认识、梳理IPv6安全工作现状、分析IPv6安全客观挑战、提出IPv6安全发展建议等方面对白皮书的四大亮点进行了分析解读。
1、随着我国下一代互联网建设的稳步推进,IPv6网络和业务环境逐步成熟,针对IPv6网络和业务系统的攻击,以及攻击源为IPv6地址的网络攻击等相关攻击事件逐渐出现,IPv6网络安全漏洞也开始浮出水面。IPv6安全风险开始显现,对下一代互联网演进提出同步安全保障要求。
2、目前我国下一代互联网建设安全保障协同工作局面已经打开。一是政府部门贯彻落实国家战略计划,加强IPv6安全工作部署;二是产、学、研、用高度协作,加快IPv6安全科研布局,强化IPv6安全技术储备;三是推动IPv6安全实践,深化IPv6安全技术指导创新。
3、在我国下一代互联网建设进程中,安全客观挑战依然严峻。一是IPv4/IPv6长期并存,过渡机制持续叠加安全风险;二是IPv6协议新特性挑战既有安全手段,融合场景安全风险持续放大;三是IPv6网络安全保障能力和需求存在差距,供求“剪刀差”亟需弥合。
4、IPv6安全挑战和机遇并存的局面已经形成,应高度重视下一代互联网演进升级中面临的安全挑战,协同推进IPv6安全产品和服务的研发应用,为筑牢下一代互联网安全防线提供能力保障,加快夯实下一代互联网安全防御基础,切实保障下一代互联网安全、有序发展。
专家观点
一、IPv6是海量地址提供溯源手段
北京大学互联网发展研究中心主任田丽:
网络安全和信息安全问题在互联网时代更加凸显,大数据收集和人工智能分析的泛滥,给个人信息保护带来不小的挑战。特别是在“IPv4网+”上,现有技术无法检查传输中的任何一个数据的源地址,很多网络安全隐患由此产生。
中国工程院院士邬贺铨:
由于IPv4地址的不足,导致私有地址大量使用,NAT(地址翻译)破坏了端对端的透明性,给网络安全事件溯源带来了困难,假冒地址横行,网络攻击等安全事件泛滥。
IPv6海量的地址为固定分配地址和建立上网实名制奠定了基础,在IPv6地址中通过算法嵌入可扩展的用户网络身份标识信息,与真实用户的身份关联,可构建IPv6地址生成、管理、分配和溯源的一体化IPv6地址管理和溯源系统,实现了与自治域相关联的IP地址前缀级粒度的真实源地址验证。
IPv6充足的地址空间可严格按照区域和业务类型甚至用户类型进行地址分配,可以实现对特定IP地址溯源、按业务类型精细服务,或对特定服务类型进行区域管理、精细化监控与安全侦测及防护等,这种基于IP地址对网络流量的控制与安全管理效率高、成本低。
二、升级仍面临安全挑战
中国大数据技术与应用联盟副理事长王安平:
互联网升级IPv6是一项专业性强、涉及面广、情况复杂的系统工程,国家有关部门强力推进,但由于目前市场上各企业技术实力参差不齐,导致一些国家部委机关、央企、省级政府、媒体以及互联网企业在网站、云服务平台、数据中心升级IPv6过程中,网站、云服务平台、数据中心出现天窗、乱码、宕机、瘫痪和停服等现象。
工业和信息化部党组成员、总工程师张峰:
未来还需要着力突破网络端到端贯通、网络与应用协同推进等关键环节。要强化安全保障,实施IPv6网络安全提升计划,加强IPv6网络安全能力建设,严格落实IPv6网络地址编码规划方案。
另外还要完善监测体系,组织建设IPv6发展监测平台,加强对网络、应用、终端、用户、流量等关键发展指标的实时监测与分析。
中国工程院院士邬贺铨:
IPv4 over IPv6或IPv6 over IPv4的隧道机制对任何来源的数据包只进行简单的封装和解封,没有内置认证、完整性和加密等安全功能,并不对IPv4和IPv6地址的关系做严格的检查,攻击者可以随意截取隧道报文,通过伪造外层和内层地址伪装成合法用户向隧道中注入攻击流量,防火墙可能形同虚设
全球IPv6地址规模情况
2019上半年全球IPv6地址分配数量为17865*/32,2019上半年获得IPv6地址分配数量列前三位的国家/地区,分别为中国6217*/32,俄罗斯1271*/32,德国1192*/32。
截至2019年6月底,全球IPv6地址申请(/32以上)总计35168个,分配地址总数为282222*/32,地址数总计获得4096*/32(即/20)以上的国家/地区。
当前我国IPv6地址申请量保持较快增长,截至2019年5月,我国IPv6地址资源总量达到47282块(/32),居全球第一位。IPv6地址数量能够满足当前IPv6规模部署的要求,但是随着物联网、车联网、工业互联网快速发展,我国未来对于IPv6地址的需求量依然较大。
随着5G产业化进程的加快,工业互联网和物联网的发展,垂直行业和基础电信企业纷纷加大了地址储备。
我国IPv6规模部署推进工作成效初显,IPv6活跃用户数实现快速增长。截至2019年5月底,我国已分配IPv6地址用户数达12.07亿,其中LTE网络已分配IPv6地址用户数为10.45亿,固定宽带接入网络已分配IPv6地址的用户数为1.62亿。
“随着LTE网络端到端改造进程的加速,呈现出移动网络IPv6用户数发展速度大幅领先固定网络的趋势”。
截至2019年5月,三大基础电信企业固定宽带接入网络已分配IPv6地址用户数达1.62亿。
2018-2019年5月固定宽带接入网络已分配IPv6地址用户数
资料来源:中国IPv6发展状况白皮书、智研咨询整理
截至2019年5月,LTE核心网总流量达508.87Gbps,骨干直联点总流量达75.74Gbps,国际出入口流入总流量达65.30Gbps,流出总流量达15.15Gbps。
截至2019年6月,国内用户量排名前50的商业网站及移动应用可通过IPv6访问的已达40家,占比为80%。由于改造周期较长、牵涉环节较多,网络、应用、终端的协同发展机制有待进一步优化,网站及应用改造的广度和深度有待提升。
未来我国IPv6地址将往以下几个方向发展:
2017年11月26日,中办、国办印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,提出国内要在 5~10 年的时间形成下一代互联网自主技术体系和产业生态,建成全球最大规模的 IPv6 商业应用网络;
到 2025 年末,我国 IPv6 网络规模、用户规模、流量规模位居世界第一位,网络、应用、终端全面支持 IPv6,全面完成向下一代互联网的平滑演进升级,形成全球领先的下一代互联网技术产业体系。
国外权威机构统计数据显示,近年来IPv6 部署在全球推进迅速,主要发达国家IPv6部署率持续稳步提升,部分发展中国家推进迅速,比利时、美国等国家IPv6部署率已超过50%, google全球IPv6用户访问占比已达25%,Google、Facebook等全球排名靠前的网站已经全面支持IPv6。
一、IPv6建设进程加速
1. IPv6用户数规模庞大,活跃用户数显著增加
2019年4月30日APNIC统计数据显示,全球3483790681(34.8亿)互联网用户中IPv6用户占比为15.97%,迄今全球IPv6用户数量约为556207093(5.56亿)。截至2019年4月,通过IPv6访问Google网站的用户比例已上升至25%左右,相较于2018年初的20%,提高了5个百分点。
2. IPv6网络流量经历快速增长,近期流量平稳
基于荷兰阿姆斯特丹AMS-IX的数据显示,自2018年7月以来, IPv6网络流量增长迅速,平均流量从2018年7月的大约70Gbps增长到2019年4月的138Gbps。
3. IPv6地址申请量逐年攀升,各国对IPv6的关注度逐渐加强
据APNIC数据显示,截至2019年5月1日,全球IPv6地址申请总量已达557268块(/32),去年同期全球IPv6地址申请总量为464525块(/32),增长了约20个百分点。目前我国IPv6地址申请量保持较快增长,IPv6地址资源总量达到47263块(/32),位列全球第一。
4. 运营商积极推进网络基础设施IPv6改造,移动网络IPv6部署遥遥领先
从整体来看,IPv6的部署率呈不断上升态势,移动运营商在VoLTE部署时均设置了IPv6优先,不仅使网络IPv6的部署率大大提升,由此带来的庞大的IPv6用户规模和完善的IPv6网络,亦为IPv6流量快速上升奠定了坚实的基础。
5. 网站应用支持率趋于平稳,IPv6内容建设逐渐成为推进焦点
截至2019年4月,据World IPv6 Launch提供的数据显示,年内Alexa排名Top1000的网站中IPv6的支持率已稳定在25 %左右。Google、YouTube、Facebook全球排名前三甲的网站已全面支持IPv6。部署率排名靠前的日本,Alexa排名日本国内Top50的网站中也仅有5个支持IPv6,IPv6内容建设逐渐成为IPv6规模部署持续推进的重点工作。
二、各国推进部署IPv6的先进经验
1. 主要发达国家IPv6部署依然高位平稳推进,部分发展中国家发展势头迅猛,推进模式各有千秋。
2. 由目前IPv6部署率排名靠前的国家经验来看,政府积极倡导、专家工作组有力支撑和运营商大力推进是IPv6得以快速部署的前提条件。
3. IPv6部署率经过快速提升后,IPv6内容应用改造成为各国IPv6推进焦点。