IPv6的安全性探討

王潤 石曙東

摘要：隨著IPv4地址的耗盡以及糟糕的服務質量，IPv6的推廣和普及勢在必行。IPv6相比IPv4而言有著更豐富的地址和更豐富的安全屬性。但是也要意識到，IPv6也面臨著巨大的安全隱患和針對IPv6出現的新的安全攻擊行為。而且，IPv6的安全事關國家網絡的安全和網絡話語權。因此，針對IPv6的安全性進行分析顯得尤為重要。本文從IPv4的安全性出發，探討IPv6的安全設計以及IPv6的缺陷不足和改進措施。

關鍵詞：IPv6;網絡安全;網絡攻擊;安全分析

中圖分類號：TP393? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1009-3044（2019）02-0018-03

Discussion on the Security of IPv6

WANG Run， SHI Shu-dong

（Hubei Normal University， Huangshi 435002， China）

Abstract： With the exhaustion of IPv4 addresses and the poor quality of service， it is imperative to spread and popularize IPv6. IPv6 is richer address and? security attributes than IPv4. However， it should also be realized that IPv6 is also facing huge security risks and new security attacks. Moreover， the security of IPv6 is related to the security of the national network and the right to speak on the Internet in the world. Therefore， it is particularly important to analyze the security of IPv6. Based on the security of IPv4， this paper discusses the security design and the shortcomings of IPv6 and how to? improve the security of IPv6.

Key words： IPv6; network security; network attacks; safety analysis

2017年國家公布了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，要求本著創新發展、保障安全的基本原則，堅持發展與安全并舉，大力促進下一代互聯網與經濟社會各領域的融合創新，同步推進網絡安全系統規劃、建設、運行，保障互聯網安全可靠、平滑推進。[1]IPv6的普及意味著新的安全挑戰的開始，IPv6在設計之初就以安全著稱，在抗抵賴性、可認證性、保密性、完整性等安全性能方面有了很大的改進。正如其他協議一樣，IPv6也不是絕對的安全。早在 2012 年 2 月就出現了針對 IPv6 的 DDoS 攻擊。因此，本文從IPv4存在的安全設計缺陷討論IPv6的安全設計，探討其存在的安全問題并提出應對措施。

1 IPv4的安全設計缺陷

眾所周知，IPv4誕生于20世紀八十年代初。IPv4的先天設計缺陷、地址分配不合理以及后期急劇上升的互聯網設備的增多導致各類網絡安全威脅的普遍存在。

1.1IPv4地址分配缺陷

在TCP/IP協議開始發布時，IPv4 擁有40多億個地址，對于當時來說已經是一個天文數字。但是由于早期的地址分配方案不盡合理，部分地區浪費比較嚴重。在發達國家地區，擁有著大量IP地址，而根據中國互聯網絡信息中心的最新數據，我國近8億互聯網用戶僅有3.38億IPv4地址，人均才0.4個IP地址。[2]因此，人們通常采用CIDR（無類域間路由）和NAT（網絡地址轉換）2 種新技術來緩解地址危機的發生。但是，攻擊者仍然可以隨意通過偽造源IP地址來攻擊目標地址，給互聯網的安全造成了相當大的威脅。

1.2先天設計缺陷

為了尋求開放性和便利性，目前的互聯網絡所采用的主流協議TCP/IP的設計之初并沒有把安全性考慮進去，因此很多的網絡協議存在嚴重的安全漏洞，并不能防止針對網絡層的監聽和數據篡改，給Internet留下了許多安全隱患。初始的TCP/IP協議不會對IP地址進行驗證，而是采用一種NAT或者MAP地址映射方式提供可以復用的IP地址，但是這樣并不能節約IP地址。在目前的環境下，數以億計的用戶都沒有屬于自己的IP地址，導致一些匿名攻擊方式諸如利用偽造身份進行攻擊、釣魚攻擊、IP地址欺騙攻擊、IP報頭篡改攻擊等多種多樣的匿名攻擊方式，因此難以追查攻擊者的真實地址，給互聯網安全帶來巨大的安全隱患。

1.3假冒IP地址威脅

在互聯網中，用戶在接收到IP數據包時，是沒有辦法確定其真實的IP地址的，因此給攻擊者很多可乘之機。TCP協議是面向連接的協議，通過“三次握手”來建立連接。通信雙方之間通過IP地址來確定與對方的信任關系，因此，攻擊者可以通過仿冒其中一方的IP地址對另一方進行攻擊。雖然這種攻擊方法看似簡單，但是實際上，TCP協議會通過SYN和ACK來標記會話信息，以防止身份被冒充。然而這同樣也是有漏洞的，因為只要攻擊者向目標發送請求，目標主機就會返回一個序列號，如果這個時候，攻擊者已經能夠預測到序列號并且成功癱瘓掉被仿冒的對象，那么攻擊者可以順利完成攻擊步驟，對目標主機造成不可預估的破壞。

2 IPv6的安全設計

2.1 IPv6的安全前景

IPv4地址池在2016年10月底已經耗盡，因此加快IPv6的普及已經迫在眉睫。IPv6與IPv4相比有效降低了網絡及信息安全風險，而且基于 IPv6 新的地址結構為新增根服務器提供了可能。2015年，由ICANN發起的“雪人計劃”將全球25臺IPv6根服務器中的四臺部署在中國，但是這只是一個測試平臺，并且在2018年底結束這個測試平臺的實驗。雖然這僅僅只是一個實驗平臺，但是這也為我國互聯網的進步帶來了很多新的啟發和思考。IPv4時代我國的網絡空間安全受制于人。因此，網絡工程師應該刻苦研發，用更多科技成果捍衛我國在互聯網領域的話語權，才能保障我國的網絡環境的獨立和安全。

在理論基礎上，IPv6擁有海量地址，支持對用戶份溯源，真正實現真實源地址驗證身份，還可以實現網絡精準管理。可以說 IPv6 的使用為我們提供了網絡信息安全管理更加有效的手段，只要規劃得好，IPv6 將比 IPv4 更安全。

2.2 IPv6的安全性優勢

2.2.1地址容量豐富

IPv4使用32位2進制位的地址，而IPv6將IP地址從32位增加到128位，地址數量約是IPv4的1028倍。來自密歇根大學的三位計算機專家已經開發出能夠在45分鐘之內以每秒140萬個包的速度掃描整個IPv4地址空間的網絡掃描器，因此在目前的計算能力之下，IPv4已經不再安全。而在IPv6中，每一個地址擁有128個二進制位。如果在一個子網中，網絡前綴為64位，那么其地址將會有264個。即使此時同樣以每秒一百萬地址的速度掃描這個子網絡，那么需要花費50萬年的時間。由此可知，IPv6的普及運用將極大提高網絡中設備的安全性。

在IPv4中，因為地址數量有限，因此很多設備通過NAT技術共用一個IP地址，這將導致在一次攻擊行為中很難查找到真實的攻擊者。但是因為IPv6擁有豐富的地址，足夠每一個接入網絡的設備擁有獨立唯一的地址。這首先將會使得追蹤攻擊源頭變得十分容易;其次，因為攻擊行為在此時具有不可否認性。因此，攻擊者利用網絡協議的安全缺陷實施攻擊的網絡威脅將得以避免，甚至可以提供追蹤到具體的物理地址，這將大大削弱通過NAT和CIDR偽造IP進行攻擊的能力。

2.2.2 報頭格式簡化

IPv6報頭的組成主要由兩部分組成，分別是基本報頭和擴展報頭鏈。報頭由IPv4的13個減少到8個，加快了路由器的選址速度。其設計方式能夠有效實現對網絡性能、安全性的提升，同時還實現了對新功能的添加。通過對IPv6報頭結構的優化，可以實現對IPv4 報頭中存在的問題進行有效的解決，這也是未來信息安全產品向IPv6協議發展的重要原因。

2.2.3優化報頭結構

IPv4和IPv6的報文都是由報頭和數據兩部分組成。在IPv4協議中，報頭部分由報頭長度、服務類型、標識符、標志等13個字段組成，報頭長度從20字節到60字節不等，導致整個IPv4報頭的首部結構冗余。其中，如果選項字段內容過長，還會影響傳輸效率。相比之下，IPv6采用了基本報頭與擴展報頭鏈組成的固定長度為40個字節的報頭。同時IPv6改進了端到端安全、服務質量、移動互聯網安全方面的設計。在報頭與傳輸層之間設置包含選項字段的擴展報頭，使得路由器在傳輸過程中不會處理擴展頭，在簡化了報頭結構的同時也提高了數據包的處理速度。

2.2.4使用多播地址代替廣播地址

IPv6協議在設計時并不支持廣播地址，僅支持多播地址，因為多播地址不會給在同一子網中的其他主機增加額外的負擔，而且能夠很大程度上減少網絡開銷。在IPv4協議中，如果攻擊者對廣播地址進行攻擊，例如利用廣播地址發起拒絕服務攻擊，那么在該網絡中的所有主機都將會受到影響。而使用多播地址則可以有效避免子網中的主機都產生同一個響應，阻止由廣播風暴的威脅導致的網絡癱瘓的發生。同時，IPv6協議規定不允許向使用多播地址的報文回復ICMP差錯消息，彌補了利用多播地址進行攻擊的漏洞，有效防止了利用ICMP報文造成的放大攻擊。

2.2.5通過IPsec保障安全

IPsec是國際互聯網工程任務組（The Internet Engineering Task Force，IETF）在設計IPv6協議時開發出來用來保證數據包的安全的一套完整的加密系統。在一次傳輸過程當中，如果通過IPsec設備對IPv6報文進行封裝加密，那么設備接收到的所有沒有被解密或者解密失敗的報文都要被拋棄。這一設計在減輕了傳輸壓力的同時也保證了數據和傳輸設備的安全。

3 IPv6面臨的安全問題

IPv6有著比IPv4更好的安全性設計，但是由于原理相似，因此IPv6也繼承了IPv4的一些問題。而且隨著技術的發展，IPv6也面臨這新的威脅和更加復雜的挑戰，僅通過IPv6是沒有辦法完全解決互聯網的安全問題的。

3.1 IPv4繼承下來的問題

雖然IPv6能夠防范IPv4下因為地址不足而帶來的安全隱患，但是在IPv4下的部分安全問題在IPv6中依然存在。因為這些安全威脅的原理和特征在本質上沒有變化，所以不管是在IPv4中還是在IPv6中，諸如ARP攻擊、病毒、應用層攻擊、欺詐類攻擊和泛洪攻擊等網絡攻擊和威脅將會一直存在。

3.2 IPv4向IPv6過渡時期的安全問題

目前處于由IPv4向IPv6過渡的起步時期。由于歷史原因，IPv4仍將會長期存在，因此將會出現IPv4和IPv6共存的局面。而且IPv6和IPv4難以互相兼容的，因此在IPv6的普及過程中，將會出現一些IPv6與IPv4的過渡應用。這些應用必然影響到IPv6的普及，而且提供給攻擊者更多可以被發現的安全漏洞。[3]事實證明，已經有攻擊者使用同時運行有IPv6協議和IPv4的主機，然后通過過渡應用順利訪問到IPv4網絡，繞過IPv6防火墻，利用IPv4網絡的攻擊方式對網絡中的IPv4主機造成危害。

3.3 IPv6中新出現的安全問題

3.3.1利用擴展頭進行拒絕服務攻擊

為了提高路由器轉發數據包的效率，IPv6設計了擴展報頭取代了IPv4的選項。但是IPv6數據包可以支持任意數量的擴展頭，而且不限長度。[4]IPv6路由器在處理包含IPv6擴展頭的數據包的過程中，唯一要處理的就是逐跳選項擴展報頭。如果此時攻擊者發送大量的擴展頭，那么路由器就會花費大量的時間和速率來處理擴展頭，導致性能下降，產生拒絕服務攻擊行為。[5]

3.3.2地址欺騙攻擊

在IPv4協議中使用的是地址解析協議（ARP）來解析目標的MAC地址以保證通信的正常進行，而在IPv6使用的是鄰居發現協議（NS）來發現其他節點和相應地址。在節點之間進行初次適配時會發送NS報文，此時的NS報文中包含有節點對應的地址。攻擊者如果在這個時候偽造對應的NS報文，并返回此地址已經被使用的報文給發送節點，那么節點將會被迫更換地址。通過持續攻擊，節點將無法完成地址適配，從而無法進行正常通信。[5]

3.3.3 IPSec漏洞攻擊

IPSec在設計之初是用來保證網絡層端到端之間通信的安全性和完整性，但同時也暴露了可以被利用的漏洞。在部署有IPSec的設備之間通信時，內容在整個傳輸過程中是透明的，沒有密鑰是無法獲知內容的。而一旦竊聽者通過某種途徑獲取了密碼時，那么這個時候傳輸數據將被順利獲取，對信息安全造成威脅。[6]

3.3.4 IPv6分片攻擊

IPv6在設計時設置MTU為1280字節，即在處理數據的過程中會丟棄小于1280字節的數據包，同時引入入侵檢測系統，此舉可以有效避免可能進行的分片攻擊。但是攻擊者仍然可以在數據進行分片時進行重組然后打亂，此時監測系統就不會識別出正確順序，攻擊數據將會趁機而入。攻擊者也可以故意不發送數據包中的一部分分片包或者故意發送多個分片包，從而耗盡內存資源導致系統崩潰。

4基于IPv6網絡安全問題的應對措施

4.1地址分配實名制

IPv6巨大的地址空間可以讓每一臺設備都有屬于自己的IP地址，原理上可以保證每一個人都可以分配到固定的IPv6地址，并且采取實名制，即申請IPv6地址的人必須得有真實的身份并且與所申請的IPv6地址進行綁定，對其負責。[7]同時，每一個IPv6地址還必須固定在一定范圍的地區中，如若發生攻擊行為將會被追蹤到實際注冊地址中。因此采取實名制一能有效杜絕仿冒IP地址的攻擊行為，起到一定的震懾作用;二能追根溯源，保證整體網絡的安全性，提高信息來源的可信度和真實度。[8]

4.2擴展頭安全漏洞防護

IPv6的擴展頭給網絡帶來很多豐富功能的同時也帶來了很多安全隱患，攻擊者可以利用包含逐跳選項的報頭的漏洞進行拒絕服務攻擊。為此，網絡中應該設計有對應的數據包檢測系統，首先是如果監測到此種攻擊行為，應該對相應的數據包進行限速或者直接阻隔其連接。

4.3保證IPSec安全

IPSec本是設計用來保證IPv6數據傳輸的安全性的，但是如果傳輸密鑰被破解，信息安全將無法得到保障。而且一旦IPv6實名制，消息發送者將否認發送的數據，將會造成很多由誤解產生的安全問題。因此在使用IPSec過程中要加強數據的保密性，因此數據不能簡單地在網絡中透明傳輸。同時，使用者要加強密鑰的保密措施，防止攻擊者獲取到傳輸密鑰。[9]

5 總結

IPv4大勢已去，IPv6的推廣勢在必行。我國是互聯網大國，對于網絡安全和網絡主導權已經成為我國國家安全問題的重要組成部分。因此我們要好好把握契機，在已經獲得IPv6根服務器的基礎上，做好研究和對策，保證IPv6普及下的網絡信息安全。同時，各級組織分工合作，在IPv6普及的道路上做出自己的貢獻和力量，著力解決好IPv6的安全隱患，定能讓我國在互聯網領域更加具有發言權和主導權。

參考文獻：

[1] 鄔賀銓. IPv6與網絡安全[J]. 中國信息安全，2018（6）：31-33.

[2] 張亞峰. IPv6網絡技術及安全隱患研究[J]. 湖北農機化，2017（6）：46-47.

[3] 張楚天，成星. 廣電網絡IPv4/IPv6過渡階段的安全問題及防護初探[J].廣播電視信息，2015（3）：71-74.

[4] 邱凌志，尹魏昕，仲思超. IPv6環境面臨的網絡安全問題及對策探討[J].江蘇通信，2017，33（2）：56-59.

[5] 柏東明，馮梅，陳靚，等. IPv6技術安全問題思考[J].信息系統工程，2014（6）：62-64，74.

[6] 張岳公，李大興. IPv6下的網絡攻擊和入侵分析[J].計算機科學，2006（3）： 100-102.

[7] 呂秋云. 安全網絡建設中實名制IPv6地址分配初探[J].計算機安全，2007（4）：50-52.

[8] 彭曉明，山浩哲. 基于IPv6的下一代互聯網安全問題解析[J].網絡安全技術與應用，2015（5）：114，117.

[9] 陸燕. 基于IPV4與IPV6的網絡安全現狀分析[J].科技信息，2012（5）：153，154.