IPv6分布式拒绝服务攻击首度出现

IPv6的时代已然来临,相信每个人在迎接它的同时也已经做好了面对新型安全问题的准备。终于,IPv6分布式拒绝服务攻击首度出现。

IPv4继续服务于互联网的时间已经即将进入尾声,但即使如此下一代互联网流量协议IPv6的普及速度始终相当缓慢,不过IPv6至少已经为大家所广泛接受。根据ArborNetworks日前发布的报告,“IPv6发展道路上的新里程碑:IPv6分布式拒绝服务攻击(简称DDoS)首度出现。”

出现这种情况的原因在于,基于IPv6的网络终端已经发展得相当庞大,这种规模已经足以为攻击者提供大量注入点以进行针对IPv6协议的攻击。同样,这也说明攻击者们认为在使用IPv6的网络中劳心费力并组织攻击活动是完全值得的。

IPv6分布式拒绝服务攻击首度出现
网络工程师们开始意识到IPv6的安全性问题(图片由ArborNetworks提供)

其实除了人为因素以外,上述情况都在意料之中。ArborNetworks在其发布的全球基础设施安全报告中已经对IPv6DDoS攻击的出现做出了明确预期。“这是一大关键性里程碑,标志着攻击者与维护者之间的军备竞赛将就此展开,”报告中提到。“我们认为IPv6DDoS攻击在广泛性及出现比例方面将随时间推移而逐步上升,因为IPv6本身的普及度正在稳步提高。”而时至今日,这种预期已经开始变成现实。

根据ArborNetworks高级软件质量保障工程师BillCerveny的说法,“在过去一段时间中,IPv6网络中出现的故障与问题往往被人们忽视甚至未能发现,因为当时没人注意到(或是关心)这一点……这种关注度上的缺失又反过来促使攻击者们将IPv6当作实施攻击的大好起点。尽管目前来看IPv6所遭受的攻击频率相对较低、损失也较小,但随着普及度的逐渐提高,相信攻击者们也将迅速跟上,带来更多令人头痛的安全难题。”

这些攻击现象背后还隐藏着另一个问题,即人们普遍相信IPv6比IPv4更为安全。的确,Cerveny援引的例子的确很说明问题:“美国政府机构内部的某个网络安全团队日前宣布解散,因为他们认为IPv6比旧有网络协议更加安全。鉴于下一代互联网协议自有的安全能力非常强大,该团队认为各类安全问题都将自行瓦解,团队本身也就没有必要继续存在下去。”

他们代表了大多数用户的想法,但需要强调的是,这种观点并不正确。诚然,IPv6自身整合了互联网协议安全性(简称IPsec)的诸多内容,不过光是一套协议根本无法保证万全。IPv6的标头设计同样有助于安全保护,因为它能够被用来为加密元数据与被加密的有效负载之间提供一套更加干净利落的隔离机制。此外,IPv6带来的海量地址空间在经过部署之后,会使扫描攻击在子网内很难通过随机地址分配方式为非作歹。然而,这一切效果的实现都取决于我们能否正确部署IPv6。就自身而言,IPv6与我们小时候裹在身上的厚毯子颇为相似,如果不用心处理,那是半点保护作用也谈不上的。

正如来自云及IPv6集成业务企业Nephos6的JohnSpence所说:“大多数认为IPv6比IPv4更加安全的想法,都源于RFC(即网络请求注解)强制要求IPv6堆栈中包含IPsec支持;但无疑是一种太过简单的看法(而且在最近发布的RFC6434中,这一强制要求已经被取消)。”也就是说,我们根本无法确定IPsec保护机制是否将作用于某些IPv6软件及硬件上。

Spence还观察到,“由于IPv6固有的自动转换机制努力在为双堆栈节点提供IPv6服务(例如WindowsVista或Windows7),因此在表面上只部署了IPv4的设备往往正是IPv6安全漏洞的高发环境。我将这种情况称为‘IPv6意外部署’,因为此类状态虽然未经管理、症状隐晦,但却很可能被攻击者为利用。总而言之,在大多数设备上,IPv6都处于默认设置状态,所以即使是自己的机构根本就没有部署过IPv6,我仍然呼吁大家尽快制订一套相关安全规划。”

以上各类问题都是真实存在的。幸运的是,解决方案也将很快出台。互联网工程任务组(简称IETF)已经拿出一份草案——《IPv6路由器通告(简称RA)防护实施意见》,但项目尚处于进展当中。

正如华盛顿城际网络公司TachyonDynamics所指出的那样,目前“像WindowsXP、2003、Vista、7以及2008等操作系统都没有限制所监听路由器的数量。而Linux及Mac设备则将监听对象的数量设定为15个,这才是正确的做法。一旦有15个以上的不同RA发至设备,Linux与Mac都能及时停止为其配置地址及路由。而在Windows系统中则不是这样,广受好评的漏洞工具flood_router6正是由这一点出发,在许多个人计算机上横行无忌,并成为黑客首选IPv6攻击工具包(简称THC-IPv6)中的一员。Flood_router6基本上是在短时间内向子网发送数以百万计的、各自拥有不同IPv6前缀的RA源地址。只在数秒之内,一台功能齐备的Windows设备就会瞬间变砖。

由于互联网上针对IPv6系统的威胁如此之多,我们显然应该马上行动起来脱离原本坐以待毙的状况,努力保证IPv6在自己的网络中安全运作。此外,Windows用户必须明确一点:在未能彻底防范已知的各种IPv6攻击之前,不要轻易使用这套新兴的网络协议。

, 相关的文章: