國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心 郭毅

　　在2018 ISC互聯(lián)網(wǎng)安全大會——IPv6規(guī)?；渴鹋c安全論壇上，國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心郭毅發(fā)表題為《IPv6協(xié)議棧脆弱性分析》的演講，他從IPv6相較于IPv4的主要改變出發(fā)，并在此基礎(chǔ)上分析了這些改變可能帶來的新的脆弱性。

　　IPv6較于IPv4的改變

　　IPv6較于IPv4的改變主要表現(xiàn)在四個方面：

　　第一，IPv6編址發(fā)生改變。由過去的32位增加到128位，極大擴展了IP地址空間，可以不受限制地獲取IPv6地址。

　　第二，報頭格式發(fā)生改變。IPv6簡化基本報頭，擴展報頭也更為靈活。可選項被統(tǒng)一移到擴展報頭，附加在目的IP地址字段后面，可以有0個或者多個擴展報頭。中間路由器不必處理每一個選項，提高了處理數(shù)據(jù)報文的速度，也提高了轉(zhuǎn)發(fā)性能。

　　第三，ICMPv6協(xié)議。該協(xié)議具備ICMPv4的常見功能，如提供發(fā)送和轉(zhuǎn)發(fā)中的錯誤報告，以及用于故障分析的簡單回送服務(wù)，廢除不再使用的過時消息類型。協(xié)議綜合了原有IPv4中分屬不同協(xié)議的功能，多播偵聽發(fā)現(xiàn)（MLD），取代IPv4中的IGMP協(xié)議，管理組播組成員。

　　第四，ND（鄰居發(fā)現(xiàn)）機制。組合并改進了原有功能，工作在網(wǎng)絡(luò)層，任何網(wǎng)絡(luò)媒介都可以運行相同的鄰居發(fā)現(xiàn)。

　　IPv6協(xié)議棧的脆弱性

　　IPv6協(xié)議棧脆弱性首先是非IPv6特有的安全威脅，包括：（1）應用層協(xié)議或服務(wù)導致的漏洞在網(wǎng)絡(luò)層無法消除；（2）利用嗅探工具實施網(wǎng)絡(luò)嗅探，可能導致信息泄露；（3）設(shè)備仿冒接入網(wǎng)絡(luò)；（4）未實施雙向認證情況下，可實施中間人攻擊；（5）洪泛攻擊。

　　其次，IPv6的特性帶來新脆弱性，包括雙棧環(huán)境、IPv6編址、擴展報頭、ICMPv6、ND機制、協(xié)議具體實現(xiàn)相關(guān)等脆弱性。

　　擴展報頭相關(guān)脆弱性問題比較多：第一個就是安全控制規(guī)避，在RFC規(guī)范中，同一個包中若有多于一個擴展選項時，建議以如下順序排列：基本報頭、HBH逐跳選項、DH目的選項、RH路由報頭、FH分段報頭、AH認證報頭、ESP封裝安全荷載報頭。要求HBH須緊跟基本報頭，且中間節(jié)點必須處理；第二個是處理要求帶來的拒絕服務(wù)；第三個是實現(xiàn)錯誤引起的拒絕服務(wù)。

　　IPv6網(wǎng)絡(luò)安全防護建議

　　第一，熟悉IPv6網(wǎng)絡(luò)知識及IPv6特有安全威脅。人是網(wǎng)絡(luò)安全最重要的環(huán)節(jié)，通過對安全人員的培訓和教育，使其盡快掌握IPv6環(huán)境下安全威脅與防護技能，增強對新環(huán)境安全問題的處置能力；

　　第二，重視各類IPv6協(xié)議棧的漏洞挖掘與修補。漏洞挖掘是加快IPv6漏洞發(fā)現(xiàn)的重要手段，鼓勵安全企業(yè)和個人提交與IPv6協(xié)議棧相關(guān)漏洞，使得IPv6協(xié)議棧能夠盡快得到修補和完善；

　　第三，IPv6網(wǎng)絡(luò)安全防護產(chǎn)品開發(fā)優(yōu)化與防護策略。推進現(xiàn)有安全設(shè)備在IPv6環(huán)境中的兼容和落地，避免出現(xiàn)運行在IPv6下的業(yè)務(wù)系統(tǒng)缺少必要的安全防護措施的局面。

　　（本文刊登于《中國教育網(wǎng)絡(luò)》2018年10月刊，本文根據(jù)郭毅在2018 ISC互聯(lián)網(wǎng)安全大會上的發(fā)言整理而成，整理：楊潔）