王润 石曙东
摘要:随着IPv4地址的耗尽以及糟糕的服务质量,IPv6的推广和普及势在必行。IPv6相比IPv4而言有着更丰富的地址和更丰富的安全属性。但是也要意识到,IPv6也面临着巨大的安全隐患和针对IPv6出现的新的安全攻击行为。而且,IPv6的安全事关国家网络的安全和网络话语权。因此,针对IPv6的安全性进行分析显得尤为重要。本文从IPv4的安全性出发,探讨IPv6的安全设计以及IPv6的缺陷不足和改进措施。
关键词:IPv6;网络安全;网络攻击;安全分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2019)02-0018-03
Discussion on the Security of IPv6
WANG Run, SHI Shu-dong
(Hubei Normal University, Huangshi 435002, China)
Abstract: With the exhaustion of IPv4 addresses and the poor quality of service, it is imperative to spread and popularize IPv6. IPv6 is richer address and security attributes than IPv4. However, it should also be realized that IPv6 is also facing huge security risks and new security attacks. Moreover, the security of IPv6 is related to the security of the national network and the right to speak on the Internet in the world. Therefore, it is particularly important to analyze the security of IPv6. Based on the security of IPv4, this paper discusses the security design and the shortcomings of IPv6 and how to improve the security of IPv6.
Key words: IPv6; network security; network attacks; safety analysis
2017年國家公布了《推进互联网协议第六版(IPv6)规模部署行动计划》,要求本着创新发展、保障安全的基本原则,坚持发展与安全并举,大力促进下一代互联网与经济社会各领域的融合创新,同步推进网络安全系统规划、建设、运行,保障互联网安全可靠、平滑推进。[1]IPv6的普及意味着新的安全挑战的开始,IPv6在设计之初就以安全著称,在抗抵赖性、可认证性、保密性、完整性等安全性能方面有了很大的改进。正如其他协议一样,IPv6也不是绝对的安全。早在 2012 年 2 月就出现了针对 IPv6 的 DDoS 攻击。因此,本文从IPv4存在的安全设计缺陷讨论IPv6的安全设计,探讨其存在的安全问题并提出应对措施。
1 IPv4的安全设计缺陷
众所周知,IPv4诞生于20世纪八十年代初。IPv4的先天设计缺陷、地址分配不合理以及后期急剧上升的互联网设备的增多导致各类网络安全威胁的普遍存在。
1.1IPv4地址分配缺陷
在TCP/IP协议开始发布时,IPv4 拥有40多亿个地址,对于当时来说已经是一个天文数字。但是由于早期的地址分配方案不尽合理,部分地区浪费比较严重。在发达国家地区,拥有着大量IP地址,而根据中国互联网络信息中心的最新数据,我国近8亿互联网用户仅有3.38亿IPv4地址,人均才0.4个IP地址。[2]因此,人们通常采用CIDR(无类域间路由)和NAT(网络地址转换)2 种新技术来缓解地址危机的发生。但是,攻击者仍然可以随意通过伪造源IP地址来攻击目标地址,给互联网的安全造成了相当大的威胁。
1.2先天设计缺陷
为了寻求开放性和便利性,目前的互联网络所采用的主流协议TCP/IP的设计之初并没有把安全性考虑进去,因此很多的网络协议存在严重的安全漏洞,并不能防止针对网络层的监听和数据篡改,给Internet留下了许多安全隐患。初始的TCP/IP协议不会对IP地址进行验证,而是采用一种NAT或者MAP地址映射方式提供可以复用的IP地址,但是这样并不能节约IP地址。在目前的环境下,数以亿计的用户都没有属于自己的IP地址,导致一些匿名攻击方式诸如利用伪造身份进行攻击、钓鱼攻击、IP地址欺骗攻击、IP报头篡改攻击等多种多样的匿名攻击方式,因此难以追查攻击者的真实地址,给互联网安全带来巨大的安全隐患。
1.3假冒IP地址威胁
在互联网中,用户在接收到IP数据包时,是没有办法确定其真实的IP地址的,因此给攻击者很多可乘之机。TCP协议是面向连接的协议,通过“三次握手”来建立连接。通信双方之间通过IP地址来确定与对方的信任关系,因此,攻击者可以通过仿冒其中一方的IP地址对另一方进行攻击。虽然这种攻击方法看似简单,但是实际上,TCP协议会通过SYN和ACK来标记会话信息,以防止身份被冒充。然而这同样也是有漏洞的,因为只要攻击者向目标发送请求,目标主机就会返回一个序列号,如果这个时候,攻击者已经能够预测到序列号并且成功瘫痪掉被仿冒的对象,那么攻击者可以顺利完成攻击步骤,对目标主机造成不可预估的破坏。
2 IPv6的安全设计
2.1 IPv6的安全前景
IPv4地址池在2016年10月底已经耗尽,因此加快IPv6的普及已经迫在眉睫。IPv6与IPv4相比有效降低了网络及信息安全风险,而且基于 IPv6 新的地址结构为新增根服务器提供了可能。2015年,由ICANN发起的“雪人计划”将全球25台IPv6根服务器中的四台部署在中国,但是这只是一个测试平台,并且在2018年底结束这个测试平台的实验。虽然这仅仅只是一个实验平台,但是这也为我国互联网的进步带来了很多新的启发和思考。IPv4时代我国的网络空间安全受制于人。因此,网络工程师应该刻苦研发,用更多科技成果捍卫我国在互联网领域的话语权,才能保障我国的网络环境的独立和安全。
在理论基础上,IPv6拥有海量地址,支持对用户份溯源,真正实现真实源地址验证身份,还可以实现网络精准管理。可以说 IPv6 的使用为我们提供了网络信息安全管理更加有效的手段,只要规划得好,IPv6 将比 IPv4 更安全。
2.2 IPv6的安全性優势
2.2.1地址容量丰富
IPv4使用32位2进制位的地址,而IPv6将IP地址从32位增加到128位,地址数量约是IPv4的1028倍。来自密歇根大学的三位计算机专家已经开发出能够在45分钟之内以每秒140万个包的速度扫描整个IPv4地址空间的网络扫描器,因此在目前的计算能力之下,IPv4已经不再安全。而在IPv6中,每一个地址拥有128个二进制位。如果在一个子网中,网络前缀为64位,那么其地址将会有264个。即使此时同样以每秒一百万地址的速度扫描这个子网络,那么需要花费50万年的时间。由此可知,IPv6的普及运用将极大提高网络中设备的安全性。
在IPv4中,因为地址数量有限,因此很多设备通过NAT技术共用一个IP地址,这将导致在一次攻击行为中很难查找到真实的攻击者。但是因为IPv6拥有丰富的地址,足够每一个接入网络的设备拥有独立唯一的地址。这首先将会使得追踪攻击源头变得十分容易;其次,因为攻击行为在此时具有不可否认性。因此,攻击者利用网络协议的安全缺陷实施攻击的网络威胁将得以避免,甚至可以提供追踪到具体的物理地址,这将大大削弱通过NAT和CIDR伪造IP进行攻击的能力。
2.2.2 报头格式简化
IPv6报头的组成主要由两部分组成,分别是基本报头和扩展报头链。报头由IPv4的13个减少到8个,加快了路由器的选址速度。其设计方式能够有效实现对网络性能、安全性的提升,同时还实现了对新功能的添加。通过对IPv6报头结构的优化,可以实现对IPv4 报头中存在的问题进行有效的解决,这也是未来信息安全产品向IPv6协议发展的重要原因。
2.2.3优化报头结构
IPv4和IPv6的报文都是由报头和数据两部分组成。在IPv4协议中,报头部分由报头长度、服务类型、标识符、标志等13个字段组成,报头长度从20字节到60字节不等,导致整个IPv4报头的首部结构冗余。其中,如果选项字段内容过长,还会影响传输效率。相比之下,IPv6采用了基本报头与扩展报头链组成的固定长度为40个字节的报头。同时IPv6改进了端到端安全、服务质量、移动互联网安全方面的设计。在报头与传输层之间设置包含选项字段的扩展报头,使得路由器在传输过程中不会处理扩展头,在简化了报头结构的同时也提高了数据包的处理速度。
2.2.4使用多播地址代替广播地址
IPv6协议在设计时并不支持广播地址,仅支持多播地址,因为多播地址不会给在同一子网中的其他主机增加额外的负担,而且能够很大程度上减少网络开销。在IPv4协议中,如果攻击者对广播地址进行攻击,例如利用广播地址发起拒绝服务攻击,那么在该网络中的所有主机都将会受到影响。而使用多播地址则可以有效避免子网中的主机都产生同一个响应,阻止由广播风暴的威胁导致的网络瘫痪的发生。同时,IPv6协议规定不允许向使用多播地址的报文回复ICMP差错消息,弥补了利用多播地址进行攻击的漏洞,有效防止了利用ICMP报文造成的放大攻击。
2.2.5通过IPsec保障安全
IPsec是国际互联网工程任务组(The Internet Engineering Task Force,IETF)在设计IPv6协议时开发出来用来保证数据包的安全的一套完整的加密系统。在一次传输过程当中,如果通过IPsec设备对IPv6报文进行封装加密,那么设备接收到的所有没有被解密或者解密失败的报文都要被抛弃。这一设计在减轻了传输压力的同时也保证了数据和传输设备的安全。
3 IPv6面临的安全问题
IPv6有着比IPv4更好的安全性设计,但是由于原理相似,因此IPv6也继承了IPv4的一些问题。而且随着技术的发展,IPv6也面临这新的威胁和更加复杂的挑战,仅通过IPv6是没有办法完全解决互联网的安全问题的。
3.1 IPv4继承下来的问题
虽然IPv6能够防范IPv4下因为地址不足而带来的安全隐患,但是在IPv4下的部分安全问题在IPv6中依然存在。因为这些安全威胁的原理和特征在本质上没有变化,所以不管是在IPv4中还是在IPv6中,诸如ARP攻击、病毒、应用层攻击、欺诈类攻击和泛洪攻击等网络攻击和威胁将会一直存在。
3.2 IPv4向IPv6过渡时期的安全问题
目前处于由IPv4向IPv6过渡的起步时期。由于历史原因,IPv4仍将会长期存在,因此将会出现IPv4和IPv6共存的局面。而且IPv6和IPv4难以互相兼容的,因此在IPv6的普及过程中,将会出现一些IPv6与IPv4的过渡应用。这些应用必然影响到IPv6的普及,而且提供给攻击者更多可以被发现的安全漏洞。[3]事实证明,已经有攻击者使用同时运行有IPv6协议和IPv4的主机,然后通过过渡应用顺利访问到IPv4网络,绕过IPv6防火墙,利用IPv4网络的攻击方式对网络中的IPv4主机造成危害。
3.3 IPv6中新出现的安全问题
3.3.1利用扩展头进行拒绝服务攻击
为了提高路由器转发数据包的效率,IPv6设计了扩展报头取代了IPv4的选项。但是IPv6数据包可以支持任意数量的扩展头,而且不限长度。[4]IPv6路由器在处理包含IPv6扩展头的数据包的过程中,唯一要处理的就是逐跳选项扩展报头。如果此时攻击者发送大量的扩展头,那么路由器就会花费大量的时间和速率来处理扩展头,导致性能下降,产生拒绝服务攻击行为。[5]
3.3.2地址欺骗攻击
在IPv4协议中使用的是地址解析协议(ARP)来解析目标的MAC地址以保证通信的正常进行,而在IPv6使用的是邻居发现协议(NS)来发现其他节点和相应地址。在节点之间进行初次适配时会发送NS报文,此时的NS报文中包含有节点对应的地址。攻击者如果在这个时候伪造对应的NS报文,并返回此地址已经被使用的报文给发送节点,那么节点将会被迫更换地址。通过持续攻击,节点将无法完成地址适配,从而无法进行正常通信。[5]
3.3.3 IPSec漏洞攻击
IPSec在设计之初是用来保证网络层端到端之间通信的安全性和完整性,但同时也暴露了可以被利用的漏洞。在部署有IPSec的设备之间通信时,内容在整个传输过程中是透明的,没有密钥是无法获知内容的。而一旦窃听者通过某种途径获取了密码时,那么这个时候传输数据将被顺利获取,对信息安全造成威胁。[6]
3.3.4 IPv6分片攻击
IPv6在设计时设置MTU为1280字节,即在处理数据的过程中会丢弃小于1280字节的数据包,同时引入入侵检测系统,此举可以有效避免可能进行的分片攻击。但是攻击者仍然可以在数据进行分片时进行重组然后打乱,此时监测系统就不会识别出正确顺序,攻击数据将会趁机而入。攻击者也可以故意不发送数据包中的一部分分片包或者故意发送多个分片包,从而耗尽内存资源导致系统崩溃。
4基于IPv6网络安全问题的应对措施
4.1地址分配实名制
IPv6巨大的地址空间可以让每一台设备都有属于自己的IP地址,原理上可以保证每一个人都可以分配到固定的IPv6地址,并且采取实名制,即申请IPv6地址的人必须得有真实的身份并且与所申请的IPv6地址进行绑定,对其负责。[7]同时,每一个IPv6地址还必须固定在一定范围的地区中,如若发生攻击行为将会被追踪到实际注册地址中。因此采取实名制一能有效杜绝仿冒IP地址的攻击行为,起到一定的震慑作用;二能追根溯源,保证整体网络的安全性,提高信息来源的可信度和真实度。[8]
4.2扩展头安全漏洞防护
IPv6的扩展头给网络带来很多丰富功能的同时也带来了很多安全隐患,攻击者可以利用包含逐跳选项的报头的漏洞进行拒绝服務攻击。为此,网络中应该设计有对应的数据包检测系统,首先是如果监测到此种攻击行为,应该对相应的数据包进行限速或者直接阻隔其连接。
4.3保证IPSec安全
IPSec本是设计用来保证IPv6数据传输的安全性的,但是如果传输密钥被破解,信息安全将无法得到保障。而且一旦IPv6实名制,消息发送者将否认发送的数据,将会造成很多由误解产生的安全问题。因此在使用IPSec过程中要加强数据的保密性,因此数据不能简单地在网络中透明传输。同时,使用者要加强密钥的保密措施,防止攻击者获取到传输密钥。[9]
5 总结
IPv4大势已去,IPv6的推广势在必行。我国是互联网大国,对于网络安全和网络主导权已经成为我国国家安全问题的重要组成部分。因此我们要好好把握契机,在已经获得IPv6根服务器的基础上,做好研究和对策,保证IPv6普及下的网络信息安全。同时,各级组织分工合作,在IPv6普及的道路上做出自己的贡献和力量,着力解决好IPv6的安全隐患,定能让我国在互联网领域更加具有发言权和主导权。
参考文献:
[1] 邬贺铨. IPv6与网络安全[J]. 中国信息安全,2018(6):31-33.
[2] 张亚峰. IPv6网络技术及安全隐患研究[J]. 湖北农机化,2017(6):46-47.
[3] 张楚天,成星. 广电网络IPv4/IPv6过渡阶段的安全问题及防护初探[J].广播电视信息,2015(3):71-74.
[4] 邱凌志,尹魏昕,仲思超. IPv6环境面临的网络安全问题及对策探讨[J].江苏通信,2017,33(2):56-59.
[5] 柏东明,冯梅,陈靓,等. IPv6技术安全问题思考[J].信息系统工程,2014(6):62-64,74.
[6] 张岳公,李大兴. IPv6下的网络攻击和入侵分析[J].计算机科学,2006(3): 100-102.
[7] 吕秋云. 安全网络建设中实名制IPv6地址分配初探[J].计算机安全,2007(4):50-52.
[8] 彭晓明,山浩哲. 基于IPv6的下一代互联网安全问题解析[J].网络安全技术与应用,2015(5):114,117.
[9] 陆燕. 基于IPV4与IPV6的网络安全现状分析[J].科技信息,2012(5):153,154.