IPv6的安全特性与风险研究

◆张炼枢 张贺勋 陈远平 吴泽江 张志伟

（北京天融信网络安全技术有限公司 广东 510630）

1 IPv6背景

IPv4是第4个版本的互联网通信协议，该协议设计的地址空间共有约43亿个地址，这在当年已经是一个海量的地址空间，未曾有人预测到今天有如此多的设备接入互联网。

根据思科公司的研究预测，将在2020年有超过260亿设备联网，IPv4网络无法满足IP数量要求，这对互联网的应用和发展非常不利。

在 IPv6网络下，每个联网设备都得到全球唯一地址，可在网络中路由，意味着我们接入IPv6网络的电脑、智能手机，都是直接暴露在互联网的，只要攻击者得到设备的 IP地址，就可对设备发起访问和攻击。那么，IPv6协议新引入的安全特性，是如何保护我们设备，是否会带来新的安全风险呢？

2 IPv6协议安全特性

2.1 巨大地址空间提供一定隐秘性

IPv6采用128位的地址长度，后64位是接口标识，也就是说一个标准子网中的IP数量是IPv4全网的2^32倍。

假设，使用高性能设备（100万每秒）扫描一个子网，需要50万年才能扫完，这导致扫描几乎是无意义的。设备联网后，处于一个巨量的地址空间里，有一定的隐秘性。

2.2 隐私扩展功能保护固定地址

在 RFC4941中定义了一种隐私扩展功能，启用该功能后，对外访问时将使用临时生成的地址，旧的临时地址会被丢弃。这保护了全球唯一地址不被恶意收集。

临时地址具有短生命周期的特点，攻击者要在很短的时候内获得IP地址并且实施入侵/攻击的难度和代价都是巨大，这又进一步提高了隐秘性，保护终端安全。

（1）集成IPSec提高通信安全

IPSec（Internet Protocol Security）用于加密通信，并提供认证功能，保障端对端通信安全。与IPv4相比，IPv6协议中IPSec协议是必选内容，加上无NAT的屏障，更利于推广使用。

IPSec核心部分是认证报头（AH）和封闭安装载荷报头（ESP），其中AH报头带数据包哈希值，如果数据包被恶意修改，会导致校验失败；除了AH提供的完整性保障，IPSec通过ESP提供了认证和加密的功能，认证和加密可以同时使用，也可以仅使用其中的一种，但不能两种都不用。

（2）邻居发现协议（NDP）取代地址解析协议（ARP）

地址解析协议（arp）默认网络是可信的，缺乏认证手段，所以很容易发生ARP欺骗、广播风暴等问题。

IPv6协议中，没有了ARP协议，使用邻居发现协议（NDP），也取代了部分ICMP控制功能，没有了广播的概念，而是用了组播和任意播。NDP包含了邻居请求（NS）、邻居公告（NA）、路由器请求（RS）、路由器公告（RA）和 Redirect报文。其中NS和NA报文用来解释目标IPv6地址的链路层地址，过程中并不需要局域网里所有主机都响应，避免了广播风暴的形成。

（3）真实源地址验证加强溯源审计

真实源地址验证机制（SAVA），是IPv6网络中的一种透明服务，作用于网络层，分别在接入网、自治系统（Autonomous System）内和自治系统间进行源地址验证，确保转发的每个分组的源 IP地址是经授权的、全球唯一和可追溯的，可以防范一些通过伪造源地址的分布式拒绝服务攻击，审计人员更容易通过流量分析追踪和定位攻击者，安全人员更容易设计网络安全策略和加强网络管理。

3 IPv6面临新的安全威胁

IPv6协议改变了IP报头和寻址方式，引入了新的安全特性，提高网络层安全性和增强自身安全，但对其他功能层的安全能力没有影响，以及新技术也引入了新的安全问题。

3.1 NDP和SEND的安全问题

NDP是默认为链路是可信、安全可靠的，即假定收到的数据都是正常的，从不考虑实际应用中会存在恶意构造的数据和攻击行为，所以，IPv6仍然存在针对与ARP一样的问题，容易受到欺骗攻击、泛洪攻击等。同时，随着时间推移，这些协议可能会被暴露新的安全问题：

（1）攻击者可以发出达到一定量的NS/RS报文，网关收到这些报文并大量更新本地表，导致溢出。

（2）攻击者可以构造虚假的 RS/NS/NA报文，让网关更新邻居节点的MAC地址，这会造成受害主机的MAC地址与网关本地受害主机的MAC地址不一致，受害主机无法收到网关的数据包从而无法正常通信。

（3）攻击者构造和发送虚假的 RA报文，报文中配置了非法的网络信息，受害者接收该报文和配置本地网络信息，从而造成了欺骗攻击。

国际互联网工程任务组发现NDP存在的安全问题，提出应用地址加密生成技术和RSA加密算法的SEND方案，解决了IP伪造问题，但该方案并没有机制建立链接层地址和 IPv6地址的绑定关系，攻击者可以通过在不安全的链路层发送NA报文，把链接层原地址设置成受害者的，而使用攻击者的IP进行CGA合成，目标链路层地址扩展对应受害者的，大量发送这样的报文就会造成Dos攻击。

3.2 DNS服务器面临更多的攻击

2001：0002：0003：0004：0005：0006：0007：0008 是一个合法的 IPv6地址，如此长的地址难以记忆，使得网络访问行为更加依赖DNS。拥有大量DNS解析记录的DNS服务器，是个非常有价值的资源，其安全将面临更大考验。

3.3 安全设备支持度较低

据《2018 IPv6支持度报告》显示，在获得认证的设备类型中，网络设备对IPv6的支持度稍好，终端设备次之，安全设备的支持度相对较差。

若企业部署了IPv6网络，但各安全设备未能起到保护作用，内部资产、服务和数据暴露于互联网，那可能是灾难性的。

3.4 地址暴露

设备在IPv6网络中有一定的隐秘性，但若是IPv6地址被泄露，不法分子可直接访问设备。除了通过防火墙设定精细的过滤规则，还需要注意在以下地方可能存在地址泄露的可能性：

（1）明文保存的网络配置；

（2）明文保存的应用程序日志；

（3）本地DNS动态条目；

（4）应用层Payload中嵌入的IPv6地址；

（5）其他机器和设备的NDP缓存；

（6）DNS服务器查询日志；

（7）NetFlow导出日志；

（8）Web和应用服务器、IPv6测试网站和CDN提供商的访问日志；

（9）代理服务器访问日志；

（10）合法或非法嗅探用户流量。

4 缓解措施

4.1 理解和配置防火墙策略

IPv4的IP头部和TCP头部是固定的，而IPv6中它们不是固定的，会与路由选项、AH等关部串联，防火墙需要解析每个头部，才能有效识别合法的数据包并做出相应的操作。故，需要安全人员理解 IPv6协议以及组织业务特点，才能更好地过滤非法和不必要的数据包，保护网络和数据安全。

4.2 过渡期间的安全策略

在实现全面 IPv6前，防火墙及各种安全设备很多工作在双栈模式下，对IPv4和IPv6都要配置安全策略，否则会导致重要系统和数据暴露，带来风险，并且在策略变更时，需在两种协议下同步实施变更并确保经过测试有效。另外，可通过配置 RA Trust、DHCP Trust、NDP表项最大数量，来提高NDP安全性。

4.3 增加入网认证措施

有效的网络接入认证措施，可以大幅降低非法节点发起NDP欺骗攻击可能性。例如采用802.1X技术验证用户身份，审计系统记录用户的身份、接入位置、MAC地址、IP地址，对于高敏感的网络中增加流量分析系统，确保各种敏感操作均在审计范围内。

5 结论

新技术、新特性的引入，可以解决已知安全问题，但同时也可能带来新的安全隐患，网络安全的目标和本质不变，需要保持良好的安全意识和实施有效的双栈安全策略，从而保护公共设施、重要系统和数据安全。

从个人用户角度看，需要普及IPv6的新知识、新特点，有意识地保护自己的全球唯一地址，安装并使用本地防火墙；从运营商角度看，应落实有效的真实源地址检查机制，建立完善的网络监测、审计和应急机制；从安全设备厂商来看，应加强对IPv6新特性的支持，确保设备可靠、稳定地运行。