IPv6的優點和局限性

　　IPv6 Day的目的

　　為了鼓勵企業，互聯網服務供應商，硬件設備廠商，操作系統廠商以及網絡公司為IPv6服務做好准備，確保IPv4網絡向IPv6網絡過渡的順利進行。

　　IPv6無法解決全部安全問題

　　IPv6解決了很多IPv4難以解決的安全問題，但是同時它又引進了新的安全風險。其中一個常被人質疑的是，全部網絡設備都將擁有自己的可被路由到的IPv6 地址，這將使得這些設備都暴露在互聯網的復雜環境下。

　　降低隱私能見度

　　如果所有網絡設備都可以通過互聯網訪問，那麼個人用戶就很容易通過網絡被追蹤。這個問題很早就被弗吉尼亞理工大學的研究團隊發現了，他們在較早前的一份報告中解釋說：默認的地址系統如果采用IPv6，在自動配置地址的情況下，第三方將可以通過簡單的指令，諸如ping以及trace route 等在全球范圍追蹤和監視目標用戶。同時用戶發送數據的接受方信息，也會被第三方監視者獲取。

　　該研究團隊還發現，如果采用默認的IPv6地址方案，設備的MAC地址也將暴露在互聯網環境中。於是他們開發了一種防御方案，叫做Moving Target IPv6 Defense (MT6D)。該方案可以提供以下功能：

　　主機之間通過互聯網進行通信時，對於定位，跟蹤和數據流截獲等都保持匿名狀態。

　　這是一個很重要的工作，該研究團隊的Stephen Groat, Matthew Dunlop, William Urbanski, Randolph Marchany, 和Joseph Tront為這項方案申請了專利，並且為此獲得了2011年美國全國安全創新競賽的第三名。

　　為了讓廣大讀者更好的了解MT6D，我們有必要通過團隊的成員來了解一下他們的具體工作。以下是該團隊成員接受采訪時的記錄：

　　記者提問: 你們的研究報告提到，在使用IPv6的無狀態地址自動配置功能時，隱私洩漏問題就凸現出來了。你能解釋一下什麼是無狀態地址自動配置功能，還有這個功能為什麼會影響用戶隱私的安全性?

　　Research team: 無狀態地址自動配置 (SLAAC)是采用IPv6協議的主機自己配置網絡地址的一種方式。主機自己配置IP地址，可以減少網絡管理者的管理負擔。這與IPv4網絡環境中使用的DHCP方式有所改變。

　　使用SLAAC的問題在於，不論主機是否連接子網，它的地址或接口ID(IID)都是相同的。而默認的地址體系也就是64位擴展唯一標識 (EUI64)是采用MAC地址作為IID的。這樣做的結果就是，攻擊者擁有了子網列表以及主機的MAC地址，就可以從世界任何位置對該主機展開攻擊。

　　記者提問: 據說微軟在新版本操作系統中使用了隱私擴展技術來隱藏主機的部分MAC地址，這樣做是不是就夠了?

　　Research team: 隱私擴展技術可以算是一種改進，但是只能保護客戶端系統，而服務器系統仍然處於威脅中。因為隱私擴展技術不能頻繁的變化地址來防止網絡攻擊，對於網站服務器或企業VPN服務器這樣需要全天候開通並且保持固定IP地址的系統來說，並沒有什麼防護效果。

　　這樣的系統還是容易被鎖定和攻擊。另外，隱私擴展技術主要應用於Web通信，其他應用領域，諸如VoIP，VPN等，都無法在隱私擴展模式下工作。

　　Windows系統下應用的隱私擴展還需要依賴於另一個IPv6地址進行鄰居發現，本地DNS以及其它相關功能。而這個地址必須是靜態的，並且能夠被其它主機獲取。如果黑客獲取了該地址，同樣可以用來進一步攻擊目標主機。

　　記者提問: 你們的團隊給出的方案是通過MT6D來提高隱私安全性，在這個系統中，發送方和接收方的IP地址都是動態變化的。這是怎麼實現的呢?