IPv6是如今在網上日益得到采用的下一代尋址方案,它取代了互聯網的主要通信協議IPv4;但安全專家們表示,越來越多的攻擊在鑽IPv6已知漏洞的空子。
總部設在弗吉尼亞州費爾法克斯市的IT工程公司Salient Federal Solutions聲稱,如今的實際環境中出現了IPv6攻擊事件,這些攻擊利用了這個新興協議的隧道功能、路由報頭、DNS廣播和惡意路由公布等。這家 公司聲稱,如果使用能夠支持IPv6的深層數據包檢查工具,就可以消除所有這些威脅。該公司及其他網絡廠商銷售這類工具。
Salient公司網絡安全卓越中心的負責人Lisa Donnan說:“我們的確看到了這些攻擊,只是說不出來在哪裡看到。”今年3月,Salient Federal Solutions收購了IPv6咨詢和培訓公司Command Information。
Salient Federal 看到的頭號攻擊歸咎於眾多的IPv6流量在IPv4網絡上通過隧道來傳送,尤其是使用內置在微軟Windows Vista和Windows 7中的Teredo機制。IPv6流量在IPv4網絡上通過隧道來傳送存在的這個安全漏洞至少五年前就已知道了,但現在仍被不法分子鑽空子。
Salient Federal Systems的高級主管兼IPv6網絡架構師Jeremy Duncan說:“IPv6隧道機制讓攻擊者得以肆無忌憚地滲入到網絡。”
Duncan擔心的是uTorrent,這是支持IPv6的免費客戶端,面向用於共享音樂和電影等大文件的BitTorrent對等協議。 Duncan表示,uTorrent在Teredo上運行起來很順暢;BitTorrent用戶社區發現,IPv6是規避網絡擁塞控制措施的一個方法,互 聯網服務提供商(ISP)經常采用控制措施來管理IPv4網絡上的BitTorrent流量。
Duncan表示,另一款BitTorrent應用軟件Vuze的用戶也往往偏愛IPv6,而不是IPv4。
Duncan說:“BitTorrent的用戶發現,提供商不會遏制IPv6方面的流量。這對運營商們來說是個問題。它們之所以無法遏制IPv6流量,就是由於沒在檢查這種流量。”
Salient Federal表示,它還看到了針對IPv6的類型0路由報頭(Type 0 Routing Header)發動的攻擊。類型0路由報頭是IPv6的一項功能,讓網絡運營商可以識別一路上哪些路由器可以接收數據包。互聯網工程任務組(IETF)在 2007年就建議,應該禁用IPv6的這項功能,原因是該功能可能被用於拒絕服務攻擊。IETF還認為這個威脅的危害性“特別大”。
不過,Salient Federal看到它監控的IPv6生產型網絡同樣受到了針對類型0路由報頭的攻擊。比如說,Command Information最後查明,這種攻擊起源於它自己的其中一只沒有在使用的邊界路由器。攻擊的源頭是遠在中國的一個科研網絡。一旦這種攻擊得逞,中國 黑客就可以將惡意流量,從Command Information那只遭到攻擊的邊界路由器發送到其他網絡。
Duncan說:“網絡管理人員必須關閉路由器中的這項功能。幾年前,所有思科路由器在默認情況下都啟用這項功能。比較新的路由器則關閉了這項功能;問題就出在比較舊的路由器上。”
與IPv6相關的另一種威脅來自互聯網的DNS系統播送所謂的四A記錄(Quad A record)的方式,IPv6用到這種記錄。Duncan表示,四A查詢出現在該公司監控的每一個網絡上,盡管那些網絡中有許多並不支持IPv6流量。
四A查詢播出去後,這無異於表明網絡上的一些節點能夠支持IPv6,然後不法分子就可以用基於IPv6的攻擊來鎖定這些節點。因為網絡本身不支持IPv6,所以網絡管理人員很可能沒有使用深層數據包檢查工具來監控IPv6流量。
Duncan把播送四A記錄的IPv4網絡稱為“裝滿子彈的火槍”。
Duncan說:“如果公司企業擁有能夠支持IPv4,但不支持IPv6的設備,黑客們就知道缺少IPv6方面的網絡管理。他們就很容易向該企業 的郵件服務器發送洪水般的垃圾郵件,而垃圾郵件裡面含有惡意軟件。他們只需要擁有更高權限的某個用戶打開含有惡意軟件的某一封垃圾郵件,而該惡意軟件就可 以透過防火牆在隧道裡打開IPv6。”
Duncan指出,他還沒有見過四A漏洞被人鑽空子的情況,不過他認為這是企業面臨的一個重大威脅。
Duncan說:“我們還沒有看到利用這個漏洞的具體案例,但見過許多IPv6隧道流量並沒有加以檢查。每家企業播出去的四A記錄可能多達成千上萬條……解決辦法就是,如果你沒有在使用IPv6,就要牢牢鎖住它,另外使用深層數據包檢查工具。”
最後,Salient Federal聲稱,它看到了IPv6的惡意路由器公告;不過該公司承認,還沒有看到哪個不懷好意的人發送這種惡意公告。IETF在今年2月曾提醒防范惡意路由器公告這種威脅,指出這個安全漏洞可能被用於發動拒絕服務攻擊或中間人攻擊。