IPv6最新網絡安全威脅分析

　　IPv6我們知道是最新的IP地址技術，他提供了更多的IP地址供我們實用，是十六進制算法的，理論上是很安全的，但是隨著實用的增多，也出現了一些弊端，下面就一起來分析一下這些不安全的因素吧！

         與IPv4協議相比，IPv6提供了更大的地址空間、集成的安全性、簡易的配置和更簡潔的包頭結構。在IPv6中IPSec是一個必須組成部分，使得網絡層的安全性得到了增強，但IPv6並未要求強制實施IPSec協議，而且IPSec對PKI基礎設施的依賴、可擴展問題和效率問題，使得IPSec在實際IPv6 網絡環境中極少部署。

　　由於IP網絡根本的數據傳輸機制沒有改變，IPv6網絡面臨著許多與IPv4 網絡相同的攻擊，例如報頭處理和分片攻擊、地址欺騙、地址解釋和DHCP 攻擊、蠕蟲和病毒攻擊等。同時由於協議自身的特性，IPv6還存在許多新的安全威脅，例如IPv6的網絡偵察、第三層地址欺騙與地址的隱私擴展、ICMPv6相關安全攻擊、IPv6擴展頭部的安全、隧道的安全等。隨著IPv6在校園網中的廣泛部署，IPv6 網絡的安全問題日益突出。

　　IPv6網絡安全新威脅主要分為兩類，如圖1 所示，一類是IPv6協議棧實現上的漏洞產生的威脅，例如蘋果Mac OS X 操作系統的IPv6套接字選項拒絕服務攻擊漏洞（CVE-2010-1132），Linux 內核IPv6分片標識遠程拒絕服務攻擊漏洞（CVE-2011-2699），攻擊者可以利用這些漏洞發起攻擊，針對這類安全威脅， 用戶應及時升級和更新系統；另一類是IPv6協議特有的新威脅，例如IPv6的網絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等，下面進行介紹幾種典型的IPv6 網絡安全威脅。

　　IPv6的網絡偵察

　　網絡偵察往往是攻擊的第一步，但是巨大的IPv6地址空間使得傳統的網絡地址段ping掃描在IPv6網絡中是非常困難的。然而這並不能說明在IPv6 網絡中無法進行掃描攻擊，攻擊者可以通過利用安全性較差路由器上的ND 緩沖、DNS、易於記憶的地址（如：：1， ：：IPv4等）和采集數據包分析等方式實施攻擊，另外IPv6組播機制使得某些掃描變得更容易，如所有路由器、所有DHCP服務器。典型的IPv6網絡掃描技術包括以下幾種：

　　1. 搜集IPv6前綴信息

　　攻擊者通過觀察路由信息，例如捕獲路由器定期發送的RA報文或者偽造一個RS報文發送給所有路由器然後觀察路由器回復的RA 報文；或從互聯網注冊機構分配地址空間的信息可以學習到一些IPv6 前綴信息。

　　2. DNS查詢

　　通過DNS公告的服務器可以很容易通過DNS查詢得到對應的IPv6地址。而且如果管理者使用順序的方式為主機分配地址，那麼只發布一個服務器地址就可能威脅到其他主機。