“第一起”基于 IPv6的DDoS攻擊！宇眾網(wǎng)絡(luò)服務(wù)器租用

     除了潛在的IPv6安全問題外，還有這些問題：一些緩解工具僅適用于IPv4（常常歸因于硬編碼地址寫入到代碼中）或者部署到IPv4環(huán)境中，后來移植到IPv6環(huán)境中；許多IPv6網(wǎng)絡(luò)任務(wù)是用軟件（而不是用硬件）來實現(xiàn)的，這留下了多得多的潛在安全漏洞；而IPv6協(xié)議中的數(shù)據(jù)包報頭擴展帶來了潛在的、新的攻擊途徑。

互聯(lián)網(wǎng)工程師們發(fā)現(xiàn)了據(jù)稱業(yè)內(nèi)第一起基于IPv6的分布式拒絕服務(wù)（DDoS）攻擊。他們警告，這僅僅是個開頭，下一波網(wǎng)絡(luò)大破壞迫在眉睫。

       網(wǎng)絡(luò)專家韋斯利.喬治（Wesley George）本周早些時候注意到了奇怪的流量，這是針對一臺DNS服務(wù)器發(fā)動的大規(guī)模攻擊的一部分，企圖讓服務(wù)器不堪重負(fù)。他供職于Neustar公司的SiteProtect DDoS保護服務(wù)部門，當(dāng)時他在獲取惡意流量的數(shù)據(jù)包，這是其工作的一部分，他當(dāng)時意識到“來自IPv6地址的數(shù)據(jù)包流入到IPv6主機。”

       這次攻擊不是很大――不像本周針對GitHub發(fā)動的創(chuàng)紀(jì)錄的1.35Tbps攻擊，也沒有采用IPv6獨有的方法，但是不同尋常、令人擔(dān)憂，于是他提醒團隊的其余成員要注意。

       1900個IPv6地址背后的那些計算機在攻擊DNS服務(wù)器，它們只是更多數(shù)量的被征用的系統(tǒng)的一部分，這些系統(tǒng)主要使用公共互聯(lián)網(wǎng)上的IPv4地址。因此，運行IPv6網(wǎng)絡(luò)的任何人都要確保自己已部署了與IPv4網(wǎng)絡(luò)同樣級別的網(wǎng)絡(luò)安全和緩解工具，而且動作要快。

       Neustar的研發(fā)負(fù)責(zé)人巴雷特?萊昂（Barrett Lyon）告訴我們：“面臨的風(fēng)險在于，如果你沒有將IPv6作為威脅模型的一部分，很可能兩眼抹黑。”

       除了少數(shù)幾家知名公司（比如Facebook和LinkedIn）外，已開始引入IPv6網(wǎng)絡(luò)的公司大多數(shù)是通過并行運行IPv4和IPv6來開展這項工作的，常常設(shè)有兩個不同的團隊。萊昂和喬治都警告，根據(jù)他們的經(jīng)驗，網(wǎng)絡(luò)工程師們先安裝好IPv6網(wǎng)絡(luò)，之后才為確保安全而操心。

       敞開的解析系統(tǒng)

       萊昂特別指出，在1900個IPv6地址中，400個被配置不當(dāng)?shù)腄NS系統(tǒng)所使用，大約三分之一的攻擊流量來自那些服務(wù)器――不法分子可以使用DNS服務(wù)器來放大發(fā)送到受害者系統(tǒng)的網(wǎng)絡(luò)流量。這可能是將來的一個巨大問題，因為它表明工程師們在構(gòu)建的網(wǎng)絡(luò)存在固有的安全問題，之后可能需要數(shù)年才能解決。

       幾年來，互聯(lián)網(wǎng)社區(qū)一直高度專注于找出敞開的IPv4解析系統(tǒng)，并打上補丁，因為它們有可能被用于上述的DNS放大攻擊。

       但是這之所以有可能得逞，一方面是由于IPv4地址空間是可掃描的；而IPv6并非如此，IPv6的地址空間非常龐大，不法分子很難使用同樣的技術(shù)來發(fā)現(xiàn)IPv6地址。正因為如此，如今新部署的任何敞開的解析系統(tǒng)無異于是未來潛在的安全噩夢。

       除了潛在的IPv6安全問題外，還有這些問題：一些緩解工具僅適用于IPv4（常常歸因于硬編碼地址寫入到代碼中）或者部署到IPv4環(huán)境中，后來移植到IPv6環(huán)境中；許多IPv6網(wǎng)絡(luò)任務(wù)是用軟件（而不是用硬件）來實現(xiàn)的，這留下了多得多的潛在安全漏洞；而IPv6協(xié)議中的數(shù)據(jù)包報頭擴展帶來了潛在的、新的攻擊途徑。

       說到逐步部署IPv6，IPv6在安全方面有利也有弊，不過隨著IPv6逐漸成為網(wǎng)絡(luò)默認(rèn)協(xié)議，有利方面會逐漸消失。

       說到有利方面，IPv6網(wǎng)絡(luò)還沒有遍地開花，因而攻擊者不會特別關(guān)注它，專門針對這種新的協(xié)議開發(fā)新的攻擊方法，至少目前如此。而目前最糟糕的安全風(fēng)險：拼湊而成的物聯(lián)網(wǎng)產(chǎn)品幾乎完全專注于IPv4。

       默認(rèn)協(xié)議

       但是說到不利方面，幾乎所有現(xiàn)代移動設(shè)備和PC都內(nèi)置了支持IPv6的功能，而且在默認(rèn)情況下已開啟，所以當(dāng)那些IPv6攻擊來臨時，它們將會遭受重創(chuàng)。另外，許多網(wǎng)絡(luò)工程師不知道IPv6是什么，所以保護IPv6也就無從談起。

       喬治假設(shè)，如果網(wǎng)絡(luò)遭到組合型IPv4和IPv6攻擊流量的攻擊（就像本案中發(fā)生的那樣），這是將來的一大問題。系統(tǒng)管理員可能會用上所有正常的緩解工具，但只能對付IPv4流量，致使網(wǎng)絡(luò)仍然受到攻擊，負(fù)責(zé)人無法查清楚原因。

       由于大多數(shù)人使用雙堆棧系統(tǒng)在現(xiàn)有系統(tǒng)旁邊部署IPv6，萊昂還擔(dān)心IPv6攻擊可能會破壞用來并行運行網(wǎng)絡(luò)的路由器和交換機，因此通過后門攻擊IPv4網(wǎng)絡(luò)。

       萊昂表示，本周的攻擊“只是冰山一角”。他希望這可以向系統(tǒng)管理員們敲響一記警鐘，以便將最佳實踐運用于IPv6網(wǎng)絡(luò)，他認(rèn)為“你在IPv4界采取什么措施，就應(yīng)該在IPv6界采取什么措施。”

       不過客觀地說，他并不確信人們會事先吸取教訓(xùn)。萊昂說：“人們并不往往后來把安全看成是優(yōu)先事項。直到面臨危機，才會格外重視安全。”

專業(yè)服務(wù)器租用-宇眾網(wǎng)絡(luò)科技bjsuncity.com 歡迎您的咨詢。