一文全面了解IPv6


一文全面了解IPv6

文章插图
 
前国内的网络正在快速的向IPv6升级中,从网络基础设施如运营商骨干网、城域网,到互联网服务商如各类云服务,以及各类终端设备厂商如手机、电脑、路由器、交换机等,均在向IPv6网络的升级改造中 。根据国家相关部门的计划,2019年要基本全面实现IPv6的支持 。
那么什么是IPv6,有哪些特点,对网络安全有何影响,又将如何应对等等,关于IPv6的种种疑惑,本文将一一为大家做出阐述!
  • 什么是IPv6
IPv6是英文“Internet Protocol Version 6”(互联网协议第6版)的缩写,是用于替代IPv4的下一代IP协议,也就是下一代互联网的协议,其地址数量号称可以为全世界的每一粒沙子编上一个地址 。
IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍 。其128位地址格式将以其在IP地址数量、安全性、移动性、服务质量等方面的巨大优势,改变现代信息生活 。
互联网数字分配机构(IANA)在2016年已向国际互联网工程任务组(IETF)提出建议,要求新制定的国际互联网标准只支持IPv6,不再兼容IPv4 。
  • IPv6的优势
  1. 明显地扩大了IP地址空间
  2. 明显提高了网络的整体吞吐量
  3. 使得整个服务质量得到了很大改善
  4. 安全性有了更好的保障
  5. 支持即插即用和移动性
  • IPv6技术特性
IPv6 在解决了 IPv4 的地址匮乏问题的同时,还在许多方面实现了优化改进,主要包括以下五点:
  • 第一,IPv6 具有层次化的编址方式,地址分配遵循聚类(Aggregation)的原则,同时通过使用更小的路由表,使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,有利于骨干网路由器对数据包的快速转发有效提高转发速度 。
  • 第 二,IPv6 增 强 了 组 播 支 持 以 及 对 流 的控制能力,为多媒体应用和服务质量(QoS,Quality of Service) 控 制 提 供 了 更 好 的 网 络 平台 。
  • 第三,IPv6 同时定义了更灵活的地址配置机制:无状态和有状态地址自动配置机制 。
  • 第四,IPv6 简化了数据包报头,减少处理器开销并节省网络带宽 。这就使得路由器在处理 IPv6 报头时更为高效 。此外,IPv6 使用新的头部格式,其选项与基本头部分开,如果新的技术或应用需要,可将选项插入到基本头部与上层数据之间,这在简化路由处理过程中保证了协议的可扩展性 。
  • 第五,IPv6 拥有基于海量地址空间下的即插即用优势,可更便捷地支持移动性,并可更方便地支持快速、层次、代理以及分布式等多种模式下的移动性管理 。
  • IPv6威胁及隐患
主要从微观技术角度来加以说明
一、IPv4 安全威胁延续
1、报文监听
IPv6中可使用IPSec对其网络层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的 。
2、应用层攻击
IPv4网络中应用层可实施的攻击在IPv6网络下依然可行,比如SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等应用层的防御不受网络层协议变化的影响 。
3、中间人攻击
启用IPSec对数据进行认证与加密操作前需要建立SA,通常情况下动态SA的建立通过密钥交换协议IKE、IKEv2实现,由DH(Diffie-Hellman)算法对IKE密钥载荷交换进行安全保障[1],然而DH密钥交换并未对通信双方的身份进行验证,因此可能遭受中间人攻击 。
4、泛洪攻击
在IPv4与IPv6中,向目标主机发送大量网络流量依旧是有效的攻击方式,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃 。
5、分片攻击
在IPv6中,中间节点不可以对分段数据包进行处理,只有端系统可以对IP数据包进行分分段与重组,因此攻击者可能借助该性质构造恶意数据包 。
6、路由攻击
在IPv6下,由于部分路由协议并未发生变化,因此路由攻击依旧可行 。
7、地址欺骗
IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行 。IPv6 引入的安全隐患
二、Pv6扩展首部威胁
1、逐跳选项报头
安全威胁:可利用逐跳选项报头发送大量包含路由提示选项的IPv6数据包,包含有路由提示选项的数据包要求所有路由器对该数据包进行处理并仔细查看该数据包的报头信息[3],当攻击者发送大量此类IPv6数据包时,将消耗链路上路由器大量资源,严重可造成DoS攻击 。


推荐阅读