一文全面了解IPv6( 三 ) _IPv6

攻击者可以伪装为大量的DHCPv6客户端，向DHCPv6服务器请求大量的IPv6地址，耗光IPv6地址池。
拒绝服务攻击
攻击者可向DHCPv6服务器发送大量的SOLICIT消息，强制服务器在一定时间内维持一个状态，致使服务器CPU与文件系统产生巨大负担，直至无法正常工作。
伪造DHCPv6服务器
攻击者可伪造成DHCPv6服务器向目标客户端发送伪造的ADVERTISE与REPLY报文，在伪造报文中携带虚假的默认网关、DNS服务器等信息，以此实现重定向攻击。
应对方式
对客户端所有发送到FF02::1:2(所有DHCPv6中继代理与服务器)和FF05::1:3(所有DHCPv6服务器)的消息数量进行速率限制。
DHCPv6中内置了认证机制，认证机制中的RKAP协议[9]可以对伪造DHCPv6服务器的攻击行为提供防范。
四、IPv6 对安全硬件的影响
1、防火墙
IPv6报头的影响
针对IPv6报文，防火墙必须对IPv6基本报头与所有的扩展首部进行解析，才能获取传输层与应用层的信息，从而确定当前数据报是否应该被允许通过或是被丢弃。由于过滤策略相比IPv4更加复杂，在一定程度上将加剧防火墙的负担，影响防火墙的性能。
IPSec的影响
如若在IPv6数据包中启用加密选项，负载数据将进行加密处理，由于包过滤型防火墙无法对负载数据进行解密，无法获取TCP与UDP端口号，因此包过滤型防火墙无法判断是否可以将当前数据包放行。
【一文全面了解IPv6】由于地址转换技术（NAT）和IPSec在功能上不匹配，因此很难穿越地址转换型防火墙利用IPSec进行通信。
2、IDS&IPS
面对IPv6数据包，倘若启用了加密选项，IDS与IPS则无法对加密数据进行提取与分析，无法通过报文分析获取TCP、UDP信息，进而无法对网络层进行全面的安全防护。即便只允许流量启用AH认证报头，但认证报头内部具有可变长度字段ICV，因此检测引擎并不能准确地定位开始内容检查的位置。
五、过渡技术的安全性
1、双栈技术
倘若双栈主机不具备IPv6网络下的安全防护，而攻击者与双栈主机存在邻接关系时，则可以通过包含IPv6前缀的路由通告应答的方式激活双栈主机的IPv6地址的初始化，进而实施攻击。
2、隧道技术

隧道注入：攻击者可通过伪造外部IPv4与内部IPv6地址伪装成合法用户向隧道中注入流量。
隧道嗅探：位于隧道IPv4路径上的攻击者可以嗅探IPv6隧道数据包，并读取数据包内容。

3、翻译技术
利用翻译技术实现IPv4-IPv6网络互联互通时，需要对报文的IP层及传输层的相关信息进行改动，因此可能会对端到端的安全产生影响，导致IPSec的三层安全隧道在翻译设备处出现断点。（以上研究来源于狴犴安全团队）

IPv6 的影响

从地址配置角度看：
IETF 已经意识到 IPV6地址的确存在泄露设备和用户隐私的风险，随后推出了一系列隐私保护方案，从技术和标准的角度规避了上述隐私泄露的风险。然而，考虑到上述隐私保护协议在 2017 年刚刚完成，不排除有些设备仍然采用了较低的配置方式，那么这种风险的确是存在的，因而在实施层面，也的确会因为隐私保护协议的缺失带来隐私泄漏的风险。
从应用角度看：
IPv6 巨大的地址空间和自动化的地址配置方式为以物联网和移动互联网等海量设备实时在线、端到端互联的应用场景提供了良好的支撑，同时便于溯源管理。当然，IPv6 的灵活配置和永远在线特点也存在应用层面的安全风险。
从全球层面看：
IPv6 的部署和应用已经进入加速发展的阶段。目前，已有超过 100 个国家和地区部署了 IPv6 网络，有 317 个网络运营商提供基于 IPv6 的接入服务。截至 2018 年 7 月，全球 IPv6 用户总数超过 5.59 亿，显然IPv6 已经成为下一阶段互联网发展的全球共识。
从网络空间格局的力量博弈看：
第一，发达国家在这一场新的竞赛中并未懈怠，特别是美国作为互联网的起源地，仍然是 IPv6部署和应用的领头羊。
第二，发展中国家和不发达国家可以把握机遇，提升本国的互联网基础设施建设。特别是对那些尚未获得 IPv4 地址资源的发展中国家和不发达国家而言，更充足的地址资源可以为提高互联网接入和普及率，发展互联网产业及推动数字经济的可持续发展提供必要的保障。
第三，主要大国在 IPv6 相关领域和全球市场的竞争博弈将更趋激烈。