目前全球的IPv6地址数量已广泛应用到各个领域,TCP/IP协议是互联网发展的基石,其中IP是网络层协议,规范互联网中分组信息的交换和选路。目前采用的IPV4协议地址长度为32位,总数约43亿个IPv4地址已分配殆尽。近期,国家工信部已批复同意我国信息通信研究院设立域名根服务器及域名根服务器运作机构,另外要求其严格遵照有关法律法规、行政规章及行业规范要求,接受国家工信部的管控和监督检查。IPv6对网络安全有什么影响?
(1) 报文监听
IPv6中可使用IPSec对其网络层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的。
(2) 应用层攻击
IPv4网络中应用层可实施的攻击在IPv6网络下依然可行,比如SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等应用层的防御不受网络层协议变化的影响。
(3) 中间人攻击
启用IPSec对数据进行认证与加密操作前需要建立SA,通常情况下动态SA的建立通过密钥交换协议IKE、IKEv2实现,由DH(Diffie-Hellman)算法对IKE密钥载荷交换进行安全保障[1],然而DH密钥交换并未对通信双方的身份进行验证,因此可能遭受中间人攻击。
(4) 泛洪攻击
在IPv4与IPv6中,向目标主机发送大量网络流量依旧是有效的攻击方式,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃。
(5) 分片攻击
在IPv6中,中间节点不可以对分段数据包进行处理,只有端系统可以对IP数据包进行分分段与重组,因此攻击者可能借助该性质构造恶意数据包。
在RFC8200中声明禁止重组重叠的IPv6分片,且其限制最小MTU为1280字节[2],因此处理时将丢弃除最后分片外小于1280字节的分片,在一定程序上也缓解了分片攻击。
(6) 路由攻击
在IPv6下,由于部分路由协议并未发生变化,因此路由攻击依旧可行。
(7) 地址欺骗
IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行。