正在播放国产对白孕妇作爱|国产饥渴熟女91|国产精品亚洲一区二区在线观看|A国产欧美激情在线

從IPv4到IPv6 安全要跟上技術(shù)升級(jí)的腳步

近日，據(jù)媒體報(bào)道，有IT專(zhuān)家稱(chēng)發(fā)現(xiàn)了首例基于IPv6的分布式拒絕服務(wù)（DDoS）攻擊，來(lái)自1900個(gè)IPv6地址背后的計(jì)算機(jī)設(shè)備向目標(biāo)域名服務(wù)器發(fā)起進(jìn)攻。

“這只是新一輪網(wǎng)絡(luò)破壞活動(dòng)的開(kāi)始?！庇谢ヂ?lián)網(wǎng)工程師如是警告。

當(dāng)前，由于全球聯(lián)網(wǎng)設(shè)備總量迅速攀升，現(xiàn)有基于IPv4協(xié)議的全球互聯(lián)網(wǎng)面臨網(wǎng)絡(luò)地址消耗殆盡、服務(wù)質(zhì)量難以保證等制約。IPv６能提供充足的網(wǎng)絡(luò)地址和廣闊的創(chuàng)新空間，這意味著有更多的設(shè)備可以接入互聯(lián)網(wǎng)，因此業(yè)界對(duì)IPv6呼聲頗高。

然而，正當(dāng)全球各國(guó)積極部署IPv6之時(shí)，針對(duì)它的攻擊也悄然而至。

那么，IPv6存在哪些技術(shù)缺陷？我國(guó)又該如何將其補(bǔ)足？

2012年就曾出現(xiàn)過(guò)類(lèi)似攻擊

偶然間，網(wǎng)絡(luò)專(zhuān)家韋斯利·喬治注意到了一些奇怪的流量，這是針對(duì)一臺(tái)域名服務(wù)器發(fā)動(dòng)的大規(guī)模攻擊的一部分，企圖讓服務(wù)器不堪重負(fù)。喬治供職于美國(guó)Neustar公司的SiteProtect DDoS保護(hù)服務(wù)部門(mén)，他當(dāng)時(shí)正在收集惡意流量的數(shù)據(jù)包，并立即意識(shí)到“這些數(shù)據(jù)包源自IPv6地址并指向IPv6主機(jī)”。

此次事件，國(guó)內(nèi)很多報(bào)道將其稱(chēng)為首例針對(duì)IPv6的“拒絕服務(wù)攻擊”。

“其實(shí)這并不是首例拒絕服務(wù)攻擊，更談不上是首例基于IPv6的攻擊了?！?月8日，北京理工大學(xué)軟件安全研究所副所長(zhǎng)閆懷志在接受科技日?qǐng)?bào)記者采訪時(shí)說(shuō)。

閆懷志介紹，早在2012年2月，美國(guó)信息安全公司Arbor Networks就在年度研究報(bào)告中稱(chēng)：“出現(xiàn)了針對(duì)IPv6的DDoS攻擊，這是攻擊者和防御者之間‘軍備競(jìng)賽’的一個(gè)重要里程碑，針對(duì)IPv6的DDoS攻擊將會(huì)越來(lái)越常見(jiàn)?！碑?dāng)時(shí)，有4%的受訪者就表示，他們?cè)?jiàn)過(guò)IPv6網(wǎng)絡(luò)遭到這類(lèi)攻擊。

對(duì)此，360安全專(zhuān)家李洪亮也表示，嚴(yán)格來(lái)說(shuō)這不能算是基于IPv6的首例攻擊,只是目前已知的基于IPv6的最大規(guī)模分布式拒絕服務(wù)攻擊?！爱?dāng)然，隨著IPv6的資源越來(lái)越多，攻擊也會(huì)越來(lái)越多?！彼f(shuō)。

DDoS攻擊瞄準(zhǔn)域名服務(wù)器

“從描述信息看，這是一次普通的流量型DDoS攻擊，IP地址數(shù)量并不是很多。與其他流量型攻擊不同的是，它發(fā)生在IPv6環(huán)境?！崩詈榱琳f(shuō)。

閆懷志表示，拒絕服務(wù)攻擊（DoS）是一種較為常見(jiàn)且危害巨大的攻擊方式。這種攻擊通常采用消耗網(wǎng)絡(luò)帶寬等方式，以求讓目標(biāo)信息系統(tǒng)無(wú)法正常提供服務(wù)。

而分布式拒絕服務(wù)是拒絕服務(wù)攻擊的高級(jí)形式，它通常借助客戶/服務(wù)器技術(shù)，將多臺(tái)計(jì)算機(jī)聯(lián)合起來(lái)形成多級(jí)攻擊平臺(tái)，實(shí)現(xiàn)對(duì)一個(gè)或多個(gè)目標(biāo)的拒絕服務(wù)攻擊，這種方式成倍提高了拒絕服務(wù)攻擊的威力。

在分布式拒絕服務(wù)攻擊中，大量計(jì)算機(jī)同時(shí)訪問(wèn)目標(biāo)服務(wù)器，導(dǎo)致服務(wù)器的流量劇增，從而無(wú)法正常提供服務(wù)。

域名服務(wù)器是本次攻擊的目標(biāo)，它主要負(fù)責(zé)將域名轉(zhuǎn)換成與之相對(duì)應(yīng)的IP地址。閆懷志認(rèn)為，此次網(wǎng)絡(luò)專(zhuān)家發(fā)現(xiàn)的異常流量，就是指向域名服務(wù)器，意在摧毀其正常解析能力。

“這種攻擊方式并非只針對(duì)IPv6，只不過(guò)是來(lái)自 IPv6、指向 IPv6而已?！遍Z懷志說(shuō)。

的確，也有專(zhuān)家表示，此次攻擊并未采用專(zhuān)門(mén)針對(duì)IPv6的攻擊方法。但由于其來(lái)自 IPv6并指向IPv6，引起安全人員的高度重視。

新協(xié)議也存在諸多隱患

“應(yīng)當(dāng)承認(rèn)，IPv6協(xié)議與IPv4相比，在保密性、完整性、抗抵賴(lài)性、可認(rèn)證性等安全性方面有了很大的改進(jìn)。但從來(lái)沒(méi)有絕對(duì)的安全，IPv6協(xié)議也不例外，也存在諸多安全隱患?！遍Z懷志說(shuō)。

具體來(lái)講，首先，IPv6與IPv4的伴生和過(guò)渡所采用的雙協(xié)議棧、隧道和地址轉(zhuǎn)換等技術(shù)，給網(wǎng)絡(luò)安全防護(hù)設(shè)置了更高難度。其次，IPv6協(xié)議為提升自身安全性而采取的安全機(jī)制，如被攻擊者惡意利用，就會(huì)給安全識(shí)別和檢測(cè)帶來(lái)更大困難。

也有專(zhuān)家表示，多數(shù)IPv6網(wǎng)絡(luò)存在于軟件而非硬件中，這意味著其可能隱藏更多安全漏洞。另外，某些緩解工具僅適用于IPv4或僅提供IPv4版本，而后再移植至IPv6。

如同互聯(lián)網(wǎng)沒(méi)有國(guó)界一樣，網(wǎng)絡(luò)空間的安全問(wèn)題也沒(méi)有國(guó)界，我國(guó)也不例外。

“國(guó)內(nèi)的不法分子會(huì)針對(duì)IPv6網(wǎng)絡(luò)發(fā)起攻擊，國(guó)外敵對(duì)勢(shì)力更會(huì)將矛頭對(duì)準(zhǔn)我國(guó)的IPv6網(wǎng)絡(luò)?！遍Z懷志說(shuō)，我國(guó)是最早開(kāi)展IPv6應(yīng)用的國(guó)家之一，也在一定程度上參與了國(guó)際IPv6標(biāo)準(zhǔn)的制訂工作。

目前，我國(guó)正處于IPv6的大規(guī)模部署和應(yīng)用階段。因此，閆懷志建議，要從國(guó)家導(dǎo)向、安全意識(shí)、安全技術(shù)和安全管理等方面多管齊下，構(gòu)建面向IPv6的網(wǎng)絡(luò)空間安全保障體系。

“對(duì)我國(guó)來(lái)說(shuō)，用IPv6的人越來(lái)越多，與之相匹配的設(shè)備也越來(lái)越多。IPv4環(huán)境下出現(xiàn)的安全攻擊，也一定會(huì)出現(xiàn)在IPv6環(huán)境下?！崩詈榱琳f(shuō)，IPv6的大規(guī)模部署需要各方面努力，其中運(yùn)營(yíng)商應(yīng)承擔(dān)更多責(zé)任，最有效的方法是從資費(fèi)角度引導(dǎo)用戶和內(nèi)容提供商遷移到IPv6環(huán)境下。

李洪亮認(rèn)為，當(dāng)前的安全防護(hù)設(shè)備、手段和體系等都集中在IPv4層面，盡管很多安全設(shè)備的入網(wǎng)許可需要通過(guò)IPv6測(cè)試，但在IPv6方面投入的精力還很不夠。他建議，以區(qū)域或行業(yè)為試點(diǎn)全面部署IPv6充分驗(yàn)證IPv6安全產(chǎn)品的成熟度。(來(lái)源：科技日?qǐng)?bào)）