IPv6规模部署呼唤全新视角应对网络安全问题

一、IPv6 规模部署背景

2017 年11 月26 日，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，《计划》明确了推进IPv6 部署的重要意义，提出了部署的总体要求和主要目标，并从互联网应用、网络和应用基础设施、网络安全和关键前沿技术角度，安排了实施步骤。《计划》同时提出，要用5-10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6 商业应用网络，实现下一代互联网在经济社会各领域深度融合应用，成为全球下一代互联网发展的重要主导力量。特别值得一提的是，《计划》中涉及多项考核性指标，比如到2018 年末活跃用户达到2 亿，占比不低于20%，国内用户排名前50 的商业应用网站以及应用全面支持IPv6，到2020 年用户则达到5 亿，占比超过50% 等。其次，在实施上，也明确了各自角色：政府引导，企业主导。在策略上，强调统筹规划，重点突破，着力弥补IPv6 应用短板，以应用拉动需求等。

（温特·瑟夫被称为“互联网之父”，也是IPv6的积极倡导者）

TCP / IP 协议是互联网发展的基石，其中IP 是网络层协议，用于规范互联网中分组信息的交换和选路。目前主体采用的IPv4 协议地址长度为32位，总数约43 亿个IPv4 地址已分配殆尽。为应对地址不足，上世纪90 年代，负责互联网国际标准制定的机构——互联网工程任务小组（IETF）协调各方意见后，推出IPv6 协议，并大力推广。IPv6 采用128 位地址，将地址空间扩大到2 的128 次方。

（IPv4 和IPv6 的主要差异对比示意图）

按照全球CDN 网络服务提供商Akamai 提供的数据显示， 目前IPv6使用率最高的国家是比利时（约占46. 4%），美国排名第二（约占40. 04%），印度排第三（约占36.6%）。中国排在第67 位，仅占本国网络地址使用总量的0.3%。全球IPv6 部署程度综合情况如下图所示，图中颜色越深，表明部署应用程度越高。

（全球IPv6 部署程度综合情况示意图）

值得注意的是， 美国IPv6 使用率今年以来提速明显，从20% 上升至40%，提升了一倍。（数据来源：akamai.com，2017 年11 月30 日数据统计）

（2017年美国IPv6使用率）

二、IPv6 环境下网络安全威胁分析

一直以来，许多人提出，IPv6 因为不需要NAT（网络地址映射），地址池庞大，默认的IPSec 安全加密机制，因此有可溯源性，反扫描性，反窃听及篡改等特性，安全性将极大提升。那么问题来了——在IPv6 网络环境真的能够解决安全问题吗？事实上，由于IPv6 协议本身并非为解决网络安全问题而生，IPv6 不仅继承了某些IPv4 的安全问题，还有自己特有的安全威胁，并且在IPv4向IPv6 迁移的过程中，还会产生安全威胁。

一是IPv6 协议本身并没有改变网络分层体系结构，协议层自身的加密安全特性对应用层网络安全影响有限。它突出表现在，在IPv4 中常见的网络扫描攻击、非法访问攻击、窃听攻击、中间人攻击、封包碎片攻击、病毒蠕虫攻击、IP 地址伪造以及DHCP 攻击、甚至是DDoS 等泛洪攻击在IPv6 中也依然存在。为了支持IPv6，大量应用系统需要升级换代，由于IPv6 地址和配置的复杂度更高，各系统厂商会因研发能力不同，引入更多高危漏洞，引发更严重的安全威胁。2016 年，奇虎360发现一种DNS 劫持导致商用VPN 客户端信息数据泄露的漏洞，其受到影响的服务器包括了Facebook、维基百科、雅虎等较早启用IPv6 的公司，而这种漏洞的最大特点是漏洞响应只会出现在主机使用IPv6 发起连接的时候。

二是IPv6 巨量地址空间带来的并没有明显降低攻击扫描的搜索空间。许多人都认为，IPv6 巨大的地址空间使得攻击者的扫描变的困难，但事实上，攻击者仍然可以通过IPv6 前缀信息搜集、隧道地址猜测、虚假路由通告及DNS 查询等手段搜集到活动主机信息从而发起攻击。与IPv4 类似，在目前的管理机制下，用于互联网通讯的IPv6 地址的全球路由前缀通常由上游供应商分配，本地网络管理员将组织网络分成多个逻辑子网，而接口ID（IID）用来确定该子网中的特定网络接口。在选择接口ID（IPv6 地址的低阶64 位）时有很多选择，包括：嵌入MAC 地址、采用低字节地址、嵌入IPv4 地址、使用“繁复”的地址、使用隐私或临时地址依赖于过渡技术或共存技术等。无论采用上述那种选项，这些选项都减小了潜在的搜索空间，使IPv6 主机扫描攻击变得更容易实现。以采用低字节地址选项为例，低字节地址是接口ID 全是0 的IPv6 地址，除了最后8 或16 位（例如2001:db8::1、2001:db8::2 等）。这些地址通常是手动配置的（通常用于基础设施），但是也可能是使用了一些动态主机配置协议版本6（DHCPv6）服务器，这些服务器会从特定地址范围按顺序分配IPv6地址。当采用低字节地址时，IPv6 地址搜索空间被缩小到（最多）216 个地址，这使IPv6 主机扫描攻击变得更为可行。同时，由于IPv6 网络不支持NAT，这就意味着任何一台终端都会暴露在网络中。由于地址池充沛，更多的设备会接入网络，任何人、任何地点、任何设备都可以在任何时间（24 小时）在线，有的人认为目标发现更难，而随着设备量急剧增大，遭受网络攻击、实施网络潜伏的威胁也更大。

三是IPv6 本身强制的加密特性会给现有基于特征检测的网络安全防护产品带来技术挑战。例如，IPv6 的通道功能会影响现有的网络访问控制，IPv4 防火墙在针对IPv6 流量的细力度控制上几乎无力，基于协议和端口的动态包过滤对于能够灵活变化的通道也几近失效，不当配置的企业网络边界控管措施在IPv6 面前形同虚设。例如，Windows 曾爆出的“Teredo”安全事件，Teredo 自动隧道转换，能通过IPv4 网络传递IPv6 流量，帮助客户端实现对IPv4 与IPv6 协议的兼容。但Teredo 客户端可以在把IPv6 数据包传递到另一目的地的同时，绕过基于网络的源路由控制，穿透防火墙等安全设备。此外，IPv6 的加密通道及自动配置功能让端到端的通讯更为便捷也更为危险，还令传统的基于特征检测与分析的入侵检测、内容过滤及监控审计系统失效。基于IPv6 的攻击如分布式拒绝服务攻击、网络穿透攻击、IPv6 加密蠕虫等已见诸安全媒体，但却没有引起安全界的重视。

四是从目前网络威胁发展趋势看，从对抗“黑客”向对抗“黑产”的趋势不可逆转。数据泄露事件越来越密集、APT 攻击越来越隐蔽，表明网络安全今后的重点之一将是对抗“黑产”，而对于“黑产”全链来看，针对IPv6 的攻击方法已经很成熟。著名网络安全服务提供商Arbor Networks 监测的数据表明，从2012 年开始该公司就监测到了首例IPv6 DDOS 攻击，同时也提出，由于IPv6 的网络终端已经发展得相当庞大，这种规模已经足够吸引攻击者耗费经历获取大量注入点以进行针对IPv6 协议的攻击。

五是从已经爆发的各类应用系统处理IPv6 协议漏洞现状看，新版本协议环境下的安全性并没有改观。从总体漏洞形势看，2017 年以来，CVE 编号漏洞涉及IPv6 的共计42 个，中危以上漏洞占比超过50%，评级10 分的高危漏洞1 个。相关漏洞影响路由器、防火墙、网络管理协议、VPN、操作系统等，按危害可以分成权限提升、远程信息泄露、远程执行命令、远程拒绝服务、远程数据修改、不必要的服务等类别，影响范围广泛。而2016 年涉及IPv6 的CVE 漏洞数是27，从数据上看，IPv6 相关漏洞随着各国部署及应用的展开也呈现上升趋势。2016 年，思科爆出死亡之Ping IPv6 漏洞，影响范围巨大，在大规模部署IPv6 的网络环境中甚至极易造成美国东部断网的类似事件。2017 年5 月份爆出的Linux 内核级IPv6 协议处理漏洞（CVE-2017-9242）在处理特殊数据时能够通过特殊调用导致系统崩溃，曝出apache 可编程多层虚拟交换open_vswitch 在处理IPv6畸形数据包时可以触发远程执行功能等都表明，在新版本协议环境下，软硬件系统仍面临与旧版本相同的网络安全问题。

三、应对IPv6 环境下网络安全威胁的建议

许多院士、专家等谈到IPv6 规模部署问题时明确指出，如何将我国在发展IPv6上的技术优势转化为现实优势，争取弯道超车，挑战首先来源于技术层面，安全问题是关键。

一是要有全新视角审视看待和解决新型网络安全问题。此次《计划》重点在于规模部署，而在大规模IPv6 网络环境下，许多传统网络安全解决方案无法适应新的环境变化，安全问题需要重新审视，采用全新视角看待和着手解决。机器学习、人工智能、软件基因、去中心化安管等一批新理念、新思想、新视角应运而生。广州蓝盾股份以智慧安全为理念，持续推进机器学习、AI 等技术融入防火墙、态势感知、云安全、移动信息化安全等安全产品。上海戎磐网络按照“以‘软件基因’全新视角，重新认识网络安全”的使命愿景，持续开展“一库两平台”（一库：软件基因数据库；两平台：恶意样本基因在线检测平台和基因检测服务引擎平台）的网络安全基础数据及应用研究，在IPv6 规模化部署条件下以全新安全视角，为新型网络安全防护提供引擎、数据及技术支撑，不仅能够对恶意代码、流量行为等实施恶意性判定，而且能够对关联性、历史沿革性等属性提供维度更加丰富的安全检测。

二是要有统一标准描述定义网络安全事件。IPv6 环境下更多类型设备接入互联网，万物互联，对网络安全事件的规范化命名和描述带来挑战。以2015 年攻击乌克兰电网的攻击事件、2016 年袭击美国大选的DNC 黑客事件、2017 年的物联网僵尸木马的传播事件这些全球知名威胁事件为例，不同的安全机构和厂商给出了十几种名称，同一种威胁被多次重复命名、甚至混淆命名等情况普遍存在，这样的混乱命名，给威胁情报共享、应急事件处置、安全机制构建带来了极大困难。为此，应当利用区块链去中心化共识机制思想， 遵循“ 首次发现，优先命名”原则，以“软件基因”为基础对威胁事件进行标准化规范，统一威胁事件描述标准，提升网络安全事件综合应急响应水平。

三是要有足够的IPv6 网络安全人才储备。IPv6 下一代互联网具有非常重要的战略意义，已成为我国拓展网络空间竞争力的新平台。通过下一代互联网提升创新能力，加强人才培养，助力实现网络强国战略，应成为落实《计划》的同步战略选择。应当紧急围绕下一代网络安全发展趋势、标准、技术、安全管理、测评、态势感知、脆弱性分析的特点，加大高层次创新型人才培养，营造浓厚的网络安全人才创新创业氛围，打造布局合理的人才结构梯次，加大IPv6 人才资源开发投入，为我国下一代互联网的发展培养和储备人才打下坚实基础。

来源：网信军民融合