郭毅 國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心

在2018 ISC互聯(lián)網(wǎng)安全大會——IPv6規(guī)?；渴鹋c安全論壇上，國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心郭毅發(fā)表題為《IPv6協(xié)議棧脆弱性分析》的演講，他從IPv6相較于IPv4的主要改變出發(fā)，并在此基礎(chǔ)上分析了這些改變可能帶來的新的脆弱性。

IPv6較于IPv4的改變

IPv6較于IPv4的改變主要表現(xiàn)在四個方面：

第一，IPv6編址發(fā)生改變。由過去的32位增加到128位，極大擴(kuò)展了IP地址空間，可以不受限制地獲取IPv6地址。

第二，報頭格式發(fā)生改變。IPv6簡化基本報頭，擴(kuò)展報頭也更為靈活?？蛇x項(xiàng)被統(tǒng)一移到擴(kuò)展報頭，附加在目的IP地址字段后面，可以有0個或者多個擴(kuò)展報頭。中間路由器不必處理每一個選項(xiàng)，提高了處理數(shù)據(jù)報文的速度，也提高了轉(zhuǎn)發(fā)性能。

第三，ICMPv6協(xié)議。該協(xié)議具備ICMPv4的常見功能，如提供發(fā)送和轉(zhuǎn)發(fā)中的錯誤報告，以及用于故障分析的簡單回送服務(wù)，廢除不再使用的過時消息類型。協(xié)議綜合了原有IPv4中分屬不同協(xié)議的功能，多播偵聽發(fā)現(xiàn)（MLD），取代IPv4中的IGMP協(xié)議，管理組播組成員。

第四，ND（鄰居發(fā)現(xiàn)）機(jī)制。組合并改進(jìn)了原有功能，工作在網(wǎng)絡(luò)層，任何網(wǎng)絡(luò)媒介都可以運(yùn)行相同的鄰居發(fā)現(xiàn)。

IPv6協(xié)議棧的脆弱性

IPv6協(xié)議棧脆弱性首先是非IPv6特有的安全威脅，包括：（1）應(yīng)用層協(xié)議或服務(wù)導(dǎo)致的漏洞在網(wǎng)絡(luò)層無法消除；（2）利用嗅探工具實(shí)施網(wǎng)絡(luò)嗅探，可能導(dǎo)致信息泄露；（3）設(shè)備仿冒接入網(wǎng)絡(luò)；（4）未實(shí)施雙向認(rèn)證情況下，可實(shí)施中間人攻擊；（5）洪泛攻擊。

其次，IPv6的特性帶來新脆弱性，包括雙棧環(huán)境、IPv6編址、擴(kuò)展報頭、ICMPv6、ND機(jī)制、協(xié)議具體實(shí)現(xiàn)相關(guān)等脆弱性。

擴(kuò)展報頭相關(guān)脆弱性問題比較多：第一個就是安全控制規(guī)避，在RFC規(guī)范中，同一個包中若有多于一個擴(kuò)展選項(xiàng)時，建議以如下順序排列：基本報頭、HBH逐跳選項(xiàng)、DH目的選項(xiàng)、RH路由報頭、FH分段報頭、AH認(rèn)證報頭、ESP封裝安全荷載報頭。要求HBH須緊跟基本報頭，且中間節(jié)點(diǎn)必須處理；第二個是處理要求帶來的拒絕服務(wù)；第三個是實(shí)現(xiàn)錯誤引起的拒絕服務(wù)。

IPv6網(wǎng)絡(luò)安全防護(hù)建議

第一，熟悉IPv6網(wǎng)絡(luò)知識及IPv6特有安全威脅。人是網(wǎng)絡(luò)安全最重要的環(huán)節(jié)，通過對安全人員的培訓(xùn)和教育，使其盡快掌握IPv6環(huán)境下安全威脅與防護(hù)技能，增強(qiáng)對新環(huán)境安全問題的處置能力；

第二，重視各類IPv6協(xié)議棧的漏洞挖掘與修補(bǔ)。漏洞挖掘是加快IPv6漏洞發(fā)現(xiàn)的重要手段，鼓勵安全企業(yè)和個人提交與IPv6協(xié)議棧相關(guān)漏洞，使得IPv6協(xié)議棧能夠盡快得到修補(bǔ)和完善；

第三，IPv6網(wǎng)絡(luò)安全防護(hù)產(chǎn)品開發(fā)優(yōu)化與防護(hù)策略。推進(jìn)現(xiàn)有安全設(shè)備在IPv6環(huán)境中的兼容和落地，避免出現(xiàn)運(yùn)行在IPv6下的業(yè)務(wù)系統(tǒng)缺少必要的安全防護(hù)措施的局面。