傅小兵?宗春鴻?嚴寒冰?周濤華

摘要：在現(xiàn)代互聯(lián)網(wǎng)環(huán)境中，IPv6是最為先進的一種通信協(xié)議。但隨著IPv6協(xié)議在互聯(lián)網(wǎng)中的廣泛應(yīng)用，相應(yīng)的安全風險也開始出現(xiàn)?；诖耍疚谋銓Pv6協(xié)議條件下的互聯(lián)網(wǎng)絡(luò)安全風險及其防范進行分析。主要包括IPv6協(xié)議及其在互聯(lián)網(wǎng)絡(luò)中的應(yīng)用現(xiàn)狀、互聯(lián)網(wǎng)絡(luò)中的IPv6主要安全風險分析，以及互聯(lián)網(wǎng)絡(luò)中的IPv6主要安全風險防范分析。希望通過本次的分析，可以為IPv6協(xié)議的合理應(yīng)用與互聯(lián)網(wǎng)絡(luò)安全性的有效提升提供一定參考。

關(guān)鍵詞：IPv6協(xié)議；互聯(lián)網(wǎng)絡(luò)；安全風險；風險防范

在IPv6協(xié)議下進行互聯(lián)網(wǎng)絡(luò)通信過程中，網(wǎng)絡(luò)安全是需要重點關(guān)注的內(nèi)容。為了有效確保IPv6協(xié)議條件下的互聯(lián)網(wǎng)絡(luò)安全，相關(guān)單位、研究者和技術(shù)人員首先需要明確IPv6協(xié)議及其在現(xiàn)代互聯(lián)網(wǎng)絡(luò)中的應(yīng)用現(xiàn)狀，并分析其具體應(yīng)用中的主要安全風險。然后再以此為依據(jù)，提出具有針對性的風險防范措施。通過這樣的方式，才能讓IPv6技術(shù)條件下的互聯(lián)網(wǎng)絡(luò)安全風險得到良好防范，同時發(fā)揮IPv6協(xié)議優(yōu)勢，實現(xiàn)整體網(wǎng)絡(luò)安全的良好保障。

一、IPv6協(xié)議及其在互聯(lián)網(wǎng)中的應(yīng)用現(xiàn)狀

IPv6協(xié)議是第六版互聯(lián)網(wǎng)協(xié)議，該協(xié)議是由互聯(lián)網(wǎng)工程組新提出的，同時也是傳統(tǒng)IPv4協(xié)議在當今的一種關(guān)鍵替代協(xié)議。相比較傳統(tǒng)的IPv4協(xié)議而言，IPv6協(xié)議具有更多優(yōu)勢。表1是IPv4與IPv6協(xié)議的基本情況對比：

憑借著這些優(yōu)勢，IPv6協(xié)議已經(jīng)在當今的互聯(lián)網(wǎng)和相關(guān)領(lǐng)域中得到了越來越廣泛的應(yīng)用，IPv4協(xié)議向IPv6協(xié)議的過渡也正在進行。尤其是在5G技術(shù)的應(yīng)用和發(fā)展中，IPv6協(xié)議更是在相關(guān)的網(wǎng)絡(luò)升級改造等領(lǐng)域中發(fā)揮出了顯著的應(yīng)用優(yōu)勢。雖然IPv6協(xié)議具有很高的安全性，但是隨著當今各種先進技術(shù)的發(fā)展與網(wǎng)絡(luò)攻擊手段的增加，基于IPv6協(xié)議的互聯(lián)網(wǎng)安全問題也日益突出。為實現(xiàn)此類問題的有效應(yīng)對，相關(guān)單位與技術(shù)人員就需要對其主要的安全風險及其防范措施加以深入研究，以此來為此項協(xié)議條件下的互聯(lián)網(wǎng)絡(luò)安全提供良好保障[1]。

二、互聯(lián)網(wǎng)中的IPv6主要安全風險分析

（一）報頭安全風險

首先是關(guān)于基本報頭方面的安全風險。在IPv6協(xié)議的基本報頭中，新增的流字段標簽?zāi)軌驕蚀_識別連續(xù)流、唯一流以及兩者連接而成的數(shù)據(jù)包，并根據(jù)優(yōu)先級完成相應(yīng)的數(shù)據(jù)包發(fā)送，同時可以通過路由器對數(shù)據(jù)進行分流處理。然而，由于流標簽在安全防護方面缺乏定義，因此攻擊者可能輕易偽造流標簽或利用某些流標簽值，以隱藏攻擊數(shù)據(jù)。其次是擴展報頭方面的安全風險。由于協(xié)議規(guī)范對擴展報頭的應(yīng)用未做出約束，攻擊節(jié)點可能會利用擴展報頭進行各種形式的攻擊。通常情況下，擴展報頭所面臨的安全風險包括以下幾種情況：①攻擊節(jié)點可能與多個擴展報頭建立鏈接，繞過入侵防御系統(tǒng)和防火墻，對互聯(lián)網(wǎng)進行攻擊。②防火墻和路由器等中間設(shè)備通常只對數(shù)據(jù)包中的第一個分段進行檢查，而攻擊點可能會進入后續(xù)分段中，并與數(shù)據(jù)混淆在一起，最終避開安全檢測設(shè)備來對互聯(lián)網(wǎng)實施攻擊[2]。③擴展報頭通常會消耗大量資源，容易使目的主機受到拒絕服務(wù)攻擊。除此之外，不同形式的擴展報頭也將面臨不同的安全風險。例如，逐跳選項形式的報頭很容易遭到攻擊節(jié)點的惡意利用，從而導(dǎo)致目的節(jié)點和沿著流量路徑的節(jié)點的資源被大量消耗；分段形式的報頭很容易受到攻擊節(jié)點的不完整數(shù)據(jù)攻擊，從而使接收節(jié)點一直處于等待狀態(tài)，最終消耗大量資源；路由報頭在受到攻擊者利用之后，攻擊節(jié)點可以直接繞過IPv6協(xié)議的防火墻，對內(nèi)部的受保護主機進行訪問。

（二）地址安全風險

首先是地址探測方面的安全風險。IPv6協(xié)議對于域名解析具有很大的依賴性。在這樣的情況下，各個攻擊節(jié)點很可能將域名系統(tǒng)作為主要目標來實施攻擊。若應(yīng)用在其中的網(wǎng)絡(luò)接口具有同種品牌、唯一標識符以及 IPv4 協(xié)議地址，將很容易出現(xiàn)低字節(jié)地址以及 IPv6 嵌入等問題，從而進一步提升攻擊節(jié)點探索其地址的速度。

其次為地址配置中的安全風險?；ヂ?lián)網(wǎng)絡(luò)的地址配置方式主要有兩種。其一是自動進行有狀態(tài)地址配置，即主機借助于 DHCPv6 對 IPv6 地址及其相關(guān)配置信息進行獲取。此種配置方法更具可控性，可實現(xiàn)主機和地址分配等信息的清晰了解。但是在通過該方法進行地址配置時，卻存在以下幾個方面的安全風險：①服務(wù)器私設(shè)，主要是攻擊點向合法客戶端發(fā)送偽造信息，比如 REPLY 信息與 ADVERTISE 信息等，以此來私設(shè) DHCPv6 類型的服務(wù)器，并在用戶主機上設(shè)置錯誤的地址與其他相關(guān)信息，最終導(dǎo)致客戶端網(wǎng)絡(luò)無法正常連接。②篡改信息，主要是 DHCPv6 型服務(wù)器機制并不能有效檢測信息完整性，如果有攻擊節(jié)點篡改了消息內(nèi)容，用戶端也會面臨較大的安全風險。③拒絕服務(wù)，其主要表現(xiàn)是攻擊節(jié)點將大量用來進行服務(wù)器發(fā)現(xiàn)的SOLICIT 消息發(fā)送給服務(wù)器，使其 CPU 負荷過大，最終導(dǎo)致宕機不能正常提供服務(wù)[3]。其二是自動進行無狀態(tài)地址配置，即通過 ICMPv6 協(xié)議里的路由器請求消息以及通告消息對相應(yīng)的信息實時獲取，并自動生成與之對應(yīng)的接口標識符。之后再采用檢測重復(fù)地址的方式對其鏈接地址進行唯一性驗證，最終在不需要額外設(shè)置服務(wù)器的情況下自動實現(xiàn)無狀態(tài)配置。在該方法的具體應(yīng)用中，主要面臨的安全風險包括以下幾種：①欺騙，其主要表現(xiàn)是沒有在 SLAAC 中構(gòu)建相應(yīng)的認證機制，攻擊節(jié)點可將非法 RA 報文發(fā)送出去，以此來實現(xiàn)默認服務(wù)器的偽裝。②最后一跳惡意路由器，攻擊節(jié)點會將自己偽造成合法路由器，將非法 RA 信息發(fā)送到被攻擊的網(wǎng)絡(luò)中，使其主機里的網(wǎng)絡(luò)前綴出現(xiàn)問題。③隱私問題，非法網(wǎng)絡(luò)設(shè)備會將 IPv6 協(xié)議地址中的網(wǎng)絡(luò)前綴作為 ID，使其中所有用戶都具有相同的 ID，從而生成相應(yīng)的靜態(tài)特性地址，讓攻擊者更容易實施設(shè)備跟蹤。

（三）ICMIPv6安全風險

ICMPv6是IPv6協(xié)議中的一項重要功能，其主要作用是網(wǎng)絡(luò)診斷、協(xié)議控制以及協(xié)議管理等。在具體應(yīng)用中，ICMPv6消息可按照錯誤類和信息類進行劃分，其主要的安全風險包括以下幾個方面：

首先是錯誤類信息中的安全風險。很多攻擊節(jié)點會向被攻擊的目標節(jié)點發(fā)送非法數(shù)據(jù)包，因為被攻擊節(jié)點在運行中需要借助一個ICMPv6錯誤消息來響應(yīng)全部的數(shù)據(jù)包資源，所以在這種模式下，拒絕服務(wù)類攻擊情況很容易發(fā)生。其次是消息傳輸中的安全風險。許多攻擊節(jié)點會偽裝成被攻擊節(jié)點，并向其他節(jié)點發(fā)送大量請求消息。由于其他節(jié)點會對接收到的請求消息進行應(yīng)答，被攻擊節(jié)點將在短時間內(nèi)接收大量應(yīng)答消息，同時也需要在短時間內(nèi)發(fā)送大量應(yīng)答回送信息，導(dǎo)致遭遇泛洪攻擊，最終無法正常通信。在這個過程中，如果攻擊節(jié)點通過冒充被攻擊節(jié)點的方式向組播地址發(fā)送回送請求類的信息，攻擊問題將會被進一步放大，對正常的網(wǎng)絡(luò)通信造成嚴重不利影響。最后是PMTU發(fā)現(xiàn)中的安全風險。PMTU是網(wǎng)絡(luò)源與目標節(jié)點之間的最大傳輸單元，具體應(yīng)用時，任何鏈路都可以為其提供支持。由于IPv6協(xié)議不允許各個中間節(jié)點對數(shù)據(jù)包進行分段處理，所以在數(shù)據(jù)包傳輸中通常需要通過PMTU來處理數(shù)據(jù)包。在這種情況下，攻擊節(jié)點可向中間路徑發(fā)送大量數(shù)據(jù)包碎片，形成嚴重的碎片攻擊，最終導(dǎo)致目標系統(tǒng)中的重建緩沖區(qū)超載，嚴重的情況下甚至?xí)咕W(wǎng)絡(luò)系統(tǒng)直接崩潰。

三、互聯(lián)網(wǎng)中的IPv6主要安全風險防范分析

（一）報頭安全風險防范

對于報頭安全風險，在IPv6協(xié)議的具體應(yīng)用中，相關(guān)單位與技術(shù)人員可通過以下幾種策略來加以防范：①對于基本報頭，可通過均勻隨機標簽或散列算法來生成流標簽，使其難以被攻擊節(jié)點檢測。②在選擇擴展報頭過濾策略時，技術(shù)人員應(yīng)足夠重視擴展報頭引發(fā)的各種復(fù)雜流量情況，并以此為依據(jù)來合理預(yù)防鏈接攻擊。為達到這一目標，需要對轉(zhuǎn)發(fā)路徑中所有包含逐跳選項報頭的節(jié)點數(shù)據(jù)包實施全面分析，防止出現(xiàn)資源攻擊問題；需要嚴格檢查下個報頭中的字段信息，防止出現(xiàn)分段攻擊問題；且需要對訪問控制檢查加以拓展，使其達到路由報頭地址，以此來消除路由報頭中含有的安全漏洞。③將一種新型安全機制增加到路由器轉(zhuǎn)發(fā)之前，先對需要轉(zhuǎn)發(fā)的數(shù)據(jù)流量進行分類，再根據(jù)實際情況，通過允許、限制和丟棄等方法來規(guī)避其中的惡意流量[4]。通過這樣的方式，便可讓IPv6技術(shù)條件下的報頭安全風險得到有效防范，以此來進一步提升互聯(lián)網(wǎng)絡(luò)的安全性。

（二）地址安全風險防范

在IPv6協(xié)議下的網(wǎng)址安全風險防范方面，相關(guān)單位與技術(shù)人員可采取以下幾種方案。

針對地址探測中的安全風險，在具體防范時，可以采用DNS服務(wù)器來隱藏真實的地址，從而限制訪問DNS頻率。另外，也可以在大數(shù)據(jù)、云計算等平臺上設(shè)置拒絕服務(wù)黑名單等方法來確保DNS服務(wù)器的安全性。此外，還應(yīng)為DNS服務(wù)器設(shè)置擴展類安全協(xié)議，以提高其完整性和認證效果。在設(shè)置網(wǎng)絡(luò)地址時，技術(shù)人員應(yīng)避免將低字節(jié)作為編址起始點，應(yīng)打亂各個節(jié)點標識符之間的排列順序，以增加攻擊者在掃描IPv6子網(wǎng)時的難度，提升安全性。其次，地址配置方面的安全風險防范措施包括以下幾種：①在不同地址生成方式中適用的防范措施。通過CGA密碼生成地址，可以提供出用戶身份信息完整性等驗證功能，以此來避免IP偽造所導(dǎo)致的安全風險，讓各種地址都具有更加安全的生成方式。通過SAVI源地址合法性檢驗法，可讓IPv6技術(shù)條件下的地址欺騙風險得以有效避免，并將網(wǎng)絡(luò)路由和終端處理設(shè)備地址捆綁在一起，統(tǒng)一判斷其接入設(shè)備報文是否真實，以免地址欺騙問題的產(chǎn)生。②合理防范DHCPv6地址生成時的安全風險。在此過程中，技術(shù)人員可重新配置PKAP認證協(xié)議，以此來預(yù)防信息篡改風險。同時也可以對DHCPv6服務(wù)器發(fā)送信息的效率加以合理控制，以免出現(xiàn)預(yù)防服務(wù)類攻擊。③防范SLAAC地址生成風險。在此過程中，技術(shù)人員可將合法路由器里的IPv6地址與鏈接層地址全部儲存到預(yù)設(shè)網(wǎng)絡(luò)的路由器數(shù)據(jù)庫中，對于生成的SLAAC地址，在解析了報文后，再將得到的解析結(jié)果和路由器數(shù)據(jù)庫里的相關(guān)預(yù)設(shè)數(shù)據(jù)比較，從而發(fā)現(xiàn)最后一跳惡意路由器類型的網(wǎng)絡(luò)攻擊，以便得到良好預(yù)防。對于IPv6無狀態(tài)地址所自動配置出的隱私擴展，經(jīng)實踐研究發(fā)現(xiàn)，如果能隨著時間推移將其地址中的部分IID改變，使其逐漸生成其他的新地址，并將其地址序列接口設(shè)置為完全不可預(yù)測形式，便可實現(xiàn)地址隱私的良好保護，以免設(shè)備跟蹤類的安全風險發(fā)生[5]。為達到這一目標，具體防范時，可使地址在發(fā)送一方的網(wǎng)絡(luò)節(jié)點中生成，之后再通過接收方節(jié)點來驗證其地址，并使IID隨著時間的變化而不斷變更，以此來確保IID的隨機生成精度足夠高，達到良好的隱私防護效果，讓攻擊節(jié)點不能對IID節(jié)點位置做出科學(xué)確定，從而盡最大可能降低設(shè)備跟蹤風險，讓IPv6條件下的網(wǎng)絡(luò)用戶隱私得到良好保護。

（三）ICMPv6安全風險防范

針對ICMPv6應(yīng)用中的安全風險，相關(guān)單位與技術(shù)人員可通過以下幾項措施來加以防范：①借助入侵檢測技術(shù)對ICIMPv6中的流量進行分析，以準確識惡意流量。以異常檢測為基礎(chǔ)的異常檢測系統(tǒng)以及以特征檢測為基礎(chǔ)的入侵檢測系統(tǒng)都可以對ICIMPv6應(yīng)用過程中的拒絕服務(wù)類攻擊做出有效識別，以此來及時阻止此類風險的發(fā)生。②利用路由通告保護技術(shù)以及IPsec技術(shù)等網(wǎng)絡(luò)安全防護機制，可以有效預(yù)防ICMPv6應(yīng)用中的信息類消息泛洪攻擊，同時也可以避免此類攻擊被組播放大的情況。③在通過ICMPv6進行網(wǎng)絡(luò)信息數(shù)據(jù)包的接收過程中，對于數(shù)據(jù)流中非最后一個數(shù)據(jù)包，如果其二進制八位字節(jié)數(shù)量不超過1280個，則屬于危險的數(shù)據(jù)包片段，為防止碎片攻擊對網(wǎng)絡(luò)系統(tǒng)通信的不利影響，建議將此類的片段全部丟棄。④將以攻擊特征流提取為基礎(chǔ)的入侵檢測系統(tǒng)合理應(yīng)用到信息安全防護中，可對其中的正常流以及攻擊流做出合理檢測，從而使ICMPv6應(yīng)用中的DDoS攻擊得以有效防范。在具體檢測中，可將信息熵檢測法以及長短期記憶網(wǎng)格檢測法加以聯(lián)合應(yīng)用，先采用信息熵檢測法對異常發(fā)生進行初步檢測，再采用長短記憶網(wǎng)格檢測法對檢測到的異常做出進一步確認。通過這樣的方式，才能實現(xiàn)相應(yīng)異常的及時、準確檢測，使ICMPv6應(yīng)用中的各種安全風險得以有效防范，從而實現(xiàn)IPv6協(xié)議條件下互聯(lián)網(wǎng)絡(luò)安全性的良好保障。

四、結(jié)束語

綜上所述，IPv6協(xié)議是目前應(yīng)用在互聯(lián)網(wǎng)絡(luò)中的一種先進通信協(xié)議。隨著現(xiàn)代互聯(lián)網(wǎng)的不斷發(fā)展，IPv6協(xié)議已經(jīng)在其中得到了越來越廣泛的應(yīng)用，并逐漸取代了傳統(tǒng)的IPv4協(xié)議，在互聯(lián)網(wǎng)通信中發(fā)揮出了更好的應(yīng)用優(yōu)勢。但在實際應(yīng)用中，該協(xié)議面臨著很多安全風險，包括報頭安全風險、地址安全風險以及ICIMPv6安全風險等。相關(guān)單位與技術(shù)人員應(yīng)分析這些風險的主要表現(xiàn)和成因，并結(jié)合IPv6協(xié)議在互聯(lián)網(wǎng)絡(luò)中的實際應(yīng)用需求，采取合理的措施進行風險防范。只有通過這樣的方式，才能進一步提升IPv6協(xié)議條件下的互聯(lián)網(wǎng)通信安全質(zhì)量。

參考文獻

[1]李長文.基于IPv6環(huán)境的校園網(wǎng)安全防護技術(shù)應(yīng)用研究[J].信息記錄材料，2023（03）：173-176.

[2]許國棟.IPv6網(wǎng)絡(luò)的安全風險點與應(yīng)對建議[J].數(shù)字技術(shù)與應(yīng)用，2023（02）：237-239.

[3]賀樂樂，毛云軒.基于IPv6規(guī)模部署下的網(wǎng)絡(luò)安全風險防范措施研究[J].數(shù)字通信世界，2022（11）：41-43.

[4]張軍.移動IPv6網(wǎng)絡(luò)安全問題及解決對策[J].信息系統(tǒng)工程，2022（09）：115-118.

[5]高浪，馬崢.IPv6環(huán)境下校園網(wǎng)安全防護技術(shù)研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（07）：72-73.