“第一起”基于 IPv6的DDoS攻擊！宇眾網(wǎng)絡(luò)服務(wù)器租用

     除了潛在的IPv6安全問題外，還有這些問題：一些緩解工具僅適用于IPv4（常常歸因于硬編碼地址寫入到代碼中）或者部署到IPv4環(huán)境中，后來移植到IPv6環(huán)境中；許多IPv6網(wǎng)絡(luò)任務(wù)是用軟件（而不是用硬件）來實(shí)現(xiàn)的，這留下了多得多的潛在安全漏洞；而IPv6協(xié)議中的數(shù)據(jù)包報(bào)頭擴(kuò)展帶來了潛在的、新的攻擊途徑。

互聯(lián)網(wǎng)工程師們發(fā)現(xiàn)了據(jù)稱業(yè)內(nèi)第一起基于IPv6的分布式拒絕服務(wù)（DDoS）攻擊。他們警告，這僅僅是個(gè)開頭，下一波網(wǎng)絡(luò)大破壞迫在眉睫。

       網(wǎng)絡(luò)專家韋斯利.喬治（Wesley George）本周早些時(shí)候注意到了奇怪的流量，這是針對(duì)一臺(tái)DNS服務(wù)器發(fā)動(dòng)的大規(guī)模攻擊的一部分，企圖讓服務(wù)器不堪重負(fù)。他供職于Neustar公司的SiteProtect DDoS保護(hù)服務(wù)部門，當(dāng)時(shí)他在獲取惡意流量的數(shù)據(jù)包，這是其工作的一部分，他當(dāng)時(shí)意識(shí)到“來自IPv6地址的數(shù)據(jù)包流入到IPv6主機(jī)。”

       這次攻擊不是很大――不像本周針對(duì)GitHub發(fā)動(dòng)的創(chuàng)紀(jì)錄的1.35Tbps攻擊，也沒有采用IPv6獨(dú)有的方法，但是不同尋常、令人擔(dān)憂，于是他提醒團(tuán)隊(duì)的其余成員要注意。

       1900個(gè)IPv6地址背后的那些計(jì)算機(jī)在攻擊DNS服務(wù)器，它們只是更多數(shù)量的被征用的系統(tǒng)的一部分，這些系統(tǒng)主要使用公共互聯(lián)網(wǎng)上的IPv4地址。因此，運(yùn)行IPv6網(wǎng)絡(luò)的任何人都要確保自己已部署了與IPv4網(wǎng)絡(luò)同樣級(jí)別的網(wǎng)絡(luò)安全和緩解工具，而且動(dòng)作要快。

       Neustar的研發(fā)負(fù)責(zé)人巴雷特?萊昂（Barrett Lyon）告訴我們：“面臨的風(fēng)險(xiǎn)在于，如果你沒有將IPv6作為威脅模型的一部分，很可能兩眼抹黑。”

       除了少數(shù)幾家知名公司（比如Facebook和LinkedIn）外，已開始引入IPv6網(wǎng)絡(luò)的公司大多數(shù)是通過并行運(yùn)行IPv4和IPv6來開展這項(xiàng)工作的，常常設(shè)有兩個(gè)不同的團(tuán)隊(duì)。萊昂和喬治都警告，根據(jù)他們的經(jīng)驗(yàn)，網(wǎng)絡(luò)工程師們先安裝好IPv6網(wǎng)絡(luò)，之后才為確保安全而操心。

       敞開的解析系統(tǒng)

       萊昂特別指出，在1900個(gè)IPv6地址中，400個(gè)被配置不當(dāng)?shù)腄NS系統(tǒng)所使用，大約三分之一的攻擊流量來自那些服務(wù)器――不法分子可以使用DNS服務(wù)器來放大發(fā)送到受害者系統(tǒng)的網(wǎng)絡(luò)流量。這可能是將來的一個(gè)巨大問題，因?yàn)樗砻鞴こ處焸冊(cè)跇?gòu)建的網(wǎng)絡(luò)存在固有的安全問題，之后可能需要數(shù)年才能解決。

       幾年來，互聯(lián)網(wǎng)社區(qū)一直高度專注于找出敞開的IPv4解析系統(tǒng)，并打上補(bǔ)丁，因?yàn)樗鼈冇锌赡鼙挥糜谏鲜龅腄NS放大攻擊。

       但是這之所以有可能得逞，一方面是由于IPv4地址空間是可掃描的；而IPv6并非如此，IPv6的地址空間非常龐大，不法分子很難使用同樣的技術(shù)來發(fā)現(xiàn)IPv6地址。正因?yàn)槿绱?，如今新部署的任何敞開的解析系統(tǒng)無異于是未來潛在的安全噩夢(mèng)。

       除了潛在的IPv6安全問題外，還有這些問題：一些緩解工具僅適用于IPv4（常常歸因于硬編碼地址寫入到代碼中）或者部署到IPv4環(huán)境中，后來移植到IPv6環(huán)境中；許多IPv6網(wǎng)絡(luò)任務(wù)是用軟件（而不是用硬件）來實(shí)現(xiàn)的，這留下了多得多的潛在安全漏洞；而IPv6協(xié)議中的數(shù)據(jù)包報(bào)頭擴(kuò)展帶來了潛在的、新的攻擊途徑。

       說到逐步部署IPv6，IPv6在安全方面有利也有弊，不過隨著IPv6逐漸成為網(wǎng)絡(luò)默認(rèn)協(xié)議，有利方面會(huì)逐漸消失。

       說到有利方面，IPv6網(wǎng)絡(luò)還沒有遍地開花，因而攻擊者不會(huì)特別關(guān)注它，專門針對(duì)這種新的協(xié)議開發(fā)新的攻擊方法，至少目前如此。而目前最糟糕的安全風(fēng)險(xiǎn)：拼湊而成的物聯(lián)網(wǎng)產(chǎn)品幾乎完全專注于IPv4。

       默認(rèn)協(xié)議

       但是說到不利方面，幾乎所有現(xiàn)代移動(dòng)設(shè)備和PC都內(nèi)置了支持IPv6的功能，而且在默認(rèn)情況下已開啟，所以當(dāng)那些IPv6攻擊來臨時(shí)，它們將會(huì)遭受重創(chuàng)。另外，許多網(wǎng)絡(luò)工程師不知道IPv6是什么，所以保護(hù)IPv6也就無從談起。

       喬治假設(shè)，如果網(wǎng)絡(luò)遭到組合型IPv4和IPv6攻擊流量的攻擊（就像本案中發(fā)生的那樣），這是將來的一大問題。系統(tǒng)管理員可能會(huì)用上所有正常的緩解工具，但只能對(duì)付IPv4流量，致使網(wǎng)絡(luò)仍然受到攻擊，負(fù)責(zé)人無法查清楚原因。

       由于大多數(shù)人使用雙堆棧系統(tǒng)在現(xiàn)有系統(tǒng)旁邊部署IPv6，萊昂還擔(dān)心IPv6攻擊可能會(huì)破壞用來并行運(yùn)行網(wǎng)絡(luò)的路由器和交換機(jī)，因此通過后門攻擊IPv4網(wǎng)絡(luò)。

       萊昂表示，本周的攻擊“只是冰山一角”。他希望這可以向系統(tǒng)管理員們敲響一記警鐘，以便將最佳實(shí)踐運(yùn)用于IPv6網(wǎng)絡(luò)，他認(rèn)為“你在IPv4界采取什么措施，就應(yīng)該在IPv6界采取什么措施。”

       不過客觀地說，他并不確信人們會(huì)事先吸取教訓(xùn)。萊昂說：“人們并不往往后來把安全看成是優(yōu)先事項(xiàng)。直到面臨危機(jī)，才會(huì)格外重視安全。”

專業(yè)服務(wù)器租用-宇眾網(wǎng)絡(luò)科技yelaoxs.com 歡迎您的咨詢。