盡管 IPv6 相關(guān)技術(shù)概念早已提出,但直到近年來才開始引起各界的廣泛關(guān)注和投入,相關(guān)硬件終端、操作系統(tǒng)、軟件應(yīng)用等仍處部署應(yīng)用初期階段,尚不具備較為完善的安全機制,IPv6 安全漏洞是客觀存在的。
截止 2019 年 7 月,CVE 漏洞庫中已收錄 IPv6 相關(guān)漏洞 381 條,覆蓋系統(tǒng)漏洞、應(yīng)用漏洞、硬件漏洞、協(xié)議漏洞等不同層面。IPv6 帶來的潛在安全隱患還在于,某些安全工具僅適用于 IPv4 或者僅提供 IPv4 版本,而后再移植至 IPv6 環(huán)境中;許多IPv6網(wǎng)絡(luò)任務(wù)是用軟件來實現(xiàn)的,這留下了許多的潛在安全漏洞;而IPv6協(xié)議中的數(shù)據(jù)包報頭擴展帶來了潛在的、新的攻擊途徑。與之對應(yīng)的,近年來我國各政府部門立足自身職責(zé)分工,在政策方面頻頻發(fā)力,出臺部門相關(guān)政策文件,同步強化各行業(yè)領(lǐng)域 IPv6 發(fā)展和安全工作部署。而到如今,IPv4地址也已經(jīng)正式耗盡了,IPv6的部署工作更加迫在眉睫。
隨著 IPv6 網(wǎng)絡(luò)和業(yè)務(wù)開始上線,IPv6 網(wǎng)絡(luò)攻擊事件也開始出現(xiàn),IPv6 網(wǎng)絡(luò)安全問題相繼浮出水面,影響范圍也呈現(xiàn)出向各行業(yè)領(lǐng)域擴大趨勢。今年3月兩會重保期間,知道創(chuàng)宇就攔截到來自IPv6的網(wǎng)絡(luò)攻擊超過8000萬次。更有統(tǒng)計數(shù)據(jù)顯示,僅2019年上半年,監(jiān)測發(fā)現(xiàn)的 IPv6 網(wǎng)絡(luò)攻擊超過 9 萬起,攻擊對象覆蓋政府部門、事業(yè)單位、教育機構(gòu)等單位。在針對 283 家政府部門、教育機構(gòu)、中央企業(yè)云托管網(wǎng)站來自 IPv6 網(wǎng)絡(luò)的攻擊中,目錄遍歷攻擊、Web Shell 攻擊、SQL 注入等典型 Web攻擊超過 90%。
2018年3月,美國安全廠商 Neustar 發(fā)現(xiàn)了業(yè)內(nèi)第一起基于 IPv6 協(xié)議的 DDoS 攻擊,攻擊對象為存儲 1900 個 IPv6 地址的 DNS服務(wù)器。攻擊的規(guī)模算不上驚人,也并沒有采用專門針對 IPv6 的攻擊方法,然而其來自 IPv6、指向 IPv6 的特性已經(jīng)足夠引起重視與警惕。此次攻擊中,大多數(shù)計算設(shè)備仍普遍在公共互聯(lián)網(wǎng)上使用 IPv4 地址。因此,任何運行有 IPv6 網(wǎng)絡(luò)的用戶都需要確保自身的網(wǎng)絡(luò)安全機制擁有充足的抵御能力,從而對抗與 IPv4 網(wǎng)絡(luò)具有同等規(guī)模的攻擊活動。Neustar的研發(fā)負責(zé)人巴雷特·萊昂特別指出,“目前的風(fēng)險在于,如果沒能將 IPv6 視為威脅模型當(dāng)中的組成部分,則很可能無法準(zhǔn)確找到攻擊根源。”
圖/中國信通院
知道創(chuàng)宇提供的IPv6安全改造服務(wù),可以幫助網(wǎng)站應(yīng)用在已有支持IPv4用戶訪問的基礎(chǔ)上,幾分鐘內(nèi)快速支持IPv6訪客訪問。該服務(wù)將外部訪問IPv6請求轉(zhuǎn)換成為IPv4服務(wù),實現(xiàn)IPv4和IPv6雙棧部署,將IPv4與IPv6協(xié)議同時轉(zhuǎn)發(fā)處理給源站,使系統(tǒng)端到端業(yè)務(wù)支持IPv4/IPv6雙棧,網(wǎng)站無需進行任何改造、不用添加任何硬件設(shè)備。
與此同時,知道創(chuàng)宇將IPv6流量轉(zhuǎn)換為IPv4流量,進行防御清洗,將安全流量轉(zhuǎn)發(fā)給網(wǎng)站源站,提供安全加速和安全防護能力,保障網(wǎng)站的安全性。并根據(jù)IPv6訪問態(tài)勢以及攻擊態(tài)勢,動態(tài)調(diào)整資源,確保IPv6正常訪問。提供跨可用區(qū)部署,單個可用區(qū)故障時,迅速切換,保障IPv6轉(zhuǎn)換服務(wù)的業(yè)務(wù)連續(xù)性。并全面解決IPv6改造中,由于部分外鏈網(wǎng)站還不支持IPv6導(dǎo)致的“天窗問題”,給用戶更好的訪問體驗。
從未來互聯(lián)網(wǎng)安全需求看,IPv6 環(huán)境下協(xié)議類型轉(zhuǎn)變、海量地址空間等特性給安全產(chǎn)品功能提出新的要求。IPv4 向 IPv6網(wǎng)絡(luò)升級演進是長期、持續(xù)的過程,網(wǎng)絡(luò)安全產(chǎn)品同時支持 IPv4 和IPv6 已經(jīng)成為其部署應(yīng)用的關(guān)鍵要素。目前,企業(yè)的網(wǎng)絡(luò)工程師們一般情況下是部署好IPv6網(wǎng)絡(luò),之后才來為安全問題而操心,這更是直接導(dǎo)致了IPv6的危機。IPv6的安全挑戰(zhàn)是我國下一代互聯(lián)網(wǎng)建設(shè)正面臨的客觀問題,知道創(chuàng)宇將全力幫助企事業(yè)單位和互聯(lián)網(wǎng)企業(yè)積極響應(yīng)國家號召,抓住發(fā)展機遇,提供更安全的互聯(lián)網(wǎng)服務(wù)。