芻議IPv6的安全問題關鍵主機易被駭客看中(轉)

芻議IPv6的安全問題關鍵主機易被駭客看中(轉)[@more@]

　　現實Internet上的各種攻擊、駭客、網路蠕蟲病毒弄得網民人人自危，每天上網開了實時防病毒程式還不夠，還要繼續使用個人防火牆，開啟實時防木馬程式才敢上網衝浪。諸多人把這些都歸咎於IPv4網路。現在IPv6來了，它設計的時候充分研究了以前IPv4的各種問題，在安全性上得到了大大的提高。但是是不是IPv6就沒有安全問題了？答案是否定的。

目前，病毒和網際網路蠕蟲是最讓人頭疼的網路攻擊行為。但這種傳播方式在IPv6的網路中就不再適用了，因為IPv6的地址空間實在是太大了，如果這些病毒或者蠕蟲還想透過掃描地址段的方式來找到有可乘之機的其他主機，就猶如大海撈針。在IPv6的世界中，對IPv6網路進行類似IPv4的按照IP地址段進行網路偵察是不可能了。

所以，在IPv6的世界裡，病毒、網際網路蠕蟲的傳播將變得非常困難。但是，基於應用層的病毒和網際網路蠕蟲是一定會存在的，電子郵件的病毒還是會繼續傳播。此外，還需要注意IPv6網路中的關鍵主機的安全。IPv6中的組發地址定義方式給攻擊者帶來了一些機會。例如，IPv6地址FF05::3是所有的DHCP伺服器，就是說，如果向這個地址釋出一個IPv6報文，這個報文可以到達網路中所有的DHCP伺服器，所以可能會出現一些專門攻擊這些伺服器的拒絕服務攻擊。

另外，不管是IPv4還是IPv6，都需要使用DNS，IPv6網路中的DNS伺服器就是一個容易被駭客看中的關鍵主機。也就是說，雖然無法對整個網路進行系統的網路偵察，但在每個IPv6的網路中，總有那麼幾臺主機是大家都知道網路名字的，也可以對這些主機進行攻擊。而且，因為IPv6的地址空間實在是太大了，很多IPv6的網路都會使用動態的DNS服務。而如果攻擊者可以攻佔這臺動態DNS伺服器，就可以得到大量的線上IPv6的主機地址。另外，因為IPv6的地址是128位，很不好記，網路管理員可能會常常使用一下好記的IPv6地址，這些好記的IPv6地址可能會被編輯成一個類似字典的東西，病毒找到IPv6主機的可能性小，但猜到IPv6主機的可能性會大一些。而且由於IPv6和IPv4要共存相當長一段時間，很多網路管理員會把IPv4的地址放到IPv6地址的後32位中，駭客也可能按照這個方法來猜測可能的線上IPv6地址。所以，對於關鍵主機的安全需要特別重視，不然駭客就會從這裡入手從而進入整個網路。所以，網路管理員在對主機賦予IPv6地址時，不應該使用好記的地址，也要儘量對自己網路中的IPv6地址進行隨機化，這樣會在很大程度上減少這些主機被駭客發現的機會。

以下這些網路攻擊技術，不管是在IPv4還是在IPv6的網路中都存在，需要引起高度的重視：報文偵聽，雖然IPv6提供了IPSEC最為保護報文的工具，但由於公匙和密匙的問題，在沒有配置IPsec的情況下，偷看IPv6的報文仍然是可能的；應用層的攻擊，顯而易見，任何針對應用層，如WEB伺服器，資料庫伺服器等的攻擊都將仍然有效；中間人攻擊，雖然IPv6提供了IPsec，還是有可能會遭到中間人的攻擊，所以應儘量使用正常的模式來交換密匙；洪水攻擊，不論在IPv4還是在IPv6的網路中，向被攻擊的主機發布大量的網路流量的攻擊將是會一直存在的，雖然在IPv6中，追溯攻擊的源頭要比在IPv4中容易一些。