DDoS攻击开始转移到IPv6
极客时间编辑部
讲述:杜力大小:1.28M时长:02:48
近日,互联网工程师们发现了据称业内第一起基于 IPv6 的 DDoS(分布式拒绝服务)攻击。他们警告,这仅仅是个开始,下一波网络大破坏迫在眉睫。
早些时候,网络专家韦斯利•乔治(Wesley George)注意到了奇怪的流量,这是针对一台 DNS 服务器发动的大规模攻击的一部分,企图让服务器不堪重负。乔治意识到,来自 IPv6 地址的数据包流入到了 IPv6 主机。
这次攻击不是很大,也没有采用 IPv6 独有的方法,但是有些不同寻常。Neustar 的研发负责人巴雷特•莱昂(Barrett Lyon)表示,“面临的风险在于,如果你没有将 IPv6 作为威胁模型的一部分,很可能两眼一抹黑。”
因此,任何运行 IPv6 网络的团队都要确保自己已经部署了与 IPv4 网络同样级别的网络安全和缓解工具,而且动作要快。
然而,除了少数几家知名公司,其余那些开始引入 IPv6 网络的公司,大多数是通过并行运行 IPv4 和 IPv6 来开展这项工作的,他们常常设有两个不同的团队。
几年来,互联网社区一直高度专注于找出敞开的 IPv4 解析系统,并打上补丁,因为它们有可能被用于上述的 DNS 放大攻击。
但是这之所以有可能得逞,一方面是由于 IPv4 地址空间是可扫描的;而 IPv6 并非如此,IPv6 的地址空间非常庞大,不法分子很难使用同样的技术来发现 IPv6 地址。正因为如此,如今新部署的任何敞开的解析系统无异于是未来潜在的安全噩梦。
除了潜在的 IPv6 安全问题外,还有这些问题:
一些缓解工具仅适用于 IPv4 或部署到 IPv4 环境中;
许多 IPv6 网络任务是用软件而不是用硬件来实现的,这留下了很多的潜在安全漏洞;
IPv6 协议中的数据包报头扩展带来了潜在的、新的攻击途径。
说到逐步部署 IPv6,IPv6 在安全方面有利也有弊,不过随着 IPv6 逐渐成为网络默认协议,有利方面会逐渐消失。
有利方面,IPv6 网络还没有遍地开花,因而攻击者不会特别关注它,至少目前还没有专门针对这种新的协议开发新的攻击方法。
不利方面,几乎所有现代移动设备和 PC 都内置了支持 IPv6 的功能,而且在默认情况下已经开启,所以当那些 IPv6 攻击来临时,它们将会遭受重创。另外,许多网络工程师不知道 IPv6 是什么,所以保护 IPv6 也就无从谈起。
莱昂表示,这次攻击“只是冰山一角”。他希望这可以向系统管理员们敲响一记警钟,以便将最佳实践运用于 IPv6 网络。在他看来,在 IPv4 界采取什么措施,就应该在 IPv6 界采取什么措施。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论