IT專家發現首例基于 IPv6 的拒絕服務（DDoS）攻擊

網絡攻擊防護找廣東IDC網：www.cctvsxt.cn/yfddos/ 

IT 專家發現首例基于 IPv6 的拒絕服務（DDoS）攻擊，來自1900個 IPv6 地址背后的計算機設備向目標DNS服務器發起進攻，互聯網工程師們警告稱，這只是新一輪網絡破壞活動的小小開端，這還僅僅只是開始。

攻擊發現過程

網絡安全大師威斯利?喬治近日發現了相關異常流量，其屬于一輪針對 DNS 服務器的大規模攻擊活動，旨在徹底摧毀DNS 服務器的正常解析能力。作為 Neustar 公司 SiteProtect DDoS 防護服務工作組的成員，他當時正在收集惡意流量數據包，并立即意識到“這批數據包源自 IPv6 地址并指向 IPv6 主機”。

此次攻擊的規模并不算非常驚人——至少遠低于近日 GitHub 所遭遇的創紀錄的1.35 Tbps攻擊流量——且并沒有采用專門針對 IPv6 的攻擊方法。然而其來自 IPv6、指向 IPv6 的特性已經足夠引起重視，并令安全人員引起高度警惕。

來自1900個 IPv6 地址背后的計算機設備向目標 DNS 服務器發起進攻，而其中大多數設備因受到感染而加入戰團。此輪攻擊中的大多數計算設備仍普遍在公共互聯網上使用 IPv4 地址。因此，任何運行有 IPv6 網絡的用戶都需要確保自身的網絡安全與緩解工具擁有充足的抵御能力，從而對抗與 IPv4 網絡具有同等規模乃至執行速度的攻擊活動。

Neustar 公司研究與開發負責人巴瑞特?里奧在采訪中指出，“目前的風險在于，如果沒能將 IPv6 視為威脅模型當中的組成部分很可能無法準確找到攻擊根源。”

除了少數值得注意的例外——例如 Facebook 與 LinkedIn（領英），目前大部分企業已經開始引入 IPv6 網絡，并將其與IPv4網絡交由兩支獨立團隊并行運行。里奧、喬治警告稱，網絡工程師們會首先建立起 IPv6 網絡，而后才開始考慮安全相關事務。

應修復開放解析器

里奧指出，在這1900個 IPv6 地址當中，有400個源自配置不當的 DNS 系統；此外，有近三分之一攻擊流量來自這些服務器——這意味著惡意人士能夠利用 DNS 服務器來擴大指向受害者系統的網絡流量。這在未來可能引發更為顯著的問題，因為其表明工程師們目前正在著手建立的網絡中可能存在恐怖的安全隱患，且仍需要數年時間才能得到解決。

互聯網社區多年以來一直致力于發現并修復各類開放 IPv4 解析器，從而避免上述 DNS 放大攻擊活動的發生。

由于 Ipv4 地址空間具備可掃描性，上述目標確實有可能實現。但由于 IPv6 的地址空間過于龐大，以至于利用相同的發現技術將很難解決問題，正因為此，目前出現的任何新的開放解析器都將成為未來可怕的潛在安全噩夢。

IPv6 帶來的潛在安全隱患在于：

某些緩解工具僅適用于 IPv4（這主要是由于其通常會將 IPv4 地址以硬編碼形式添加至代碼當中），或者僅提供 IPv4 版本，而后再移植至 IPv6 形式；

多數 IPv6 網絡存在于軟件（而非硬件）當中，這意味著其可能隱藏更多安全漏洞；

IPv6 協議當中的擴展數據包報頭也可能被作為新的潛在攻擊載體。

面對 IPv6 逐步普及這一實際趨勢，我們需要立足安全層面采取積極措施與應對手段，隨著 IPv6 慢慢成為默認形式的網絡配置，這些優勢將隨著時間推移而逐漸消失。

從積極的角度來看，IPv6 網絡對于攻擊者而言仍然普及度不高，因此其不太可能（至少當前是這樣）專注于針對這種新興協議開發專門的攻擊方法。當下最嚴重的安全隱患載體（物聯網產品）幾乎完全集中在 IPv4 之上。

警惕 IPv4 與 IPv6 攻擊流量的組合攻擊

然而，相當一部分現代移動設備與 PC 機都已經內置有 IPv6 支持能力，并默認啟用。因此當 IPv6 攻擊活動出現時，這些設備都將遭受重創，網絡工程師們尚未察覺這類問題的嚴重性。

喬治提出假設，如果一套網絡遭遇到 IPv4 與 IPv6 攻擊流量的組合攻擊，那么將會引發新的潛在問題。系統管理員雖然能夠運用全部工具加以應對，但其往往只能阻止 IPv4 流量，在這種情況下，網絡仍將受到攻擊，而相關安全負責人卻無法弄清原因。

目前，大多數組織機構正利用雙棧系統——即在現有系統之外獨立推出 IPv6 系統，因此 IPv6 攻擊活動可能會損害用于網絡并行運作的路由器與交換機設備，進而通過后門攻擊入侵 IPv4 網絡。

互聯網工程師們提醒系統管理員們堅持將最佳實踐應用于 IPv6 網絡，即在 IPv4 層面所執行的一切保障手段，都應在 IPv6 世界當中同樣得到切實執行。