擊破IPv6安全神話

然而，RFC 4941規(guī)定除了傳統(tǒng)SLAAC地址外還要生成臨時地址(而不是替代它們)，臨時地址用于出站通訊，而傳統(tǒng)SLAAC地址用于服務器功能(例如入站通訊)。因此，這些地址并不能緩解主機掃描攻擊，因為在采用臨時地址的主機上仍然配置了可預測的SLAAC地址(但OpenBSD除外，OpenBSD在啟用隱私地址時，禁用了傳統(tǒng)SLAAC地址)。

過渡/共存技術(shù)

有很多IPv4到IPv6的過渡技術(shù)或者共存技術(shù)(例如6to4和Teredo)為IPv6全球單播地址指定了特殊語法，在大多數(shù)情況下是在IPv6中嵌入IPv4地址，作為IPv6的地址的一部分。由于有很多這方面的技術(shù)，本文將不深入到具體細節(jié)，但需要注意這些地址遵循特定的模式，所以能減小IPv6地址搜索范圍。

如何緩解IPv6主機掃描攻擊

緩解IPv6主機掃描攻擊最聰明的辦法是從IPv6地址刪除任何明顯的模式。IETF的6man工作組目前正在研究一種生成IPv6地址的方法，它有以下特點：

• 產(chǎn)生的接口ID不容易被預測出

• 產(chǎn)生的接口ID在每個子網(wǎng)內(nèi)是穩(wěn)定的，但是當主機從一個網(wǎng)絡移動到另一個網(wǎng)絡時，接口ID會跟著變化

• 產(chǎn)生的接口ID獨立于底層鏈路層地址

為了確保IPv6部署的安全性，IETF必須完成此標準化工作，并且更重要的是，需要供應商部署它。一旦這些工作都到位了，這些不可預測的地址將讓攻擊者的IPv6主機掃描攻擊更難以執(zhí)行。

其他緩解IPv6主機掃描攻擊的措施包括使用基于網(wǎng)絡的入侵防御系統(tǒng)(IPS)：當在本地子網(wǎng)接收到大量針對不同IPv6地址的探測數(shù)據(jù)包時(尤其是當很多目標地址不存在時)，可以從特定來源地址阻止入站數(shù)據(jù)包，來應對主機掃描攻擊活動。另一種方法是為基于DHCPv6和手動配置的系統(tǒng)配置不可預測的地址。雖然windows系統(tǒng)生成不可預測地址，所有其他端點(包括基于思科和Linux的設備)還需要一些額外的配置，既可以啟用DHCPv6服務器來發(fā)布不可預測地址，也可以手動配置系統(tǒng)，這樣他們就可以使用不可預測地址。很顯然，DHCPv6的方法應該是首選方法，因為它更容易擴展。然而，并不是所有DHCPv6軟件都有這個功能，因此可能唯一的方法應該是手動配置每個系統(tǒng)的IPv6地址(當然這個工作會非常痛苦)。

讀了本文關(guān)于IPv6地址在互聯(lián)網(wǎng)上的分配方式的分析，大家應該提高認識：雖然IPv6的主機掃描攻擊在很大程度上受到了阻止，但IETF和供應商仍然有很多工作要做，以增加IPv6主機掃描攻擊的難度。