2018年3月,美国安全厂商 Neustar 发现了业内第一起基于 IPv6 协议的 DDoS 攻击,攻击对象为存储 1900 个 IPv6 地址的 DNS服务器。
攻击的规模算不上惊人,也并没有采用专门针对 IPv6 的攻击方法,然而其来自 IPv6、指向 IPv6 的特性已经足够引起重视与警惕。
此次攻击中,大多数计算设备仍普遍在公共互联网上使用 IPv4 地址。因此,任何运行有 IPv6 网络的用户都需要确保自身的网络安全机制拥有充足的抵御能力,从而对抗与 IPv4 网络具有同等规模的攻击活动
Neustar的研发负责人巴雷特·莱昂特别指出,“目前的风险在于,如果没能将 IPv6 视为威胁模型当中的组成部分,则很可能无法准确找到攻击根源。”
回到国内,随着 IPv6 网络和业务开始上线,IPv6 网络攻击事件也开始出现,IPv6 网络安全问题相继浮出水面,影响范围也呈现出向各行业领域扩大趋势。
今年3月两会重保期间,知道创宇就拦截到来自IPv6的网络攻击超过8000万次。更有统计数据显示,仅2019年上半年,监测发现的 IPv6 网络攻击超过 9 万起,攻击对象覆盖政府部门、事业单位、教育机构等单位。在针对 283 家政府部门、教育机构、中央企业云托管网站来自 IPv6 网络的攻击中,目录遍历攻击、Web Shell 攻击、SQL 注入等典型 Web攻击超过 90%。
图/中国信通院
尽管 IPv6 相关技术概念早已提出,但直到近年来才开始引起各界的广泛关注和投入,相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段,尚不具备较为完善的安全机制,IPv6 安全漏洞是客观存在的。截止 2019 年 7 月,CVE 漏洞库中已收录 IPv6 相关漏洞 381 条,覆盖系统漏洞、应用漏洞、硬件漏洞、协议漏洞等不同层面。
图/中国信通院
IPv6 带来的潜在安全隐患还在于,某些安全工具仅适用于 IPv4 或者仅提供 IPv4 版本,而后再移植至 IPv6 环境中;许多IPv6网络任务是用软件来实现的,这留下了许多的潜在安全漏洞;而IPv6协议中的数据包报头扩展带来了潜在的、新的攻击途径。
与之对应的,近年来我国各政府部门立足自身职责分工,在政策方面频频发力,出台部门相关政策文件,同步强化各行业领域 IPv6 发展和安全工作部署。而到如今,IPv4地址也已经正式耗尽了,IPv6的部署工作更加迫在眉睫。
我国政府部门IPv6相关政策文件
从未来互联网安全需求看,IPv6 环境下协议类型转变、海量地址空间等特性给安全产品功能提出新的要求。IPv4 向 IPv6网络升级演进是长期、持续的过程,网络安全产品同时支持 IPv4 和IPv6 已经成为其部署应用的关键要素。
知道创宇提供的IPv6安全改造服务,可以帮助网站应用在已有支持IPv4用户访问的基础上,几分钟内快速支持IPv6访客访问。该服务将外部访问IPv6请求转换成为IPv4服务,实现IPv4和IPv6双栈部署,将IPv4与IPv6协议同时转发处理给源站,使系统端到端业务支持IPv4/IPv6双栈,网站无需进行任何改造、不用添加任何硬件设备。
与此同时,知道创宇将IPv6流量转换为IPv4流量,进行防御清洗,将安全流量转发给网站源站,提供安全加速和安全防护能力,保障网站的安全性。并根据IPv6访问态势以及攻击态势,动态调整资源,确保IPv6正常访问。提供跨可用区部署,单个可用区故障时,迅速切换,保障IPv6转换服务的业务连续性。并全面解决IPv6改造中,由于部分外链网站还不支持IPv6导致的“天窗问题”,给用户更好的访问体验。
目前,企业的网络工程师们一般情况下是部署好IPv6网络,之后才来为安全问题而操心,这更是直接导致了IPv6的危机。IPv6的安全挑战是我国下一代互联网建设正面临的客观问题,知道创宇将全力帮助企事业单位和互联网企业积极响应国家号召,抓住发展机遇,提供更安全的互联网服务。
背景 随着互联网在全世界范围内的高速发展,特别是移动互联网时代的到来,云计算成为一种随时、随地的公共服务,而这些服务的网络质量、安全状况成为保障云计算持续运行的决定性因素。
各大内容平台谈“下架”色变,下一个被下架的会不会就是你?
想知道真实攻防视角下的企业安全吗? 想了解团队迅速扩张企业安全建设从0到1会踩过什么坑、要爬什么山?除此之外,面对业务激增如何能有效保障业务安全稳定进行? 以上内容尽在8月,一一为您揭晓
获取安全动态