IPv6 时代如何防御 DDoS 攻击?

在互联网世界,每台联网的设备都被分配了一个用于标识和位置定义的 IP 地址。20 世纪 90 年代以来互联网的快速发展,联网设备所需的地址远远多于可用 IPv4 地址的数量,导致了 IPv4 地址耗尽。因此,协议 IPv6 的开发和部署已经刻不容缓。

IPv6 除了比 IPv4 提供更充沛的 IP 地址数量,还有诸多其他优势。

更快更安全,一直是互联网长期的追求。IPv6 是固定报头,不像 IPv4 那样携带一堆冗长的数据,简短的报头有效的提升了网络数据的转发效率;安全方面,IPv6 直接集成了 IPSec,在网络层进行认证与加密数据,为用户提供端到端的数据安全,保证数据不被劫持。

目前,已经有大部分网站开始引用 IPv6,但是 IPv4 与 IPv6 的设计并不是可互操作的,这使得 IPv4向 IPv6 的过渡变得复杂了许多,这其中也包含了网络安全领域。

IPv6 时代如何防御 DDoS 攻击?_第1张图片

2018 年初,Neustar 宣称受到了 IPv6 DDoS 攻击,这是首个对外公开的 IPv6 DDoS 攻击事件。该攻击源自大约 1900 种不同的本地 IPv6 主机,在 650 多个不同的网络针对 Neustar 网络中的权威 DNS 服务器进行攻击。一些人称这是“第一次本机 IPv6 DDoS 攻击”。虽然这也许并不是第一次,但由此可见,IPv6 时代下对于 DDoS 攻击的防御已经刻不容缓。

DDoS 攻击的影响和危害

众所周知,DDoS 攻击是黑客利用控制的计算机(肉鸡)对一个特定的目标发送尽可能多的网络访问请求,形成流量洪流来冲击目标系统。DDoS 攻击的危害很大,而且很难防范,可以直接导致网站宕机、服务器瘫痪,造成权威受损、品牌蒙羞、财产流失等巨大损失,严重威胁着互联网信息安全的发展。

在 IPv6 网络中,对于开发 DDoS 攻击工具的黑客来说,IPv6 不仅引入了额外的攻击媒介,而且还增加了攻击量。因为 IPv4 提供大约 43 亿个唯一的 32 位 IP 地址。而 IPv6 则是使用 128 位地址,号称可以为全球的每一粒沙子都分配一个 IP,这也意味着攻击者可以利用超过 340 亿的 IP 地址,这使得攻击的危害被放大了无数倍。对于网站管理者来说,在跟踪和阻断方面会显得愈加困难。因为地址的数量无限大,类似 Spamhaus 这样的操作垃圾邮件黑名单的运营商会意识到:垃圾邮件发送者可以轻松地针对每封邮件使用不同的 IP 地址发起群发垃圾邮件活动。

IPv6 时代如何防御 DDoS 攻击?_第2张图片

此外,一些 IPv6 协议的新特性,也可能会被黑客用于 DDoS 攻击:

  • IPv6 新增 NS/NA/RS/RA,可能会被用于 DDoS 攻击* IPv6 的 NextHeader 新特性同样有此类风险,比如 Type0 路由头漏洞,通过精心制造的数据包可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,将链路带宽耗尽* IPv6 支持无状态自动配置,同时子网下可能存在非常多可使用的 IP 地址,攻击者可以便利的发起随机源 DDoS 攻击* IPv6 采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包 DoS 攻击IPv6 攻击不可避免:做好准备

随着 IPv6 成为企业网络中越来越大的一部分,基于 IPv6 的攻击都将会增加。因为 IPv6 节点可以使用易受恶意干扰的邻居发现协议来发现其他网络节点,所以网站管理员现在需要熟悉安全邻居发现协议(SEND)。该协议解决了连接在同一条链路上的所有节点之间的互操作问题,可以抵御一些潜在的 IPv6 攻击技术。

IPv6 时代如何防御 DDoS 攻击?_第3张图片

除此之外,还有哪些方法可以抵御 IPv6 协议下的 DDoS 攻击?

  • 重构操作系统来支持 IPv6:这是防御的最佳方法之一。开发出一种系统,可以防止入站和出站的网络攻击,以此用来支持 IPv6 网络以及 IPv6 网络下的安全防护。* 流量监控预警系统:目前正是IPv4 与 IPv6 共存时期,流量监控预警系统需要支持 IPv4 和 IPv6,同时检测双栈流量,起到监控预警的效果,提前感知异常流量。* 更强的流量清洗系统:由于 IPv6 的 IP 地址是 IPv4 的 2^96 倍,系统需要支持双栈,并能自动判断 IP 类型。因此需要更强大的处理性能才能支持海量 IP 的安全防御和清洗。* 随时应对新挑战:目前传统的 DDoS 防御算法和模式应随时做好升级的准备,以便适应 IPv6 下的各种新特性和新挑战。IPv6 协议采用速度正在不断加快,不久的将来会达到临界点,现在是时候准备网络防御来处理 IPv6 DDoS 攻击了。赶快行动起来!

你可能感兴趣的:(ddos,网络,服务器)