“黑客”深度学习之“IPv6详解”

为什么“IPv6”最近出现在新闻中？诸如“5G计划优先考虑IPv6”、“天猫、淘宝已经使用IPv6，但仍在使用IPv4”等标题的新闻占据了各大网站的头条。

“IPv6”能解决什么样的安全问题？网上有“在使用IPv6之前可以解决IPv4的安全问题”、“可以解雇黑客”等多种说法。真的吗？

今天我就通过这篇文章让大家对IPv6有一个基本的了解，同时了解它解决了哪些安全问题以及带来了哪些安全风险。

一、 IPv6是什么？为什么要用IPv6？

1.1 IPv6的定义：

简单地说，IPv6 是第六代互联网协议。我们都知道，网卡上经常设置的“192.168.1.2”等IP地址就是IPv4网络地址。 IPv6 据说被设计用作下一代IP 协议的替代方案。每粒沙子都编码有一个网站地址。

1.2为什么要用IPv6

我们都知道，减缓IPv4 地址耗尽的短期解决方案之一是NAT（网络访问转换）。 NAT 技术在减缓IPv4 地址耗尽方面非常成功，并且已成为大多数网络设计的标准部分。

NAT技术的缺点：它将原本开放、透明、点对点的互联网转变为一个类似于客户端/服务器结构的庞大网络集合。用户仅连接到互联网外围的“边缘层”，互联网在此为用户提供服务。用户很少对互联网范围内的资源做出贡献。从经济角度来看，互联网用户已经成为消费者而不是生产者。

IPv6 的发展有两个基本驱动力。

1.移动IP、服务质量（QoS）、端到端安全、网格计算、点对点网络互连等核心概念的新应用。放弃NAT技术的唯一方法是提供足够且易于使用的公共IP地址，因为它阻碍了这些领域的创新。

2、中国、印度等人口大国快速现代化。一些国家必须继续维持具有四到五层NAT技术的网络分层架构，以支持对IPv4地址的需求。

由此可见，最大的问题是网络地址资源有限，极大地限制了互联网的应用和发展。 IPv6除了解决网络地址资源数量的问题外，还解决了将多个接入设备连接到互联网的问题。

原因总结：

1、IPv4地址资源的缺乏限制了互联网的进一步发展，移动和宽带技术的发展需要更多的IP地址。

2、使用NAT、CIDR、VLSM等技术可以暂时缓解IPv4地址短缺的问题，但不是长久之计。

3. 路由表快速增长

4、随着互联网的发展，安全问题越来越突出。 IPv4协议在创建时并没有考虑到安全性，其原生框架结构无法支持端到端的安全性。因此，安全问题也促使新的IP协议的出现。

二、 IPv6基础知识体系

2.1 IPV6地址表示

1. IPv6地址的长度为128位，基本公式为：每个数字包含4 位，每个整数包含4 位数字，每个地址包含8 个整数，总共128 位（4*4*8=128）。

2. 某些IPv6 地址可能包含长串零。在这种情况下，标准允许使用“间隙”来表示长的零字符串。例如，2000:0:0:0:0:0:0:1 可表示为2000:1。仅当所有16 位均为0 时，此方法才会替换两个冒号，并且两个冒号在地址中仅出现一次。

接收包含该地址的通告的路由器不知道它是由三个非LRLL 设备通告的。相反，路由器假设有3 条路由到达同一目的地，并选择成本最低的一条。如图所示，这条路由到达服务器C，成本为20。

2.2.3 组播地址格式：

组播地址只能用作目的地址。没有数据报使用多播地址作为源地址。

地址格式如下图所示，其中第一小节全为1表示组播地址。除第一小节外，多播地址格式的其余部分包含三个字段：

标志字段：由四个单位标志组成。目前，仅指定第4位来指示该地址是由互联网编号机构分配的众所周知的多播地址，还是在特定情况下使用的临时多播地址。如果该标志位为“0”，则表示该地址是已知地址；如果该位为“1”，则表示该地址是临时地址。其他三个标志位保留供将来使用。

范围字段：为4比特长，用于指示多播范围。也就是说，多播组是否仅包括同一本地网络、同一站点、同一组织或IPv6 全局地址空间中任何位置的节点？这4位的可能值为0到15，如图所示。

组标识符字段：的长度为112比特，用于标识多播组。根据多播地址是临时的还是已知的以及地址的范围，相同的多播标识符可以代表不同的组。持久多播地址使用具有特殊含义的指定组标识符。组成员身份取决于组标识符和范围。

2.2 IPv6地址分类

2.3.1 IPv6 标头格式

版本=6

流量等级—IP V4 TOS

流标签用于指示流

Payload Length表示IP消息的净荷长度。

下一个报头—IP V4协议

跳数限制— IP V4 TTL

源地址和目的地址都是128位

IPv4 格式附在下面。

比较IPv4 和IPv6 标头

· 首先，IPv4 报头的六个字段被删除：IP 报头长度、标识、标志、片段偏移和报头校验和。

· 其次，IPv6对三个控制字段进行了重命名，并在某些条件下重新定义了它们。在IPv6 中，总长度称为有效负载长度。与IPv4 不同，IPv6 没有将后续有效负载长度计算为IPv6 长度。标头本身（固定40 字节）。

· 更改服务类型（流量类别）、更改生存时间（跳数限制）。

· 最后新增一个字段：流标签；

2.3.2 IPv6扩展头格式

英文表达如下：

中文表达是：

%3D” alt=”46159b61b84b4329b9ec1f05efefc133~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769787&x-signature=Qbz9sALy0ct6LLyCeBfDzHxZq%2FE%3D” />
逐跳可选项(Hop-By-Hop Options)— —传送必须被转发路径中的每一个节点都检验处理的信息。例如,路由器告警和超大包有效载荷选项等。
路由选择(Routing)——通过列出在到达目的地的路径中数据包所要经过的节点列表来提供源路由选择的功能。
分段(Fragment)— —是指在一个数据包被分段时用来为接收节点重组数据包提供必要的信息。
封装安全有效载荷(ESP)– 用于有效载荷的加密封装。
认证报头(AH)—用于数据包必须在源与目的节点之间进行认证的情况。
目的地可选项(Destination Options)— —用于传送仅仅被目的节点,或者可能是路由选择报头中列出的节点捡验处理的信息。

2.4 IPV6相关技术和协议

2.4.1 ICMPV6（IPv6因特网控制消息协议）
在IP报头中下一包头的协议号为58，ICMPv6处理与ICMPv4相同的基本错误和信息性消息。ICMPv6为邻居发现协议和组播侦听者协议提供支持。
icmpv6的错误消息类型:
1、目的地址不可达
2、包太大
3、时间超时
4、参数错误
icmpv6信息性消息类型：
1、回射请求
2、回射回复
2.4.2 邻居发现协议（NDP）
NDP（Neighbor Discovery Protocol，邻居发现协议）是IPv6的一个关键协议，它组合了IPv4中的ARP、ICMP路由器发现和ICMP重定向等协议，并对它们作了改进。作为IPv6的基础性协议，NDP还提供了前缀发现、邻居不可达检测、重复地址监测、地址自动配置等功能。
1．地址解析：地址解析是一种确定目的节点的链路层地址的方法。NDP中的地址解析功能不仅替代了原IPv4中的ARP，同时还用邻居不可达检测（NUD）方法来维持邻居节点之间的可达性状态信息。
2．无状态地址配置：NDP中特有的地址自动配置机制，包括一些列相关功能，如路由器发现、接口ID自动生成、重复地址监测等。通过无状态自动配置机制，链路上的节点可以自动获得IPv6全球单播地址。
a）路由器发现：路由器与其他相连的链路上发布网络参数信息，主机捕获此信息后，可以获得全球单播IPv6地址前缀、默认路由、链路参数（链路MTU）等信息。
b）接口ID自动生成：主机根据EUI-64规范或其他方式为接口自动生成接口标识符。
c）重复地址监测（DAD）：根据前缀信息生成或手动配置IPv6地址后，为保证该地址的唯一性，在其可以使用之前，主机需要检验它是否已被链路上的其他节点所使用。
d）前缀重新编址：当网络前缀变化时，路由器在与其相连的链路上发布新的网络参数信息，主机捕获这些新信息后，重新配置前缀、链路MTU等地址相关信息。
3．路由重定向：当在本地链路上存在一个更好的到达目的网络的路由器时，路由器需要通告节点来进行相应配置改变。
2.4.3 组播侦听者发现协议（MLDV1/MLDV2）
组播侦听者发现协议是IPv6路由器所使用的一种协议，用以发现在其直连网络上的组播侦听者（即希望接收组播数据的节点）的存在，并且能明确发现这些邻居节点所感兴趣的组播地址。这个协议就是组播侦听发现（MLD ）, MLD v1源于IPv4的IGMPv2。二者之间一个比较重要的区别是：MLD使用ICMPv6（IP协议号58）消息类型，不同于IGMP（IP协议号2）消息类型。
MLDv1协议有三类消息类型：
(1)组播征听者查询消息(Type=130)。
a.一般查询消息。用于发现在直连的链路上哪些组播地址有组播征听者。
b.特定组播地址查询消息(Multicast AddressSpecific Query)。用于判断一个特定的组播地址在本地链路上是否有组播征听者。
(2)组播征昕者报告消息(Type=131)。
(3)组播征听者Done消息(Type=132)。
MLDV2协议只有二类消息类型：
(1)组播征听者查询消息(Type=130)。
a. 一般查询消息。用于发现在直连的链路上哪些组播地址有组播征听者。
b.特定组播地址查询消息(Multicast AddressSpecific Query)。用于判断一个特定的组播地址在本地链路上是否有组播征听者。
c.特定组播地址和源地址查询消息(Multicast-address-and-source-specific query)。用于判断一个特定源的组播地址在本地链路上是否有组播征听者。
(2)组播征昕者报告消息(Type=143)。
2.4.4 地址配置协议
（一）无状态地址自动配置协议（SLAAC）
无状态地址自动配置的核心是不需要额外的服务器管理地址状态，主机可自行计算地址进行地址自动配置，包括4个基本步骤：
1. 链路本地地址配置。主机计算本地地址。
2. 重复地址检测，确定当前地址唯一。
3. 全局前缀获取，主机计算全局地址。
4. 前缀重新编址，主机改变全局地址 [8]
（二）IPv6动态主机配置协议（DHCPv6）
DHCPv6在DHCP的基础上，进行了一定的改进与扩充。其中包含3种角色：DHCPv6客户端，用于动态获取IPv6地址、IPv6前缀或其他网络配置参数；DHCPv6服务器，负责为DHCPv6客户端分配IPv6地址、IPv6前缀和其他配置参数；DHCPv6中继，它是一个转发设备。通常情况下。DHCPv6客户端可以通过本地链路范围内组播地址与DHCPv6服务器进行通信。

三、应用IPv6后可以哪些安全问题又带来了哪些安全隐患

3.1理论上能够解决的信息安全问题

IPv6协议在设计之初就考虑了安全性，其海量的网络地址资源、自动配置机制、集成IPsec协议等特性使IPv6在攻击可溯源性、防攻击、数据传输过程中的完整性和加密性等安全方面有所提高。
1、IPv6拥有巨大的地址空间资源，建立了源地址验证机制，有利于攻击溯源
IPv4没有建立起源地址验证机制，且在IPv4网络中，由于地址空间的不足，普遍部署NAT，一方面破坏了互联网端到端通信的特性，另一方面隐藏了用户的真实IP，导致事前基于过滤类的预防机制和事后追踪溯源变的尤为困难。
IPv4存在的安全隐患
IPv6则建立了可信的地址验证体系，IPv6的地址验证体系结构（SAVA）分为接入网（Access Network）、区域内（Intra-AS）和区域间（Inter-AS）源地址验证三个层次，从主机IP地址、IP地址前缀和自治域三个粒度构成多重监控防御体系，该体系一方面可以有效阻止仿冒源地址类攻击，一方面能够通过监控流量来实现基于真实源地址的计费和网管。
IPv6拥有丰富的地址资源，且可以通过建立的地址验证机制解决网络实名制和用户身份溯源问题，在发生网络攻击事件后有利于追查溯源。同时，安全设备可以通过简单的过滤策略对节点进行安全控制，进一步提高网络安全性。
IPv6建立可信互联网体系
此外，在IPv4网络中，黑客攻击的第一步通常是对目标主机及网络进行扫描搜集数据，以此推断出目标网络的拓扑结构及主机开放的服务、端口等信息从而进行针对性地攻击。在IPv6网络中，网络侦察的难度和代价都大大增加，从而进一步防范了攻击，提高了用户终端的安全性。
2、IPv6协议保证了网络层的数据认证、数据完整性及机密性
IPv6通过集成IPsec实现了IP级的安全，IPSec可以提供访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、业务流保密等安全服务，较大的提升了网络层的数据认证、数据完整性及机密性。
3、IPv6的邻居发现协议（NDP）进一步保障传输安全性
IPv4采用的地址解析协议（ARP），存在ARP欺骗等传输安全问题。IPv6协议中采用邻居发现协议（NDP）取代现有IPv4中ARP及部分ICMP控制功能如路由器发现、重定向等，独立于传输介质，可以更方便地进行功能扩展，并且现有的IP层加密认证机制可以实现对NDP协议的保护，保证了传输的安全性。
4、基于IPv6的新型地址结构为我国建立根服务器提供了契机
互联网的顶级域名解析服务由根服务器完成，它对网络安全、运行稳定至关重要。2013年，中国下一代互联网国家工程中心联合日本、美国相关运营机构和专业人士发起”雪人计划”，提出以IPv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。 2016年，”雪人计划”在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设，其中中国部署4台，打破我国没有根服务器的困境。

3.2 面临的安全隐患有哪些

TCP/IP模型中，网络安全分为四个层次：物理层、网络层、传输层和应用层。IPv6虽然增强了自身的安全机制，但IP协议仅是网络层的协议，IPv6协议改变的是IP报头、寻址方式，提高了网络层的安全性，但对其他功能层的安全能力并未产生影响或有所提高，因此，设备仿冒接入网络、应用层攻击导致的漏洞、传输过程中的攻击等仍然存在。
IPv6发展过程中，仍然存在安全漏洞问题：
1、 庞大的地址空间会加大漏洞扫描、恶意主机检测、IDS等安全机制的部署难度；
2、 无状态地址自动配置时，攻击者可能利用冲突地址检测机制实施拒绝服务攻击（DoS）；
3、 NDP（邻居发现协议）面临哄骗报文攻击、拒绝服务攻击（DoS）的安全威胁；
4、 IPv6 组播所需的MLD 等组播维护协议不能满足安全的需要，存在机密数据被窃听、对处理MLD 报文的路由转发设备发起拒绝服务攻击（DoS）的安全隐患。
5、IPv4与IPv6的协议转换也是入侵的后门
IETF定义的IPv4到IPv6有三种，Dual-stack Tunnels以及Protocol，在Dual-stack架构中，IPv4与IPv6是共存于Layer 2之上，只是各自使用不同的Ethernet Type.IPv4的Ethernet Type是0x0800，IPv6的Ethernet Type是0x86dd.IP层之上的传输层没有什么变化
与IPv4网络对比，IPv6新特性对常见网络攻击类型的影响：