* 邻居发现及请求都可能使网络出现问题。IPv6中的邻居发现(Neighbor Discovery)使用了五种不同类型的第6版互联网控制信息协议(ICMPv6),用于多种目的,如在链接中包含可确定邻居的链路层地址,清空已失效的缓存值,以及发现那些想要自己转发分组数据包的邻居。虽然邻居发现提供了很多有用的功能,包括重复地址检测(DAD)以及对不可及邻居的检测(NUD),但它也给攻击者提供了很多机会。IPv6中的邻居发现攻击将很快取代IPv4中的同类攻击,如ARP Spoofing攻击。一般而言,除非明确地提供并实现了链路层访问控制以及安全机制,否则保持所有端口的关闭是一个好主意,而且要在不使用IPv6时,将其完全禁用。
* 阻塞大型扩展头、防火墙与安全网关,可能成为DDoS攻击者的目标。在IPv6中,IP选项功能已被从主头中移出,而通过一组附加头来实现。这些附加头叫做扩展头,其定义了一组目标选项、逐跳跃(hop-by-hop)选项、身份认证,以及一个其它选项的数组。这些扩展头跟随着固定为40字节的IPv6主头,它们相互链接,构成一个IPv6分组数据包(固定头 + 扩展头 + 有效负载)。有大量扩展头的IPv6流会淹没防火墙和安全网关,甚至会致使路由器转发性能下降,因此成为了DDoS和其它攻击者的一种潜在动力。在路由器上禁用“IPv6源路由(IPv6 source routing)”可能是防止DDoS威胁的必要方式,并且明确地写明支持哪种扩展头,以及检查网络设备的正确实现,这些都很重要。一般而言,IPv6增加了很多需要过滤或区域性传播的部件,包括一些扩展头、组播地址,以及增加了互联网控制信息协议(ICMP)的使用。
* 6to4和6RD代理可能会导致攻击与滥用行为。6to4及其ISP快速部署的6RD均无需配置专用的隧道,就能使IPv6数据包跳出IPv4的空间。但部署IPv6代理服务器可能会使代理运营商进入一个麻烦的世界,包括发现式攻击、欺骗,以及反射式攻击,而代理运营商自身可能被利用,成为一个攻击和滥用的“源头”。
* 对IPv6服务的支持可能暴露现有的IPv4应用程序或系统。有一个局限便是,现有的安全补丁可能仅适用于IPv4支持,而大多数核心程序在做DNS查表等动作时,偏向于优先采用IPv6接口(而不是IPv4),以促进IPv6的更快部署。实际上,IPv6与IPv4之间的这种互动可能使每次DNS查表的流量翻番(同时请求AAAA和A记录,或更糟糕的情况,即每次都要通过IPv4和IPv6)。为了优化用户体验,可能产生出大量非必需的DNS流量。OS与内容供应商在不断采用措施,以减轻或优化这个性能(如:AAAA白名单),但它也增加了系统负荷和状态。另外应注意到,使用新的IPv6栈后,肯定会逐步显现新的漏洞。一个过渡周期内长期存在两个栈,以及路由器、最终系统与网络服务(如DNS)之间的相互依存,显然会为犯罪分子提供充分施展的空间。
* 很多用户可能被隐藏在固定地址集后面。被大型网络地址转换协议(NAT-PT)设备所隐藏的用户可能会废除一些有用功能(如地理定位)或工具,使恶意网络行为有了空间,并且让基于信誉的号码与命名空间的安全控制问题更为严重。
* 与其它网络做隧道操作时,即使IPSec也可能带来问题。IP安全机制(IPSec)能够对发送者做出认证,提供完全的保护,并且可选采用加密的IP分组数据包以提供传输数据的可信性。IPSec在IPv4中是一个可选功能,而在IPv6中是强制使用的。在隧道模式下(基本上是建立一个网络间、主机—网络和主机间通信的VPN),整个数据包被封装在一个新的IP包内,并给它一个新的IP头。但当与某个超出原发方控制的网络建立VPN连接时,则可能产生安全性暴露问题,或被用于漏出数据等。由于IPSec要用附加协议(如互联网密钥交换–IKE)去处理对安全保护以及相关安全密钥的协商与管理,从而增加了复杂性,因此IPv6初期对IPSec支持的广泛程度也许并不会超过IPv4。
在IPv6开始广泛部署且IPv4设备开始减少以前,还会有一段时间。到那时,我们都将致力于可实现互联网第40亿台设备的协议。
