⑹碎片包
攻击的另一种方式可能来自在IPv6协议下使用较大的包文件,利用错误的分片分组头部信息直接对网络设备发动攻击。攻击者可以使用间断的、不带结尾的碎片包来冲击主机的缓存,并以此来浪费大量的CPU资源。有效地控制分割碎片的大小或者数量,可以降低发生这样事情的概率。
⑺SLAAC
IPv6支持任一节点都有可能向DNS上传域名和地址的SLAAC协议,以此来提高D N S的更新速率,但是这样也会增加冒用域名的风险。如果DNS使用S L A AC作为其更新的手段之一,必须要确定向其更新的节点的安全性,就如同DHCP中一样。目前已经提出了新的DNSSec来保证DNS的安全性,然而在此之前,需要的是对上传的域名信息的认真审核,来尽量降低这种伪造可能带来的巨大风险。
⑻默认协议开启
I P v6和I P v4的长时间共存已经是大家的共识,而两种协议并存的过程中也会有一些问题。由于现在IPv6下的保护软件不充分,很多IPv4下被禁止的服务可能因疏忽由IPv6进入。比如IPv6下的Telnet默认开启,对于很多在IPv4下禁止用户随意连接的主机而言,攻击者现在可以通过IPv6连接到用户的主机上,所以很多用户需要再次使用命令阻止IPv6下的Telnet连接。
⑼巨大地址空间
在下一代互联网中,扫描威胁由于巨大地址空间而显得较为薄弱,但对于扫描的防护依然是不可轻视的。攻击者可以通过运用一些策略,来简化和加快子网扫描。例如通过D N S发现主机地址;猜测管理员经常采用的一些简单的地址;由于站点地址通常采用网卡地址,可以用厂商的网卡地址范围缩小扫描空间;攻破DNS或路由器,读取其缓存信息等,仍然需要对全网扫描这种行为的严格控制。同时由于每个节点都可以获得多个IPv6的全局地址,这会导致防火墙的过滤变得复杂,并且可能需要更多的资源来管理。
4 下一代互联网的安全策略
未来的互联网具有巨大地址空间的优势,更保持了原来互联网一贯的开放和创新的基础,势必会有更多的机器连接其上,如物联网和移动互联网。这会为互联网带来更多的信息,创造出更多的机会和利益。要解决下一代互联网的安全问题,首先要提高用户对网络安全的重视以及网络安全知识的普及,这需要政府和社会的共同努力。只有正视互联网的安全问题,并认真严谨地对待这些问题,才能保证网络本身的安全和可持续发展,为连接在互联网上的用户提供真正安心的服务。
其次, 通过传统网络多年的经验,运营商作为下一代互联网的提供者,在建设之初就应该结合下一代互联网的特点和潜在问题制定合适的安全措施。IPv6不是万能灵药,基于应用层的病毒和互联网蠕虫是一定会存在的,病毒还是会继续传播,同时IPv6自身也会有些不能避免的安全隐患。只有不断了解其可能存在的威胁,并提前准备防范甚至解决这些安全问题,才能构建可信任的下一代互联网,保持互联网稳定和健康的持续发展。这一方面包括利用IPv6本身的浩瀚地址,提供每个用户惟一的固定地址,以此提高网络本身可溯源性。同时,也可以通过溯源性,在监测用户在网络上的行为并采取适当的行动来达到安全监管的目的,如发现坏节点行为的同时,向其他节点发出警示或者直接停止坏节点的网络服务,或者为网络犯罪后提供追踪溯源服务等。各种监管方式各有利弊,需要通过较长时间研究和经验总结,结合不同的需要以及对实验效果的选择来完成。
最后, 应在下一代互联网部署之时就考虑建立新型的安全架构。比如采取各个节点自制的安全架构、部署在普通用户侧的下一代防火墙和安全控制服务,通过较为完备的防范措施,未雨绸缪,打造一个对于网络使用者更为安全的网络。
