1. 程式人生 > >該來的終於來了:“第一起”基於 IPv6 的 DDoS 攻擊

該來的終於來了:“第一起”基於 IPv6 的 DDoS 攻擊

網路安全

網際網路工程師們發現了據稱業內第一起基於IPv6的分散式拒絕服務(DDoS)攻擊。他們警告,這僅僅是個開頭,下一波網路大破壞迫在眉睫。

網路專家韋斯利•喬治(Wesley George)本週早些時候注意到了奇怪的流量,這是針對一臺DNS伺服器發動的大規模攻擊的一部分,企圖讓伺服器不堪重負。他供職於Neustar公司的SiteProtect DDoS保護服務部門,當時他在獲取惡意流量的資料包,這是其工作的一部分,他當時意識到“來自IPv6地址的資料包流入到IPv6主機。”

這次攻擊不是很大――不像本週針對GitHub發動的創紀錄的1.35Tbps攻擊,也沒有采用IPv6獨有的方法,但是不同尋常、令人擔憂,於是他提醒團隊的其餘成員要注意。

1900個IPv6地址背後的那些計算機在攻擊DNS伺服器,它們只是更多數量的被徵用的系統的一部分,這些系統主要使用公共網際網路上的IPv4地址。因此,執行IPv6網路的任何人都要確保自己已部署了與IPv4網路同樣級別的網路安全和緩解工具,而且動作要快。

Neustar的研發負責人巴雷特•萊昂(Barrett Lyon)告訴我們:“面臨的風險在於,如果你沒有將IPv6作為威脅模型的一部分,很可能兩眼抹黑。

除了少數幾家知名公司(比如Facebook和LinkedIn)外,已開始引入IPv6網路的公司大多數是通過並行執行IPv4和IPv6來開展這項工作的,常常設有兩個不同的團隊。萊昂和喬治都警告,根據他們的經驗,網路工程師們先安裝好IPv6網路,之後才為確保安全而操心。

敞開的解析系統

萊昂特別指出,在1900個IPv6地址中,400個被配置不當的DNS系統所使用,大約三分之一的攻擊流量來自那些伺服器――不法分子可以使用DNS伺服器來放大發送到受害者系統的網路流量。這可能是將來的一個巨大問題,因為它表明工程師們在構建的網路存在固有的安全問題,之後可能需要數年才能解決。

幾年來,網際網路社群一直高度專注於找出敞開的IPv4解析系統,並打上補丁,因為它們有可能被用於上述的DNS放大攻擊。

但是這之所以有可能得逞,一方面是由於IPv4地址空間是可掃描的;而IPv6並非如此,IPv6的地址空間非常龐大,不法分子很難使用同樣的技術來發現IPv6地址。正因為如此,如今新部署的任何敞開的解析系統無異於是未來潛在的安全噩夢。

除了潛在的IPv6安全問題外,還有這些問題:一些緩解工具僅適用於IPv4(常常歸因於硬編碼地址寫入到程式碼中)或者部署到IPv4環境中,後來移植到IPv6環境中;許多IPv6網路任務是用軟體(而不是用硬體)來實現的,這留下了多得多的潛在安全漏洞;而IPv6協議中的資料包報頭擴充套件帶來了潛在的、新的攻擊途徑。

說到逐步部署IPv6,IPv6在安全方面有利也有弊,不過隨著IPv6逐漸成為網路預設協議,有利方面會逐漸消失。

說到有利方面,IPv6網路還沒有遍地開花,因而攻擊者不會特別關注它,專門針對這種新的協議開發新的攻擊方法,至少目前如此。而目前最糟糕的安全風險:拼湊而成的物聯網產品幾乎完全專注於IPv4。

預設協議

但是說到不利方面,幾乎所有現代移動裝置和PC都內建了支援IPv6的功能,而且在預設情況下已開啟,所以當那些IPv6攻擊來臨時,它們將會遭受重創。另外,許多網路工程師不知道IPv6是什麼,所以保護IPv6也就無從談起。

喬治假設,如果網路遭到組合型IPv4和IPv6攻擊流量的攻擊(就像本案中發生的那樣),這是將來的一大問題。系統管理員可能會用上所有正常的緩解工具,但只能對付IPv4流量,致使網路仍然受到攻擊,負責人無法查清楚原因。

由於大多數人使用雙堆疊系統在現有系統旁邊部署IPv6,萊昂還擔心IPv6攻擊可能會破壞用來並行執行網路的路由器和交換機,因此通過後門攻擊IPv4網路。

萊昂表示,本週的攻擊“只是冰山一角”。他希望這可以向系統管理員們敲響一記警鐘,以便將最佳實踐運用於IPv6網路,他認為“你在IPv4界採取什麼措施,就應該在IPv6界採取什麼措施。”

不過客觀地說,他並不確信人們會事先吸取教訓。萊昂說:“人們並不往往後來把安全看成是優先事項。直到面臨危機,才會格外重視安全。”