在互联网世界，每台联网的设备都被分配了一个用于标识和位置定义的 IP 地址。 20 世纪 90 年代以来互联网的快速发展，联网设备所需的地址远远多于可用 IPv4 地址的数量，导致了 IPv4 地址耗尽。因此，协议 IPv6 的开发和部署已经刻不容缓。

IPv6 除了比 IPv4 提供更充沛的 IP 地址数量，还有诸多其他优势。

更快更安全，一直是互联网长期的追求。IPv6 是固定报头，不像 IPv4 那样携带一堆冗长的数据，简短的报头有效的提升了网络数据的转发效率；安全方面，IPv6 直接集成了 IPSec，在网络层进行认证与加密数据，为用户提供端到端的数据安全，保证数据不被劫持。

目前，已经有大部分网站开始引用 IPv6，但是 IPv4 与 IPv6 的设计并不是可互操作的，这使得 IPv4向 IPv6 的过渡变得复杂了许多，这其中也包含了网络安全领域。

△ IPv6时代已经到来

2018 年初，Neustar 宣称受到了 IPv6 DDoS 攻击，这是首个对外公开的 IPv6

DDoS 攻击事件。该攻击源自大约 1900 种不同的本地 IPv6 主机，在 650 多个不同的网络针对 Neustar 网络中的权威 DNS 服务器进行攻击。一些人称这是“第一次本机 IPv6 DDoS 攻击”。虽然这也许并不是第一次，但由此可见，IPv6 时代下对于 DDoS 攻击的防御已经刻不容缓。

DDoS 攻击的影响和危害

众所周知，DDoS 攻击是黑客利用控制的计算机（肉鸡）对一个特定的目标发送尽可能多的网络访问请求，形成流量洪流来冲击目标系统。DDoS 攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，造成权威受损、品牌蒙羞、财产流失等巨大损失，严重威胁着互联网信息安全的发展。

在 IPv6 网络中，对于开发 DDoS 攻击工具的黑客来说，IPv6 不仅引入了额外的攻击媒介，而且还增加了攻击量。因为 IPv4 提供大约 43 亿个唯一的 32 位 IP 地址。而 IPv6 则是使用 128 位地址，号称可以为全球的每一粒沙子都分配一个 IP ，这也意味着攻击者可以利用超过 340 亿的 IP 地址，这使得攻击的危害被放大了无数倍。对于网站管理者来说，在跟踪和阻断方面会显得愈加困难。因为地址的数量无限大，类似 Spamhaus 这样的操作垃圾邮件黑名单的运营商会意识到：垃圾邮件发送者可以轻松地针对每封邮件使用不同的 IP 地址发起群发垃圾邮件活动。

△ 网络工程师正在意识到 IPv6 的安全问题（图片来源：Arbor Networks）

此外，一些 IPv6 协议的新特性，也可能会被黑客用于 DDoS 攻击：

IPv6 新增 NS/NA/RS/RA，可能会被用于 DDoS 攻击

IPv6 的 NextHeader 新特性同样有此类风险，比如 Type0 路由头漏洞，通过精心制造的数据包可以让一个报文在两台有漏洞的服务器之间“弹来弹去”，将链路带宽耗尽

IPv6 支持无状态自动配置，同时子网下可能存在非常多可使用的 IP 地址，攻击者可以便利的发起随机源 DDoS 攻击

IPv6 采用端到端的分片重组机制，如果服务器存在漏洞，可能会被精心伪造的分片包 DoS 攻击

IPv6 攻击不可避免：做好准备

随着 IPv6 成为企业网络中越来越大的一部分，基于 IPv6 的攻击都将会增加。因为 IPv6 节点可以使用易受恶意干扰的邻居发现协议来发现其他网络节点，所以网站管理员现在需要熟悉安全邻居发现协议（SEND）。该协议解决了连接在同一条链路上的所有节点之间的互操作问题，可以抵御一些潜在的 IPv6 攻击技术。

△ IPv6 下的 DDoS 防御已刻不容缓（图片来源网络）

除此之外，还有哪些方法可以抵御 IPv6 协议下的 DDoS 攻击？

重构操作系统来支持 IPv6：这是防御的最佳方法之一。开发出一种系统，可以防止入站和出站的网络攻击，以此用来支持 IPv6 网络以及 IPv6 网络下的安全防护。

流量监控预警系统：目前正是 IPv4 与 IPv6 共存时期，流量监控预警系统需要支持 IPv4 和 IPv6，同时检测双栈流量，起到监控预警的效果，提前感知异常流量。

更强的流量清洗系统：由于 IPv6 的 IP 地址是 IPv4 的 2^96 倍，系统需要支持双栈，并能自动判断 IP 类型。因此需要更强大的处理性能才能支持海量 IP 的安全防御和清洗。

随时应对新挑战：目前传统的 DDoS 防御算法和模式应随时做好升级的准备，以便适应 IPv6 下的各种新特性和新挑战。

IPv6 协议采用速度正在不断加快，不久的将来会达到临界点，现在是时候准备网络防御来处理 IPv6 DDoS 攻击了。赶快行动起来！

快 来 找 又 小 拍