互联网工程师们发现了据称业内第一起基于IPv6的分布式拒绝服务(DDoS)攻击。他们警告,这仅仅是个开头,下一波网络大破坏迫在眉睫。
网络专家韦斯利.乔治(Wesley George)本周早些时候注意到了奇怪的流量,这是针对一台DNS服务器发动的大规模攻击的一部分,企图让服务器不堪重负。他供职于Neustar公司的SiteProtect DDoS保护服务部门,当时他在获取恶意流量的数据包,这是其工作的一部分,他当时意识到“来自IPv6地址的数据包流入到IPv6主机。”
这次攻击不是很大――不像本周针对GitHub发动的创纪录的1.35Tbps攻击,也没有采用IPv6独有的方法,但是不同寻常、令人担忧,于是他提醒团队的其余成员要注意。
1900个IPv6地址背后的那些计算机在攻击DNS服务器,它们只是更多数量的被征用的系统的一部分,这些系统主要使用公共互联网上的IPv4地址。因此,运行IPv6网络的任何人都要确保自己已部署了与IPv4网络同样级别的网络安全和缓解工具,而且动作要快。
Neustar的研发负责人巴雷特?莱昂(Barrett Lyon)告诉我们:“面临的风险在于,如果你没有将IPv6作为威胁模型的一部分,很可能两眼抹黑。”
除了少数几家知名公司(比如Facebook和LinkedIn)外,已开始引入IPv6网络的公司大多数是通过并行运行IPv4和IPv6来开展这项工作的,常常设有两个不同的团队。莱昂和乔治都警告,根据他们的经验,网络工程师们先安装好IPv6网络,之后才为确保安全而操心。
敞开的解析系统
莱昂特别指出,在1900个IPv6地址中,400个被配置不当的DNS系统所使用,大约三分之一的攻击流量来自那些服务器――不法分子可以使用DNS服务器来放大发送到受害者系统的网络流量。这可能是将来的一个巨大问题,因为它表明工程师们在构建的网络存在固有的安全问题,之后可能需要数年才能解决。
几年来,互联网社区一直高度专注于找出敞开的IPv4解析系统,并打上补丁,因为它们有可能被用于上述的DNS放大攻击。
但是这之所以有可能得逞,一方面是由于IPv4地址空间是可扫描的;而IPv6并非如此,IPv6的地址空间非常庞大,不法分子很难使用同样的技术来发现IPv6地址。正因为如此,如今新部署的任何敞开的解析系统无异于是未来潜在的安全噩梦。
除了潜在的IPv6安全问题外,还有这些问题:一些缓解工具仅适用于IPv4(常常归因于硬编码地址写入到代码中)或者部署到IPv4环境中,后来移植到IPv6环境中;许多IPv6网络任务是用软件(而不是用硬件)来实现的,这留下了多得多的潜在安全漏洞;而IPv6协议中的数据包报头扩展带来了潜在的、新的攻击途径。
说到逐步部署IPv6,IPv6在安全方面有利也有弊,不过随着IPv6逐渐成为网络默认协议,有利方面会逐渐消失。
说到有利方面,IPv6网络还没有遍地开花,因而攻击者不会特别关注它,专门针对这种新的协议开发新的攻击方法,至少目前如此。而目前最糟糕的安全风险:拼凑而成的物联网产品几乎完全专注于IPv4。
默认协议
但是说到不利方面,几乎所有现代移动设备和PC都内置了支持IPv6的功能,而且在默认情况下已开启,所以当那些IPv6攻击来临时,它们将会遭受重创。另外,许多网络工程师不知道IPv6是什么,所以保护IPv6也就无从谈起。
乔治假设,如果网络遭到组合型IPv4和IPv6攻击流量的攻击(就像本案中发生的那样),这是将来的一大问题。系统管理员可能会用上所有正常的缓解工具,但只能对付IPv4流量,致使网络仍然受到攻击,负责人无法查清楚原因。
由于大多数人使用双堆栈系统在现有系统旁边部署IPv6,莱昂还担心IPv6攻击可能会破坏用来并行运行网络的路由器和交换机,因此通过后门攻击IPv4网络。
莱昂表示,本周的攻击“只是冰山一角”。他希望这可以向系统管理员们敲响一记警钟,以便将最佳实践运用于IPv6网络,他认为“你在IPv4界采取什么措施,就应该在IPv6界采取什么措施。”
不过客观地说,他并不确信人们会事先吸取教训。莱昂说:“人们并不往往后来把安全看成是优先事项。直到面临危机,才会格外重视安全。”