IPv6协议栈脆弱性分析

国家网络空间安全发展创新中心 郭毅

　　在2018 ISC互联网安全大会——IPv6规模化部署与安全论坛上，国家网络空间安全发展创新中心郭毅发表题为《IPv6协议栈脆弱性分析》的演讲，他从IPv6相较于IPv4的主要改变出发，并在此基础上分析了这些改变可能带来的新的脆弱性。

　　IPv6较于IPv4的改变

　　IPv6较于IPv4的改变主要表现在四个方面：

　　第一，IPv6编址发生改变。由过去的32位增加到128位，极大扩展了IP地址空间，可以不受限制地获取IPv6地址。

　　第二，报头格式发生改变。IPv6简化基本报头，扩展报头也更为灵活。可选项被统一移到扩展报头，附加在目的IP地址字段后面，可以有0个或者多个扩展报头。中间路由器不必处理每一个选项，提高了处理数据报文的速度，也提高了转发性能。

　　第三，ICMPv6协议。该协议具备ICMPv4的常见功能，如提供发送和转发中的错误报告，以及用于故障分析的简单回送服务，废除不再使用的过时消息类型。协议综合了原有IPv4中分属不同协议的功能，多播侦听发现（MLD），取代IPv4中的IGMP协议，管理组播组成员。

　　第四，ND（邻居发现）机制。组合并改进了原有功能，工作在网络层，任何网络媒介都可以运行相同的邻居发现。

　　IPv6协议栈的脆弱性

　　IPv6协议栈脆弱性首先是非IPv6特有的安全威胁，包括：（1）应用层协议或服务导致的漏洞在网络层无法消除；（2）利用嗅探工具实施网络嗅探，可能导致信息泄露；（3）设备仿冒接入网络；（4）未实施双向认证情况下，可实施中间人攻击；（5）洪泛攻击。

　　其次，IPv6的特性带来新脆弱性，包括双栈环境、IPv6编址、扩展报头、ICMPv6、ND机制、协议具体实现相关等脆弱性。

　　扩展报头相关脆弱性问题比较多：第一个就是安全控制规避，在RFC规范中，同一个包中若有多于一个扩展选项时，建议以如下顺序排列：基本报头、HBH逐跳选项、DH目的选项、RH路由报头、FH分段报头、AH认证报头、ESP封装安全荷载报头。要求HBH须紧跟基本报头，且中间节点必须处理；第二个是处理要求带来的拒绝服务；第三个是实现错误引起的拒绝服务。

　　IPv6网络安全防护建议

　　第一，熟悉IPv6网络知识及IPv6特有安全威胁。人是网络安全最重要的环节，通过对安全人员的培训和教育，使其尽快掌握IPv6环境下安全威胁与防护技能，增强对新环境安全问题的处置能力；

　　第二，重视各类IPv6协议栈的漏洞挖掘与修补。漏洞挖掘是加快IPv6漏洞发现的重要手段，鼓励安全企业和个人提交与IPv6协议栈相关漏洞，使得IPv6协议栈能够尽快得到修补和完善；

　　第三，IPv6网络安全防护产品开发优化与防护策略。推进现有安全设备在IPv6环境中的兼容和落地，避免出现运行在IPv6下的业务系统缺少必要的安全防护措施的局面。

　　（本文刊登于《中国教育网络》2018年10月刊，本文根据郭毅在2018 ISC互联网安全大会上的发言整理而成，整理：杨洁）