IPv6时代如何防御DDoS攻击?

墨者安全2018-12-21 16:56

我们都知道现行版本的IP协议是IPv4协议,但由于最开始设计的时候没有考虑到互联网发展如此迅速,导致网络IP地址即将枯竭不够用了,于是推出IPv6协议用于代替IPv4协议,IPv6协议号称可以为全世界的每一粒沙子分配一个IP地址,完全不用再担心网络IP地址不够用了。从去年年底,国家也在大力推进IPv6协议,但随着IPv6时代的到来,IPv6网络下的攻击也开始出现。就在今年年初,Neustar宣称受到了IPv6DDoS攻击,这是首个对外公开的IPv6 DDoS攻击事件。



由于IPv4协议已经历十多年的发展,在IPv4下的防御系统已经非常成熟,但并不能直接用于IPv6协议的防护,需要全链路重构支持IPv6。IPv6协议的某一些新特性有可能被不法分子利用发起DDoS攻击:

1、IPv6新增NS/NA/RS/RA,可能会被用于DoS或DDoS攻击;

2、IPv6的NextHeader新特性可能被黒客用于发起DoS攻击,比如Type0路由头漏洞,通过精心制造的数据包,可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,让链路带宽耗尽,也可以绕过源地址限制,让合法的IP反弹报文;

3、IPv6支持无状态自动配置,同时子网下可能存在非常多可使用的IP地址,攻击者可以便利的发起随机源DDoS攻击;

4、IPv6采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包DoS攻击。

而且由于IPv6协议可以提供海量的网络IP地址,一个IDC就可能申请到非常大的可用地址块,这对IPv4协议下的传统防御算法简直就是噩梦,而且这几年智能物联网设备的大量增加且安全性不高,导致攻击者可以轻松获得海量僵尸网络,用来发起ddos攻击。
面对即将到来的IPv6协议,企业如何做好DDOS防御?

1、虽然IPv4网络已经非常成熟,但到了IPv6网络,现有的很多企业网络、服务器网络的大部分都需要更换设备和重新开发系统,才能支持IPv6网络以及IPv6网络下的安全防护;

2、由于IPv6的网络IP地址是IPv4网络IP地址的2的96次方倍,系统需要更强大的处理性能才能支持海量的IP的安全防御。

3、以前的传统DDOS防御算法和防御模式都应该做好升级的准备,适应IPv6的各种新特性和新挑战。