IT专家发现首例基于 IPv6 的拒绝服务(DDoS)攻击
网络攻击防护找广东IDC网:www.gdidc.com.cn/yfddos/
IT 专家发现首例基于 IPv6 的拒绝服务(DDoS)攻击,来自1900个 IPv6 地址背后的计算机设备向目标DNS服务器发起进攻,互联网工程师们警告称,这只是新一轮网络破坏活动的小小开端,这还仅仅只是开始。
攻击发现过程
网络安全大师威斯利•乔治近日发现了相关异常流量,其属于一轮针对 DNS 服务器的大规模攻击活动,旨在彻底摧毁DNS 服务器的正常解析能力。作为 Neustar 公司 SiteProtect DDoS 防护服务工作组的成员,他当时正在收集恶意流量数据包,并立即意识到“这批数据包源自 IPv6 地址并指向 IPv6 主机”。
此次攻击的规模并不算非常惊人——至少远低于近日 GitHub 所遭遇的创纪录的1.35 Tbps攻击流量——且并没有采用专门针对 IPv6 的攻击方法。然而其来自 IPv6、指向 IPv6 的特性已经足够引起重视,并令安全人员引起高度警惕。
来自1900个 IPv6 地址背后的计算机设备向目标 DNS 服务器发起进攻,而其中大多数设备因受到感染而加入战团。此轮攻击中的大多数计算设备仍普遍在公共互联网上使用 IPv4 地址。因此,任何运行有 IPv6 网络的用户都需要确保自身的网络安全与缓解工具拥有充足的抵御能力,从而对抗与 IPv4 网络具有同等规模乃至执行速度的攻击活动。
Neustar 公司研究与开发负责人巴瑞特•里奥在采访中指出,“目前的风险在于,如果没能将 IPv6 视为威胁模型当中的组成部分很可能无法准确找到攻击根源。”
除了少数值得注意的例外——例如 Facebook 与 LinkedIn(领英),目前大部分企业已经开始引入 IPv6 网络,并将其与IPv4网络交由两支独立团队并行运行。里奥、乔治警告称,网络工程师们会首先建立起 IPv6 网络,而后才开始考虑安全相关事务。
应修复开放解析器
里奥指出,在这1900个 IPv6 地址当中,有400个源自配置不当的 DNS 系统;此外,有近三分之一攻击流量来自这些服务器——这意味着恶意人士能够利用 DNS 服务器来扩大指向受害者系统的网络流量。这在未来可能引发更为显著的问题,因为其表明工程师们目前正在着手建立的网络中可能存在恐怖的安全隐患,且仍需要数年时间才能得到解决。
互联网社区多年以来一直致力于发现并修复各类开放 IPv4 解析器,从而避免上述 DNS 放大攻击活动的发生。
由于 Ipv4 地址空间具备可扫描性,上述目标确实有可能实现。但由于 IPv6 的地址空间过于庞大,以至于利用相同的发现技术将很难解决问题,正因为此,目前出现的任何新的开放解析器都将成为未来可怕的潜在安全噩梦。
IPv6 带来的潜在安全隐患在于:
某些缓解工具仅适用于 IPv4(这主要是由于其通常会将 IPv4 地址以硬编码形式添加至代码当中),或者仅提供 IPv4 版本,而后再移植至 IPv6 形式;
多数 IPv6 网络存在于软件(而非硬件)当中,这意味着其可能隐藏更多安全漏洞;
IPv6 协议当中的扩展数据包报头也可能被作为新的潜在攻击载体。
面对 IPv6 逐步普及这一实际趋势,我们需要立足安全层面采取积极措施与应对手段,随着 IPv6 慢慢成为默认形式的网络配置,这些优势将随着时间推移而逐渐消失。
从积极的角度来看,IPv6 网络对于攻击者而言仍然普及度不高,因此其不太可能(至少当前是这样)专注于针对这种新兴协议开发专门的攻击方法。当下最严重的安全隐患载体(物联网产品)几乎完全集中在 IPv4 之上。
警惕 IPv4 与 IPv6 攻击流量的组合攻击
然而,相当一部分现代移动设备与 PC 机都已经内置有 IPv6 支持能力,并默认启用。因此当 IPv6 攻击活动出现时,这些设备都将遭受重创,网络工程师们尚未察觉这类问题的严重性。
乔治提出假设,如果一套网络遭遇到 IPv4 与 IPv6 攻击流量的组合攻击,那么将会引发新的潜在问题。系统管理员虽然能够运用全部工具加以应对,但其往往只能阻止 IPv4 流量,在这种情况下,网络仍将受到攻击,而相关安全负责人却无法弄清原因。
目前,大多数组织机构正利用双栈系统——即在现有系统之外独立推出 IPv6 系统,因此 IPv6 攻击活动可能会损害用于网络并行运作的路由器与交换机设备,进而通过后门攻击入侵 IPv4 网络。
互联网工程师们提醒系统管理员们坚持将最佳实践应用于 IPv6 网络,即在 IPv4 层面所执行的一切保障手段,都应在 IPv6 世界当中同样得到切实执行。