林 铮

（中电福富信息科技有限公司，福州 350001）

1 引言

根据国家IPv6发展检测平台显示，到2019年9月，我国活跃IPv6用户已经到达2亿。随着IPV6网络的逐步普及，IPv6资源和用户的不断增加，随之而来的IPV6网络安全问题也日益严峻，IPv6时代网络安全和IPv4时代相比，网络恶意攻击有哪些新的变化，这些都是非常值得研究的问题。

2 IPv4 报文和IPv6 报文的差异

IPv6协议和IPv4协议相比，有较大的差异，主要如下：

地址空间，IPv4 报文长度为32 位，地址空间只有42 亿个，而IPv6报文长度为128位，地址空间有3.4×1038个。

IPv6报文头部，IPv6头部为固定40个字节，一共有8个字段。IPv6报文头部和IPv4报文头部相比，对其中的内容进行了修改，保留了其中7个字段，丢弃了5个字段，同时增加了流标签字段。

QOS 支持，由于IPv6包头增加了流标签字段，使得IPv6报文对QOS 支持程度比IPv4高许多。

自动配置，IPv6支持自动配置，这是一个重要的IPv6新特性，可以利用IPv6自动配置，通过网络设备给终端下发IPv6前缀，终端自动生成IPv6后缀，前缀+后缀组合成一个完整的IPv6地址。

3 IPv4 和IPv6 相同的恶意网络攻击

在IPv4网络中，存在很多类型的网络攻击，当网络过渡到IPv6网络时代，这些类型网络攻击仍旧存在，仍然可以利用这些攻击对IPv6网络产生危害。

3.1 网络嗅探攻击

网络嗅探攻击通过捕获网络中传输的数据获得通信信息，无论是IPv4报文还是IPv6报文都可以进行嗅探攻击。不过嗅探攻击一般只能对未加密的通讯进行探测，如果通讯过程有加密，如通过IPSEC 协议或者SSL 协议协议，则嗅探攻击无法成功嗅探到信息。

3.2 应用层攻击

应用层攻击是当今较为常见的攻击。如缓冲区溢出攻击，网站应用程序攻击，病毒和蠕虫攻击。即使网络过渡到IPv6协议，也无法阻止系统免受这些攻击，也不会减轻其后果，因为IPv4和IPv6都是网络层的协议，而应用层攻击的攻击目标是ISO 网络模型的应用层。

3.3 网络泛洪攻击

泛洪攻击在当前网络中愈演愈烈。泛洪攻击通过向目标设备注入大量的网络流量，目标设备无法处理如此大量的网络流量，网络变得不可用或服务中断。这种攻击同样也可以在IPv6网络中进行，只要保证有足够大的IPv6流量，一样可以瘫痪IPv6网络和IPv6主机，IPv6协议并没有一个好的机制可以防止这种攻击。

4 IPv6 网络下恶意网络攻击变化

在IPv6网络中，由于IPv6协议特点，使其攻击形式和方法产生了新的变化，具体如下：

4.1 侦察攻击

侦察攻击过程中，入侵者一般使用ping 来确定受害网络中正在使用哪些IP 地址。找到可访问的IP 地址后，入侵者将执行端口扫描过程。IPv6中的子网大小比IPv4大得多，IPv6网络中的默认子网长度大小是64位，地址数量有264个，如果要执行扫描整个子网，难度是巨大的。因此对于IPv6网络，可以有效的抵抗侦查攻击。

4.2 双栈环境导致安全风险升高

目前我国正处于IPv4到IPv6的过渡过程中，过渡过程大部分网络都采用双栈的过渡模式，即同时启用IPv4协议栈和IPv6协议栈，同时存在IPv4攻击风险和IPv6攻击风险，IPv4和IPv6任何一个协议或者配置的漏洞，都有可能导致设备被攻击。同时攻击者可以将被攻击的设备作为据点，在IPv4和IPv6网络中渗透传播，增加了双栈节点的安全暴露面。

4.3 与ICMPv6 和组播相关的安全威胁

在IPv4网络中，ICMP 协议用于检测网络的连通性，为了保障网络安全，网络中可以设置丢弃大多数ICMP 消息而不会直接影响网络的正常运行，因此丢弃ICMP 报文是提高IPv4安全性的常见做法。在IPv6网络中，一些重要的网络运行机制，如邻居发现和地址重复检测等取决于某些类型的ICMPv6协议。因此为了保障网络功能的正常运行，某些ICMPv6消息必须被允许，不能像IPV4网络中设置被丢弃，这样一定程度上降低了网络安全。

4.4 IPv6 隧道机制导致安全风险提升

在向IPv6过渡过程中，存在多种隧道解决方案，解决IPv4和IPv6并存问题，如常见的有GRE 隧道、DS-LITE 隧道。这些隧道普遍存在缺乏内置认证、数据没有加密的问题，导致攻击者可能截取隧道报文，伪造用户地址等，增加网络风险。

5 结束语

IPv6现在已经全面进入生活的方方面面，IPv6网络安全问题在现在显得日益重要，针对IPv6的网络攻击也会层出不穷，本文针对IPv6网络下攻击形态变化进行了一定的阐述，提升对IPv6网络安全的认知。