IPv6 时代如何防御 DDoS 攻击？

在互联网世界，每台联网的设备都被分配了一个用于标识和位置定义的 IP 地址。20 世纪 90 年代以来互联网的快速发展，联网设备所需的地址远远多于可用 IPv4 地址的数量，导致了 IPv4 地址耗尽。因此，协议 IPv6 的开发和部署已经刻不容缓。

IPv6 除了比 IPv4 提供更充沛的 IP 地址数量，还有诸多其他优势。

更快更安全，一直是互联网长期的追求。IPv6 是固定报头，不像 IPv4 那样携带一堆冗长的数据，简短的报头有效的提升了网络数据的转发效率；安全方面，IPv6 直接集成了 IPSec，在网络层进行认证与加密数据，为用户提供端到端的数据安全，保证数据不被劫持。

目前，已经有大部分网站开始引用 IPv6，但是 IPv4 与 IPv6 的设计并不是可互操作的，这使得 IPv4向 IPv6 的过渡变得复杂了许多，这其中也包含了网络安全领域。

2018 年初，Neustar 宣称受到了 IPv6 DDoS 攻击，这是首个对外公开的 IPv6 DDoS 攻击事件。该攻击源自大约 1900 种不同的本地 IPv6 主机，在 650 多个不同的网络针对 Neustar 网络中的权威 DNS 服务器进行攻击。一些人称这是“第一次本机 IPv6 DDoS 攻击”。虽然这也许并不是第一次，但由此可见，IPv6 时代下对于 DDoS 攻击的防御已经刻不容缓。

DDoS 攻击的影响和危害

众所周知，DDoS 攻击是黑客利用控制的计算机（肉鸡）对一个特定的目标发送尽可能多的网络访问请求，形成流量洪流来冲击目标系统。DDoS 攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，造成权威受损、品牌蒙羞、财产流失等巨大损失，严重威胁着互联网信息安全的发展。

在 IPv6 网络中，对于开发 DDoS 攻击工具的黑客来说，IPv6 不仅引入了额外的攻击媒介，而且还增加了攻击量。因为 IPv4 提供大约 43 亿个唯一的 32 位 IP 地址。而 IPv6 则是使用 128 位地址，号称可以为全球的每一粒沙子都分配一个 IP，这也意味着攻击者可以利用超过 340 亿的 IP 地址，这使得攻击的危害被放大了无数倍。对于网站管理者来说，在跟踪和阻断方面会显得愈加困难。因为地址的数量无限大，类似 Spamhaus 这样的操作垃圾邮件黑名单的运营商会意识到：垃圾邮件发送者可以轻松地针对每封邮件使用不同的 IP 地址发起群发垃圾邮件活动。

此外，一些 IPv6 协议的新特性，也可能会被黑客用于 DDoS 攻击：

IPv6 新增 NS/NA/RS/RA，可能会被用于 DDoS 攻击
IPv6 的 NextHeader 新特性同样有此类风险，比如 Type0 路由头漏洞，通过精心制造的数据包可以让一个报文在两台有漏洞的服务器之间“弹来弹去”，将链路带宽耗尽
IPv6 支持无状态自动配置，同时子网下可能存在非常多可使用的 IP 地址，攻击者可以便利的发起随机源 DDoS 攻击
IPv6 采用端到端的分片重组机制，如果服务器存在漏洞，可能会被精心伪造的分片包 DoS 攻击

IPv6 攻击不可避免：做好准备

随着 IPv6 成为企业网络中越来越大的一部分，基于 IPv6 的攻击都将会增加。因为 IPv6 节点可以使用易受恶意干扰的邻居发现协议来发现其他网络节点，所以网站管理员现在需要熟悉安全邻居发现协议（SEND）。该协议解决了连接在同一条链路上的所有节点之间的互操作问题，可以抵御一些潜在的 IPv6 攻击技术。

除此之外，还有哪些方法可以抵御 IPv6 协议下的 DDoS 攻击？

重构操作系统来支持 IPv6：这是防御的最佳方法之一。开发出一种系统，可以防止入站和出站的网络攻击，以此用来支持 IPv6 网络以及 IPv6 网络下的安全防护。
流量监控预警系统：目前正是IPv4 与 IPv6 共存时期，流量监控预警系统需要支持 IPv4 和 IPv6，同时检测双栈流量，起到监控预警的效果，提前感知异常流量。
更强的流量清洗系统：由于 IPv6 的 IP 地址是 IPv4 的 2^96 倍，系统需要支持双栈，并能自动判断 IP 类型。因此需要更强大的处理性能才能支持海量 IP 的安全防御和清洗。
随时应对新挑战：目前传统的 DDoS 防御算法和模式应随时做好升级的准备，以便适应 IPv6 下的各种新特性和新挑战。

IPv6 协议采用速度正在不断加快，不久的将来会达到临界点，现在是时候准备网络防御来处理 IPv6 DDoS 攻击了。赶快行动起来！