IPv6网络安全性分

　　随着互联网的高速普及，网络已经成为的新兴媒介，它吸收了各种的优点。而IPV6作为接替IPv4的存在，网络应用也只是时间问题。因此，安全就成为我们需要考虑的重要问题。

　　随着互联网用户的不断增长，原有的IP地址已经出现了匮乏的征兆。为了解决这个问题，新的IPV6协议产生了，这是能够无地增加IP网址数量、拥有巨大网址空间、数据传输质量提高、安全性增强等特点的新一代互联网协议。在未来的发展中，随着客户终端的增加，也将会逐步在网络系统中使用IPV6协议，以适应新的主流技术的需要。

　　以IPv4协议为核心的互联网，因其简单性、灵活性和可扩展性获得了巨大成功。然而，随着电脑的普及，互联网用户与日俱增，现有IPv4因其地址空间严重不足、数据传输缺乏质量等特点，在一定程度上了音视频等信号的传输，进一步阻碍了网络的发展。因此，互联网技术的迅猛发展，促使全新的以IPV6协议为核心的互联网升级换代，在网络保密性、完整性方面有了更好的改进。它以更大的优势在互联网协议中占据更加重要的。随着IPV6标准体系的不断完善，IPV6逐步优化了协议体系结构，为业务发展创造机会，IPV6作为灵活、可扩展的下一代网络核心协议，已逐渐从实验阶段实际应用。在不久的将来，IPV6终将代替IPv4，适应网络发展的需求。

　　无限路由器设置网址IPV6是一种新的协议。普遍认为，IPV6因有IPsec而比IPv4更安全，前景是广阔的。但在实际部署网络时，由于技术能力和现有设施不足，导致安全措施不够完善，在发展过程中还存在诸多安全隐患，还有许多技术问题需要解决。逐步消除IPV6协议带来的安全隐患，是值得探讨的一个课题。

　　IPV6协议因其特有的脆弱性，易于受到多方面的：

　　1、利用DNS

　　新一代互联网协议IPV6离不开DNS（域名系统）。网络中的DNS服务器，是一个容易被黑客作为对象的关键主机。由于IPV6的地址空间太大，很多IPV6的网络都会使用动态的DNS服务。一旦者攻占了这台动态DNS服务器，就可以得到大量在线IPV6的主机地址。因为IPV6的地址是128位，不好记忆。网络管理员可能会使用好记的IPV6地址，这些地址可能会被编辑成类似字典的东西，者很有可能根据这些特征猜到IPV6主机。此外，者可以利用这些信息掌握网络中其它网络通信设备，并利用这些信息实施。比如，者可以宣告错误的网络前缀、由信息等，从而使网络不能正常工作，或将网络流量导向错误的地方。因此，网络管理员在对主机赋予IPV6地址时，应该尽量对自己的IPV6地址进行随机化，使用不容易记忆的地址，能在一定程度上减少主机被黑客发现的机会。对于关键主机的安全需要特别重视，否则，黑客就会着手整个网络。

　　邻居发现协议ND(NeighborDiscoveryProtocol)是IPV6协议一个重要的组成部分，它实现了由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。因此，者往往利用它来发送错误的由器宣告、错误的重定向消息等，让IP数据流向不确定的方向，进而可以达到服务、拦截和修改数据的目的。

　　邻居发现协议通过跳域最大域255来防止链外的。但对链内却无法，因为内者可以利用IPV6无状态地址自动配置，很方便地接入同一链进行。如下图所示：如果甲想要知道乙的MAC地址，就要发送NS(NeighborSolication)给多有的节点，者接收到此请求，就会发送NA响应甲，即可达到中间人。

　　IETF在2002年成立了安全邻居发现协议工作组SEND(SecureNeighborDiscovery)以来，研究和解决邻居发现协议中的安全问题，并通过了RFC3971安全邻居发现协议SEND。

　　3、放大（Smurf）

　　Smurf是以最初发动这种的程序名“Smurf”来命名的，这种方法结合使用了IP和ICMP回复方法，使大量网络传输目标系统，引起目标系统为正常系统服务。放大通过使用将回复地址设置成网络的地址的ICMP应答请求(ping)数据包，淹没主机，最终导致该网络所有主机都对ICMP应答请求做出答复，导致网络阻塞。还有更严重的问题是，Smurf将源地址改为第三方的者，最终导致第三方崩溃。者为了达到目的，通常会伪造大量的echo请求包给目标A和B，这些包的源IPV6地址不是者本身的地址，而是者某个全球单播地址，目标收到echo请求后都会将echo响应发往者，这样的反射流将会大量消耗者或者者所在网络的带宽和处理资源。如下图所示：

　　RFC2463不会对组播或链地址回复。为了防止放大，就要对IPV6组播地址进行ingress过滤（RFC2267，RFC2827）和升级系统支持RFC2463。

　　4、数据包头更改和分片技术

　　者可以增加无限的IPV6扩展包头，来探测和分片技术。当需要传输的IP数据包超过链所能支持的最大传输单元（mtu）时,一个原始IP数据包将被拆分成多个分片包;当属于同一个原始IP数据包的分片包到达目的节点之后,由目的节点完成分片包的重组。由于IPV6比较特殊，中间的网络设备不参与分片和组装，IPV6的分片操作只能在源节点进行。所以，为了减少受到的几率，我们应该对网络设备的分片、不需要的扩展包头、小于128字节的数据包等进行提前过滤。

　　5、蠕虫和病毒

　　蠕虫是一种通过网络的恶性病毒，在性、潜伏性、不可预见性、针对性、隐蔽性、性等方面具有病毒的一些共性，同时具有文件寄生（有的只存在于内存中）、对网络造成服务以及和黑客技术相结合等一些个性特征。蠕虫病毒以其快速、多样化的方式不断给网络世界带来灾害。网络的发展使蠕虫可以在很短时间内蔓延整个网络，造成网络瘫痪，可见其性不是一般病毒所能与之相提并论的，这造就了一个谈毒色变的的网络世界！传统的蠕虫和病毒在IPV6中没有太大变化，但由于IPV6地址空间巨大，难以逐一扫描，蠕虫和病毒的会比较困难，针对TCP/IP（e.g.Slammertypes）不再有效。但是E-MailWorms将继续存在，而MessengerandP2PWorms也将来临，因此，防范病毒不但要从管理上着力，还要从技术措施上着手，安装蠕虫和病毒检测系统是必不可少的。

　　凡涉及网络上信息的保密性、可用性、真实性等，都是安全研究的领域。尽管IPV6协议在安全上做了多项改进，但是其引入也带来新的安全问题。目前，多数网络和来自应用层而非IP层，因此，网络信息安全，除了技术改进，还需配合认证体系、加密体系、密钥分发体系、可信计算体系等多种手段。在完善网络的安全问题上，我们还有很长的要走。

　　随着技术的不断进步，的计算机网络系统也将逐步引入IPV6进行试验。在时机成熟的条件下，将会考虑在部分网络中试运行IPV6。如果在安全性及性能上有较大提高，就可能大范围铺开新的IP协议的使用。这不但是技术上的一次突破，也将在安全性上得到较好的完善，从而网络系统的各种网络稳定安全运行。