世界IPv6日测试需警惕黑客攻击
包括谷歌、Facebook、雅虎和必应在内的数百个流行的网站将在6月8日参加一个24小时的IPv6互联网标准测试。这使人们担心黑客可能会利用这个新兴技术的弱点发动攻击。
这个名为“世界IPv6日”的IPv6测试从美国东部时间星期二晚上8点至星期三晚上7点59分进行。
安全专家担心,参加“世界IPv6日”试验的400多个企业、政府机构和大学的网站在这24个小时的测试中可能会遭到拒绝服务攻击或者其它类型的黑客攻击。
没有参加“世界IPv6日”测试的网络设备公司Radware的产品营销和安全主管Ron Meyran称,在过去的五个月里,分布式拒绝服务攻击一直在大幅度增长。IPv6对于攻击者来说也许更容易一些,因为IPv6通讯是通过没有检测的深层封包检测系统进行的。
Meyran指出,另一个担心的问题是IPv6数据包的头文件比iPv4数据包头文件大四倍。这意味着路由器、防火墙和其它网络设备必须处理更多的数据。分布式拒绝服务攻击更容易阻塞这种通讯。
Meyran称,采用分布式拒绝服务攻击,你需要达到100%的网络和设备利用率以便使服务达到饱和。必须完全处理更长的IPv6头文件才能做出路由决策。
参加“世界IPv6日”测试的Verizon企业技术机构执行总监Jean McManus称,我不知道是否会发生这种分布式拒绝服务攻击的事情,或者黑客会调查同时运行IPv6和Ipv4协议的具有双堆栈功能的服务器。他说,内容提供商需要特别小心,要保证妥善地锁定一切设备。
与IPv6有关的许多安全威胁都来自于这样一个事实:这个技术是新的,没有经过向IPv4一样的严格测试或者调试。此外,有IPv6经验的网络管理员比较少,因此,他们不熟悉编写自己的防火墙或者其它安全设备的与IPv6有关的规则。
Meyran称,我们从安全突破事件中了解到,允许你更清楚地看到网络和应用程序的安全规则正是因为缺乏IPv6的经验和培训。这个新的软件更复杂。熟悉这个软件的程序员比较少。
“世界IPv6日”的参加者表示,这个事件已经通知了包括黑客在内的互联网工程社区中的每一个人,他们将相应地增强安全措施。
Comcast作为线缆调制解调器服务提供商和7个IPv6网站的运营商参加“世界IPv6日”。Comcast高级工程师和IPv6首席设计师John Brzozowski称,任何事情都可能发生。IPv6与其它新技术没有什么区别。攻击的可能性是存在的。保护这个网络对于我们来说是很关键的。
Brzozowski称,Comcast将在整个测试期间监视网络的攻击迹象。我们将采取必要的步骤。这样,Comcast的基础设施就会得到保护。
Juniper称,如果它的网站在“世界IPv6日”遭到分布式拒绝服务攻击,它将转回到IPv4。Juniper软件工程主管Alain Durand称,我们能够在5分钟之内回到IPv4。Juniper在这一天将使用自己的“translator-in-a-cloud (云中翻译)”服务让自己的主要网站运行IPv6协议。
一个拥有30个客户的内容交付网络Akamai将参加“世界IPv6日”。Akamai称,它也担心在IPv6测试过程中遭到黑客攻击或者分布式拒绝服务攻击。
Akamai负责工程的副总裁Andy Champagne称,我们所有的指挥与控制系统都留在IPv4中。我们认为,不把一些基础的东西暴露给我们不熟悉的协议,我们是安全的。我们有足够的IPv6容量。我不指望出现任何麻烦。
Radware的Meyran称,黑客也许很聪明,他们不会在“世界IPv6日”攻击网站,而是在这些网站永久性转移到IPv6协议之后再实施攻击。黑客也许非常高兴看到这一天迅速取得成功。他预测说,网站正在开始应用IPv6,因为它开放了一个新的攻击领域。
这是Meyran建议参加“世界IPv6日”的网络管理员跟踪以IPv6安全测试非重点的活动的原因。他说,下一个阶段将是运行模拟IPv6攻击的攻击工具,以保证你的防火墙真正地看到网络,你的入侵保护系统能够对IPv6通信实施真正的深度数据包检测。
“世界IPv6日是互联网社区赞助的一个大规模的试验,以便在这个新的协议广泛应用之前发现IPv6的问题。
互联网需要IPv6,因为互联网使用的IPv4地址正在耗尽。空闲的没有分配的IPv4地址池已经在今年2月到期。今年4月,亚太地区仅剩下一些为创业企业保留的较少的IPv4地址。美洲互联网号码注册管理机构(ARIN)负责向北美网络运营商分配IP地址。这个机构称,它的IPv4地址将在今年秋季用完。