其实IPv6,并不是那么完美
任何事物都有其两面性,技术也不例外。IPv6的到来解决了IPv4地址紧缺的问题,但也带来了其它新的问题,IPv6的设计上解决了很多IPv4在实际使用中遇到的痛点问题,这让很多人忽视了问题的存在,这也是IPv6一直没有得到广泛推广和使用的原因之一。
首先是地址长度,IPv6地址长度是IPv4地址长度的四倍,达到128个BIT。这样,源IP加上目的IP就有256个BIT,32字节。IPv6的报文头部固定长度是40字节,是IPv4报文头部长度的两倍,如果有扩展头,IPv6报文头部就更长了,最多可达120字节,这意味着在IPv6网络中,每转发一个IPv6报文,都需要携带一个IPv6报文头。单位长度内可传递的数据就少了,因为IPv6的报文头部要占更多部分,IPv6之所以报文头部要设计为固定长度和可选头两部分,就是充分考虑到这一点,没有必要的功能放到可选头中,这样可以缩短IPv6报文头部的长度,节省网络带宽。
即便这样,IPv6的头部还是要比IPv4头部多出至少20个字节,如果按最小64字节来计算,20/64=31%,多浪费31%的网络带宽,如果按最大1518字节,20/1518=1.3%,浪费1.3%的网络带宽,所以在相同的网络环境中,IPv6的数据传输效率是下降的,要为IPv6多做一些预留才行,最好在IPv6部署的时候增加一定网络带宽。
其次是兼容性问题。IPv6开发人员承认,IPv6的最大失误在于它没法向后兼容。互联网工程协会曾表示说,它在开发IPv6过程中最大的失误就是没有提供对IPv4的向后兼容性,IETF的领导人也承认,13年前他们制订这个行业标准时,在确保原生IPv6设备与IPv4设备的通信畅通这一点上确实做得还不够。这样的设计使得IPv6与IPv4无法兼容,是完全不同的两张网络,IPv6的实施就相当于网络做一次整体搬迁,包括生产商的研发技术,网络产品对于ISO第三层通信规则,IPv6地址全球分配,IPv6的网络安全性能等方面都需要重新考虑,这对现有的IPv4网络冲击很大。好在标准后来又设计了一些IPv4与IPv6网络互通的协议,以便可以让两张网互通与融合,这些技术彻底打消了很多人对IPv6的顾虑。
但是,毕竟是两张网同时存在,IPv4和IPv6两网融合采用的是双栈和隧道机制,这样不仅部署起来网络变得异常复杂,还带来了更多安全隐患。攻击者可以利用双栈机制中两种协议间存在的安全漏洞或过渡协议问题来逃避安全监测乃至实施攻击行为,IPv6中仍保留着IPv4的诸多结构特点,如选项分片和TTL等,这些选项依然存在受攻击的威胁,一些从上层发起的攻击如应用层的缓冲区溢出攻击和传输层的TCP SYN FLOOD攻击等在IPv6网络中并未解决。由于IPv6设计之初忽略了IPv4使用的广泛程度,IPv4的使用深入人心,不可能用IPv6网络一次性替代掉,这就需要考虑两网融合问题,兼容性随之而来。
第三是安全性问题。IPv4的网络安全问题就较多,但IPv6在被设计为标准时,安全问题还不那么突出,所以IPv6虽然增加了安全方面的考虑设计,但并不完善。同时,因为IPv6全新的网络协议设计又带来了新的安全问题,这些在设计之初并没有充分考虑到,这使得IPv6面临的安全威胁比IPv4时代还要严重。
PKI密钥的管理在IPv6中是悬而未决的新问题,组合扩展头和分片会妨碍数据包检测,IPv6分片可能被恶意利用。IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备,但这方面的设备应用并不成熟,没有跟得上IPv6发展的脚步,若此时上IPv6,无疑会将整个网络暴露。IPv6路由协议仍需在实践中完善,例如IPv6组播功能仅仅规定了简单的认证功能,还难以实现严格的用户限制功能,而移动IPv6也存在很多新的安全挑战。在IPv6和IPv4共存的网络中,网络会同时存在两者的安全问题,或由此产生新的安全漏洞。已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的局域网网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。IPv4和IPv6的融合网络,不仅拥有两者的安全问题,还带来了新的融合上的新安全问题,在网络安全受到人们普遍关注的社会背景下,这不得不引起人们的警惕,成为IPv6推进进程中的绊脚石。