IPv6 Day的目的

　　為了鼓勵(lì)企業(yè)，互聯(lián)網(wǎng)服務(wù)供應(yīng)商，硬件設(shè)備廠商，操作系統(tǒng)廠商以及網(wǎng)絡(luò)公司為IPv6服務(wù)做好準(zhǔn)備，確保IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡的順利進(jìn)行。

　　IPv6無法解決全部安全問題

　　IPv6解決了很多IPv4難以解決的安全問題，但是同時(shí)它又引進(jìn)了新的安全風(fēng)險(xiǎn)。其中一個(gè)常被人質(zhì)疑的是，全部網(wǎng)絡(luò)設(shè)備都將擁有自己的可被路由到的IPv6 地址，這將使得這些設(shè)備都暴露在互聯(lián)網(wǎng)的復(fù)雜環(huán)境下。

　　降低隱私能見度

　　如果所有網(wǎng)絡(luò)設(shè)備都可以通過互聯(lián)網(wǎng)訪問，那么個(gè)人用戶就很容易通過網(wǎng)絡(luò)被追蹤。這個(gè)問題很早就被弗吉尼亞理工大學(xué)的研究團(tuán)隊(duì)發(fā)現(xiàn)了，他們?cè)谳^早前的一份報(bào)告中解釋說：默認(rèn)的地址系統(tǒng)如果采用IPv6，在自動(dòng)配置地址的情況下，第三方將可以通過簡單的指令，諸如ping以及trace route 等在全球范圍追蹤和監(jiān)視目標(biāo)用戶。同時(shí)用戶發(fā)送數(shù)據(jù)的接受方信息，也會(huì)被第三方監(jiān)視者獲取。

　　該研究團(tuán)隊(duì)還發(fā)現(xiàn)，如果采用默認(rèn)的IPv6地址方案，設(shè)備的MAC地址也將暴露在互聯(lián)網(wǎng)環(huán)境中。于是他們開發(fā)了一種防御方案，叫做Moving Target IPv6 Defense (MT6D)。該方案可以提供以下功能：

　　主機(jī)之間通過互聯(lián)網(wǎng)進(jìn)行通信時(shí)，對(duì)于定位，跟蹤和數(shù)據(jù)流截獲等都保持匿名狀態(tài)。

　　這是一個(gè)很重要的工作，該研究團(tuán)隊(duì)的Stephen Groat, Matthew Dunlop, William Urbanski, Randolph Marchany, 和Joseph Tront為這項(xiàng)方案申請(qǐng)了專利，并且為此獲得了2011年美國全國安全創(chuàng)新競賽的第三名。

　　為了讓廣大讀者更好的了解MT6D，我們有必要通過團(tuán)隊(duì)的成員來了解一下他們的具體工作。以下是該團(tuán)隊(duì)成員接受采訪時(shí)的記錄：

　　記者提問: 你們的研究報(bào)告提到，在使用IPv6的無狀態(tài)地址自動(dòng)配置功能時(shí)，隱私泄漏問題就凸現(xiàn)出來了。你能解釋一下什么是無狀態(tài)地址自動(dòng)配置功能，還有這個(gè)功能為什么會(huì)影響用戶隱私的安全性?

　　Research team: 無狀態(tài)地址自動(dòng)配置 (SLAAC)是采用IPv6協(xié)議的主機(jī)自己配置網(wǎng)絡(luò)地址的一種方式。主機(jī)自己配置IP地址，可以減少網(wǎng)絡(luò)管理者的管理負(fù)擔(dān)。這與IPv4網(wǎng)絡(luò)環(huán)境中使用的DHCP方式有所改變。

　　使用SLAAC的問題在于，不論主機(jī)是否連接子網(wǎng)，它的地址或接口ID(IID)都是相同的。而默認(rèn)的地址體系也就是64位擴(kuò)展唯一標(biāo)識(shí) (EUI64)是采用MAC地址作為IID的。這樣做的結(jié)果就是，攻擊者擁有了子網(wǎng)列表以及主機(jī)的MAC地址，就可以從世界任何位置對(duì)該主機(jī)展開攻擊。

　　記者提問: 據(jù)說微軟在新版本操作系統(tǒng)中使用了隱私擴(kuò)展技術(shù)來隱藏主機(jī)的部分MAC地址，這樣做是不是就夠了?

　　Research team: 隱私擴(kuò)展技術(shù)可以算是一種改進(jìn)，但是只能保護(hù)客戶端系統(tǒng)，而服務(wù)器系統(tǒng)仍然處于威脅中。因?yàn)殡[私擴(kuò)展技術(shù)不能頻繁的變化地址來防止網(wǎng)絡(luò)攻擊，對(duì)于網(wǎng)站服務(wù)器或企業(yè)VPN服務(wù)器這樣需要全天候開通并且保持固定IP地址的系統(tǒng)來說，并沒有什么防護(hù)效果。

　　這樣的系統(tǒng)還是容易被鎖定和攻擊。另外，隱私擴(kuò)展技術(shù)主要應(yīng)用于Web通信，其他應(yīng)用領(lǐng)域，諸如VoIP，VPN等，都無法在隱私擴(kuò)展模式下工作。

　　Windows系統(tǒng)下應(yīng)用的隱私擴(kuò)展還需要依賴于另一個(gè)IPv6地址進(jìn)行鄰居發(fā)現(xiàn)，本地DNS以及其它相關(guān)功能。而這個(gè)地址必須是靜態(tài)的，并且能夠被其它主機(jī)獲取。如果黑客獲取了該地址，同樣可以用來進(jìn)一步攻擊目標(biāo)主機(jī)。

　　記者提問: 你們的團(tuán)隊(duì)給出的方案是通過MT6D來提高隱私安全性，在這個(gè)系統(tǒng)中，發(fā)送方和接收方的IP地址都是動(dòng)態(tài)變化的。這是怎么實(shí)現(xiàn)的呢?
(責(zé)任編輯：VEVB)