該來的終於來了:「第一起」基於 IPv6的DDoS 攻擊
互聯網工程師們發現了據稱業內第一起基於IPv6的分散式拒絕服務(DDoS)攻擊。他們警告,這僅僅是個開頭,下一波網路大破壞迫在眉睫。
網路專家韋斯利?喬治(Wesley George)本周早些時候注意到了奇怪的流量,這是針對一台DNS伺服器發動的大規模攻擊的一部分,企圖讓伺服器不堪重負。他供職於Neustar公司的SiteProtect DDoS保護服務部門,當時他在獲取惡意流量的數據包,這是其工作的一部分,他當時意識到「來自IPv6地址的數據包流入到IPv6主機。」
這次攻擊不是很大――不像本周針對GitHub發動的創紀錄的1.35Tbps攻擊,也沒有採用IPv6獨有的方法,但是不同尋常、令人擔憂,於是他提醒團隊的其餘成員要注意。
1900個IPv6地址背後的那些計算機在攻擊DNS伺服器,它們只是更多數量的被徵用的系統的一部分,這些系統主要使用公共互聯網上的IPv4地址。因此,運行IPv6網路的任何人都要確保自己已部署了與IPv4網路同樣級別的網路安全和緩解工具,而且動作要快。
Neustar的研發負責人巴雷特?萊昂(Barrett Lyon)告訴我們:「面臨的風險在於,如果你沒有將IPv6作為威脅模型的一部分,很可能兩眼抹黑。」
除了少數幾家知名公司(比如Facebook和LinkedIn)外,已開始引入IPv6網路的公司大多數是通過並行運行IPv4和IPv6來開展這項工作的,常常設有兩個不同的團隊。萊昂和喬治都警告,根據他們的經驗,網路工程師們先安裝好IPv6網路,之後才為確保安全而操心。
敞開的解析系統
萊昂特別指出,在1900個IPv6地址中,400個被配置不當的DNS系統所使用,大約三分之一的攻擊流量來自那些伺服器――不法分子可以使用DNS伺服器來放大發送到受害者系統的網路流量。這可能是將來的一個巨大問題,因為它表明工程師們在構建的網路存在固有的安全問題,之後可能需要數年才能解決。
幾年來,互聯網社區一直高度專註於找出敞開的IPv4解析系統,並打上補丁,因為它們有可能被用於上述的DNS放大攻擊。
但是這之所以有可能得逞,一方面是由於IPv4地址空間是可掃描的;而IPv6並非如此,IPv6的地址空間非常龐大,不法分子很難使用同樣的技術來發現IPv6地址。正因為如此,如今新部署的任何敞開的解析系統無異於是未來潛在的安全噩夢。
除了潛在的IPv6安全問題外,還有這些問題:一些緩解工具僅適用於IPv4(常常歸因於硬編碼地址寫入到代碼中)或者部署到IPv4環境中,後來移植到IPv6環境中;許多IPv6網路任務是用軟體(而不是用硬體)來實現的,這留下了多得多的潛在安全漏洞;而IPv6協議中的數據包報頭擴展帶來了潛在的、新的攻擊途徑。
說到逐步部署IPv6,IPv6在安全方面有利也有弊,不過隨著IPv6逐漸成為網路默認協議,有利方面會逐漸消失。
說到有利方面,IPv6網路還沒有遍地開花,因而攻擊者不會特別關注它,專門針對這種新的協議開發新的攻擊方法,至少目前如此。而目前最糟糕的安全風險:拼湊而成的物聯網產品幾乎完全專註於IPv4。
默認協議
但是說到不利方面,幾乎所有現代移動設備和PC都內置了支持IPv6的功能,而且在默認情況下已開啟,所以當那些IPv6攻擊來臨時,它們將會遭受重創。另外,許多網路工程師不知道IPv6是什麼,所以保護IPv6也就無從談起。
喬治假設,如果網路遭到組合型IPv4和IPv6攻擊流量的攻擊(就像本案中發生的那樣),這是將來的一大問題。系統管理員可能會用上所有正常的緩解工具,但只能對付IPv4流量,致使網路仍然受到攻擊,負責人無法查清楚原因。
由於大多數人使用雙堆棧系統在現有系統旁邊部署IPv6,萊昂還擔心IPv6攻擊可能會破壞用來並行運行網路的路由器和交換機,因此通過後門攻擊IPv4網路。
萊昂表示,本周的攻擊「只是冰山一角」。他希望這可以向系統管理員們敲響一記警鐘,以便將最佳實踐運用於IPv6網路,他認為「你在IPv4界採取什麼措施,就應該在IPv6界採取什麼措施。」
不過客觀地說,他並不確信人們會事先吸取教訓。萊昂說:「人們並不往往後來把安全看成是優先事項。直到面臨危機,才會格外重視安全。」
※聘 Serverless 計算引擎後台開發負責人:80w-100w、期權open
※特斯拉雲平台被黑:黑客用它來「挖礦」
TAG:雲頭條 |