阻止IPv6？ IPv6流氓信息源自何处(1)

阻止IPv6？ IPv6流氓信息源自何处(1)

专家表示，许多美国机构的网络中都隐藏着正在运行的IPv6信息，而且只有少数网络管理员装备有可察看、管理或阻止这些IPv6信息的设备。这种IPv6流氓信息中慢慢地开始包括了僵尸网络命令与控制等攻击信息。

Juniper联盟的系统工程主管Tim LeMaster称：“如果你无法监控自己网络中的IPv6信息，那么IPv6将成为一个攻击途径。许多网络管理员都不知道他们能够允许一个用户在主机上运行IPv6，并且部分用户还可以在他们不知情的情况下向该主机发送恶意信息。”

由于缺乏IPv6防火墙、入侵侦测系统和网络管理工具，多数美国网络管理员都无法察觉到这些IPv6流氓信息。除非这些机构部署了能够监测隧道信息的安全机制，否则IPv6信息可能通过隧道与IPv4连接，并伪装成正常的IPv4数据包。

北美IPv6工作组技术主管和惠普知名技术专家Yanick Pouffary称：“至少有一半的美国公司首席信息官不知道他们的网络中有IPv6信息，但是黑客们却对此了如指掌。你不能忽视这些IPv6信息，你需要采取行动保护你的网络。你不仅需要部署能够监测IPv4和IPv6信息的防火墙，还需要能够分析IPv4和IPv6信息的网络管理工具。”

思科的公共部门集团系统工程主管Dave West称：“尽管《财富》500强中的多数公司并不考虑部署IPv6，但是他们的网络中却一直存在着IPv6信息。在今天，你可能不会将IPv6看做一个商业驱动力。但是无论与否，你的网络中都在运行着IPv6。”

IPv6是互联网主要通信协议IPv4的升级协议。与IPv4相比，IPv6有着更多的地址空间，具有针对流媒体和P2P程序的内嵌式安全与支援特性。通过十年的推广，IPv6已经逐渐在美国被接受。目前已拥挤不堪的IPv4地址预计将在2011年补耗尽。在未来几年内，美国国内的运营商和公司部署IPv6的压力将逐渐增大。

如今，尽管基于IPv6的威胁并没有得到充分的关注，但是这个威胁正在日益突显。比如说，基于IPv6的攻击已经在今年6月份召开的美国国家安全电信咨询委员会会议上被提了出来。美国国家安全电信咨询委员会是一个在网络安全方面向白宫提供建议的高级行业团体。

Verizon公司高级互联网工程师Jason Schiller称：“我们已经发现大量基于IPv6的命令与控制信息。黑客们正在试图用IPv6来突破监控。我们还发现大量的网络中存在着基于IPv6的命令与控制信息。此外，我们还发现了能够让IPv6信息通过P2P传输的非法文件共享。”

IPv6流氓信息对于网络管理员来说是一种新出现的威胁。对于机构来说，最大的风险是由于没有看到升级至IPv6的商业驱动力，因此决定推迟部署IPv6。这种想法普遍存在于许多美国公司之中。

由于众多美国联邦机构已经在他们的骨干网络上部署了IPv6，因此这些联邦机构能够较好地抵御基于IPv6的威胁。目前许多美国联邦机构正在持续推进将IPv6与企业架构和资本投资进行整合的计划。

美国标准与技术研究院计算机安全部门的计算机专家Sheila Frankel称：“IPv6流氓信息是一个非常现实的威胁。许多公司的网络中正在运行着IPv6信息，而这些公司并不知情。许多电脑和其它设备中在出厂时就已经带有了激活的IPv6，如果你没有做好防范IPv6攻击的必要准备，那么这些IPv6信息将会给你的网络中的所有设备制造麻烦。你不仅需要在网络中做好防范IPv6攻击的准备，还应当阻止这些IPv6流氓信息进出你的网络。”

Frankel建议那些不想运行IPv6的机构购买能够阻止自带的和通过隧道传输IPv6信息的防火墙和入侵防范系统。他称：“你不仅要阻止纯IPv6信息，还要阻止那些打包在其它信息中的IPv6信息。网络管理员应当意识到IPv6不仅可以通过IPv4信息建立隧道进行传输，而且可以通过其它不同类型的传输机制进行传输。这些网络管理员还应当熟知阻止这些不同等级信息进行传输的必要措施。”