阻止IPv6？ IPv6流氓信息源自何处(1)(2)

IPv6流氓信息源自何处?

由于微软VISTA、Windows Server 2008、Mac OS X、Linux和Solaris等许多操作系统在出厂时就已经默认激活了IPv6，因此这些IPv6信息可以进入你的网络中。网络管理员需要关闭网络中每台设备中的IPv6设置或让这些设备无法接收和发送IPv6信息。

IPv6咨询机构命令信息团体中的IPv6安全主管Joe Klein称：“默认激活IPv6设置的系统大约有3亿多个，这是一个很大的风险。”

专家指出，许多网络管理员经常会忘记将网络中的计算机、服务器和移动设备的IPv6默认设置关闭。与此同时，许多机构虽然安装了基于IPv4的防火墙和网络管理工具，但是这些防护工具不能自动阻止进入网络的IPv6信息。

Klein称：“我们目前发现最常见的IPv6攻击环境是当你的网络设备具有双堆栈时，这意味着这些设备可以运行IPv4和IPv6。如果你仅安装了IPv4防火墙，那么在你和攻击者之间可以运行IPv6。攻击者可以通过IPv6穿过防火墙，因为这时你的防火墙无法监测IPv6。”

另一个常见问题是IPv6信息可以通过Teredo或站点内部自动隧道寻址协议(ISATAP)等技术联通IPv4。

Klein称：“典型的IPv4安全设备无法监测IPv6隧道。这些安全设备对IPv6的防护非常弱。”他指出，网络管理员在网络中发现IPv6设备的唯一手段是运行IPv6。即便如此，网络管理员也很难发现IPv6隧道。Klein称：“你或许能够发现3个最大的主要隧道，但是你根本无法发现全部的次要隧道。”

为了对付这些威胁，命令信息团体提供了一个名为Assure6的软件。该软件可以与深度信息包监测系统联合工作，从而识别通过IPv4传输的IPv6信息。与此同时，McAfee也提供了一个可以对所有IPv6信息和隧道进行监控的网络安全平台。思科和Juniper则提供了激活IPv6的路由器、防火墙和一些允许网络管理员设备IPv6安全策略的系统。

Klein称，他每个月内都可以接到了一到两个反映遭到IPv6流氓信息攻击的求助电话。他称：“我们设置的一个蜜罐(注：该技术会虚拟一台有“缺陷”的电脑，等着恶意攻击者上钩)已经发现了仅使用IPv6攻击的僵尸网络。通过我们的路由器时，这些IPv6攻击会将自己伪装成IPv4。这些IPv6恶意信息会将通过位于远东的僵尸网络发动攻击或发布恶意指令和控制信息。”

LeMaster指出，虽然目前IPv6攻击还为数不多，但是已经出现了增长趋势。他称：“由于激活了IPv6的人并不算多，因此这类攻击的目标并不像IPv4那么丰富。”

Frankel称，基于IPv6的威胁目前已经非常普遍，每个网络管理员都应当制定一个防范IPv6攻击的计划，以减少IPv6攻击。他称：“目前已经没有人敢声称他们没有遇到病毒和垃圾邮件的攻击。如果我们忽视了IPv6攻击，那么这类攻击很快就会落到我们头上。”