IPv6是由IETF设计的下一代IP协议,用于替换当前版本的IP协议(IPv4)。它声称能够为世界上每个地区分配一个IP地址,以解决IPv4网络地址即将耗尽的问题。 IPv6已经到来 从2016年6月1日开始,Apple要求提交给AppStore的所有应用程序都与仅IPv6标准兼容。可以预计到2018年底将有大量的互联网资源和互联网用户使用IPv6协议。这意味着如果互联网服务不能支持IPv6,它将失去大量的用户流量。 2017年底,中共中央办公厅和国务院办公厅发布《推进互联网协议第六版(IPv6)规模部署行动计划》,要求到2018年底活跃IPv6用户数达到2亿,前50名商用国内用户的网站和应用应支持IPv6。 IPv6已成为国家战略。 随着IPv6时代的到来,IPv6网络下的攻击开始出现。在2018年初,Neustar声称受到IPv6 DDoS的攻击,这是第一个公开披露的IPv6 DDoS攻击。诸如thc-ipv6和hping等IPv6 DDoS攻击工具也开始出现在互联网上。 2018年11月,淘宝和优酷的双十一首次推出了IPv6。同时,阿里巴巴云盾在中国建立了第一个IPv6 DDoS防御系统,支持海量IP的二级监控和防御,并为淘宝和优酷云服务提供IPv4 + IPv6双栈DDoS自动保护。在双11期间,双栈防御系统拦截了超过5,000次DDoS攻击,最大攻击流量达到397 Gpbs。
在IPv6时代,网络安全面临着新的挑战 虽然IPv4下的防御系统非常成熟,但系统不能直接用于IPv6保护,需要全链路重配置来支持IPv6。从流量监控,调度,清理和黑洞,您需要适应IPv6的新网络环境。此外,由于IPv6协议的新功能,黑客可能会将其用于DDoS或DoS攻击: 黑客可能会使用IPv6的新NextHeader功能来发起DoS攻击,例如Type0路由头漏洞。通过精心设计的数据包,可以在两个易受攻击的服务器之间“弹回”消息。道路的带宽已经耗尽,也可以绕过源地址限制,以便合法IP反弹消息; IPv6增加了NS/NA/RS/RA,可用于DoS或DDoS攻击; IPv6支持无状态自动配置,子网下可能有大量可用的IP地址。攻击者可以方便地发起随机源DDoS攻击。 IPv6采用端到端的分片重组机制。如果服务器存在漏洞,则可能会因碎片包DoS攻击而小心伪造。 与此同时,IPv6下的攻防局势也产生了新的变化。 IPv6提供大量地址,并且IDC可以应用于非常大的可用地址块,这是源IP频率和速度限制类型的防御算法的噩梦。特别是应用层DDoS:HTTP Flood,刷票,爬虫将变得更加难以防御。此外,随着越来越多的智能设备(如自动驾驶汽车,物联网设备和移动终端)进入网络,这些设备可能成为在入侵后启动DDoS的僵尸网络,从而生成大量攻击数据包。 DDoS攻击通常用于商业利益。根据阿里巴巴云《2018上半年网络安全报告》,游戏,移动应用和电子商务等竞争领域是DDoS攻击的焦点。随着企业业务切入IPv6协议,IPv6下的DDoS攻击会在一段时间内非常有效,因为许多企业都没有为IPv6 DDoS防御做好准备,攻击者可以轻松到达攻击目标。此时,IPv6下的DDoS攻击将逐渐普及,成为众多企业的致命弱点。 阿里云IPv6DDoS防御最佳实践 需要针对挑战和变化解决的问题: 1.需要修改甚至重建网络和DDoS防御系统以支持IPv6。 首先,虽然IPv4网络非常成熟,但对于IPv6网络,大多数现有的企业网络和服务器网络需要被替换和重新开发,以支持IPv6网络和IPv6网络下的安全保护。 有些企业希望运营商能够提供平稳的过渡解决方案,但运营商只会升级和升级运营商网络的边界。如果企业需要支持IPv6,他们需要自己升级和升级。 2. IPv6地址总数是IPv4的96次方。系统需要更强大的处理性能来支持大规模的IP安全防御。 3.对于大流量DDoS,有必要建立运营商级IPv6黑洞能力。 4.防御算法和防御模式都需要适应IPv6的新挑战。 5.当服务切换到IPv6时,需要具有IPv6网络下的安全保护功能。 如何实现阿里云: 1.重配置系统支持IPv4 + IPv6双栈DDoS自动保护 a) 交通监控和预警系统 流量监控和预警系统需要支持IPv6和IPv4,并检测双栈流量。为了检测IPv6海量IP地址,阿里云DDoS系统采用分布式聚类方式将流量分配到集群,实现协同计算和多种流量。指标计数,第二级监控流量异常。 b) 调度系统 升级调度系统,支持双栈,自动确定IP类型,并启动相应的防御模式和清理算法。 c) 清洁系统 重新设计用于部署牵引,再注入,清洁系统以及开发IPv6的清洁算法 2.载波级黑洞能力 无论是IPv4还是IPv6,当IP攻击流量特别大时,整个带宽都会拥塞。无论IDC机房和云服务提供商如何,一个IP受到攻击并且所有服务都不可用是一场灾难。特别是,IPv6网络带宽相对于IPv4仍处于建设的早期阶段,并且攻击拥塞的风险更大。 阿里云和主要的ISP可以建立IPv6黑洞协作功能,以降低运营商IPv6骨干网的流量,并提供安全的云环境。 3.保护模式升级 a)前缀级别的防御算法: 虽然IDC可以申请大量IP地址,但这些IP地址没有太多IP地址块。即使攻击者可以切换大量IP地址,同一计算机房中的肉鸡IP也很难处于网段级别。通过IP地址网段进行离散,统计和分析,可以有效降低IPv6群发地址的影响。 b)协同防御: 在传统的IDC和独立安全设备上,IP异常度量可能非常低。很难分析它是攻击还是正常访问。很难确定IP是NAT还是校园出口。结合大规模的IPv6 IP,攻击者可以进一步降低被识别的可能性。但是对于攻击者的成本和效率,IP不能只攻击一个目标。例如,在XDoS服务器A之后,IP X.X.X.X可能会转到CC攻击服务器B.在阿里云上,由于规模效应,同时保护了大量IP,并且所有清理数据都在线分析。知识产权的行为特征具有上帝的观点,攻击者变得非常明显,并且所有租户的防御都可以一起工作,威胁情报可以共享。 c)深度智能防御: 对于应用层的DDoS攻击,如果一个网站可以承受1W qps,基于频率和速率限制的模式将变得越来越难以防御。在IPv6下,攻击者可以以非常低的价格获得1W IP。每个IP每秒发起一次请求,网站将不堪重负。因此,在IPv6应用层下DDoS攻击防御,更先进的人机识别技术,人机对抗技术将成为主流。目前,阿里云已在Web应用防火墙上应用了各种人机对策技术。 安全建议 对于普通的互联网服务提供商,重新配置和升级系统以支持IPv6需要很多成本。建议使用云服务快速构建基于IPv6的服务。目前,阿里云拥有多种支持IPv6的产品,同时以SaaS的形式提供IPv6 DDoS保护,帮助企业在一秒钟内建立更高水平的防御能力。 有关护送双十一云安全产品的更多信息: 高防御IP(国际) 阿里云DDoS已经建成6个全球Anycast清洁中心,并向全世界出口阿里巴巴云DDoS高防御技术。 Double 11为阿里的海外经济中的Lazada和云客户提供全球保护,并通过Anycast技术在全球范围内提供全球保护。清洁中心连接形成一个大型网络,以配合并提��Tbps清洁能力。 Web应用防火墙: 在双十一期间,Web应用程序防火墙检测到20亿+请求阿里巴巴云的官方网站和大型用户,并截获了2000万+网络入侵攻击和2亿+ CC \爬虫攻击。