IPv4 過渡到 IPv6 會產生哪些安全問題

IPv4過渡到IPv6會產生以下安全問題：

• 從IPv4翻譯至IPv6處理過程中的安全漏洞：因為IPv4和IPv6不是完全兼容的，所以協議翻譯被看作是擴大部署和應用的一個途徑。把IPv4通信翻譯為IPv6通信將不可避免地導致信息在網絡上通過的時候產生額外處理過程。此外，這種做法引進必須包含處理狀態的中間設備將破壞端對端的原則，使網絡更加復雜。

• 大型網段既是好的也是壞的：IPv6引進了比現在所看到的更大的網段，當前建議的IPv6子網的前綴是/64（264），能夠在一個網段容納大約18quintillion（百萬的三次方）個主機地址。雖然這能夠實現局域網的無限增長，但是，它的規模也帶來了難題。這將使全面的IP地址管理和監視比現在更加重要。人們預計，將看到攻擊者使用被動域名系統分析和其他偵查技術取代傳統的掃描。

• 鄰居發現協議和鄰居請求能夠暴露網絡問題：IPv6的鄰居發現協議使用五個不同類型ICMPv6信息用于若干目的，如確定在附加鏈路上的鄰居的鏈路層地址、清除非法的緩存值和發現愿意代表它們發送數據包的鄰居。雖然鄰居發現協議提供了許多有用的功能（包括重復地址檢測），但是它也給攻擊者帶來了機會。IPv6中的攻擊很可能取代ARP欺騙攻擊等IPv4中的攻擊。

• 阻塞大型擴展標頭、防火墻和安全網關可能成為分布式拒絕服務攻擊的目標：在IPv6中，IP地址選擇功能已經從主標頭中刪除，取而代之的是采用名為擴展標頭的一套額外的標頭，這些擴展標頭將指定目的地選擇、逐個跳點的選擇、身份識別和其他許多選擇。這些擴展標頭緊接在IPv6主標頭后面，并且連接在一起創建一個IPv6數據包（固定標頭+擴展標頭+負載）。IPv6主標頭固定為40字節。有大量擴展標頭的IPv6通信可能淹沒防火墻和安全網關或者甚至降低路由器轉發性能，從而成為分布式拒絕服務攻擊和其他攻擊的潛在目標。

• 6to4和6RD代理服務器也許會鼓勵攻擊和濫用：6to4以及互聯網服務提供商迅速部署的6RD會允許IPv6數據包跳出IPv4的瓶頸，不用配置專用的隧道。但是，使用IPv6代理服務器也許會給代理服務器運營商帶來許多麻煩，如發現攻擊、欺騙和反射攻擊。代理服務器運營商本身可能被利用為攻擊和濫用的“源”。

• 支持IPv6服務可能會暴露現有的IPv4應用或者系統：IPv6向IPv4轉換的一個限制是現有的安全補丁也許僅適用于IPv4。因此，在IPv4之前，在進行DNS查詢已經更快部署IPv6的時候，大多數內核將更依賴IPv6接口。IPv6與IPv4之間的相互作用方式可能會導致每一個DNS查詢的通信量增加一倍。這將導致大量的不必要的DNS通信量，嚴重影響用戶的體驗。

• 許多用戶被隱蔽在固定的一套地址后面：把用戶隱蔽在大型網絡地址轉換協議轉換設備后面會破壞一些有用的功能，如地理位置或者查找惡意網絡行為根源的工具，使基于號碼和名稱空間信任的安全控制出現更多的問題。

• 當建立通向其他網絡的隧道：時的IP安全問題IPSec可能對發送者進行身份識別，提供完整性保護，加密數據包以提供傳輸數據的保密性。IPSec對于IPv4來說是一個可選擇的功能，但是IPv6是強制規定的功能。

回答所涉及的環境：聯想天逸510S、Windows 10。