在IPv6中IPSec是一個必須組成部分，使得網絡層的安全性得到了增強，但IPv6并未要求強制實施IPSec協議，而且IPSec對PKI基礎設施的依賴、可擴展問題和效率問題，使得IPSec在實際IPv6 網絡環境中極少部署。

由于IP網絡根本的數據傳輸機制沒有改變，IPv6網絡面臨著許多與IPv4 網絡相同的攻擊，例如報頭處理和分片攻擊、地址欺騙、地址解釋和DHCP 攻擊、蠕蟲和病毒攻擊等。同時由于協議自身的特性，IPv6還存在許多新的安全威脅，例如IPv6的網絡偵察、第三層地址欺騙與地址的隱私擴展、ICMPv6相關安全攻擊、IPv6擴展頭部的安全、隧道的安全等。隨著IPv6在校園網中的廣泛部署，IPv6 網絡的安全問題日益突出。

IPv6網絡安全新威脅主要分為兩類，如圖1 所示，一類是IPv6協議棧實現上的漏洞產生的威脅，例如蘋果Mac OS X 操作系統的IPv6套接字選項拒絕服務攻擊漏洞(CVE-2010-1132)，Linux 內核IPv6分片標識遠程拒絕服務攻擊漏洞(CVE-2011-2699)，攻擊者可以利用這些漏洞發起攻擊，針對這類安全威脅， 用戶應及時升級和更新系統;另一類是IPv6協議特有的新威脅，例如IPv6的網絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等，下面進行介紹幾種典型的IPv6 網絡安全威脅。

IPv6的網絡偵察

網絡偵察往往是攻擊的第一步，但是巨大的IPv6地址空間使得傳統的網絡地址段ping掃描在IPv6網絡中是非常困難的。然而這并不能說明在IPv6 網絡中無法進行掃描攻擊，攻擊者可以通過利用安全性較差路由器上的ND 緩沖、DNS、易于記憶的地址(如：：1， ：：IPv4等)和采集數據包分析等方式實施攻擊，另外IPv6組播機制使得某些掃描變得更容易，如所有路由器、所有DHCP服務器。典型的IPv6網絡掃描技術包括以下幾種：

1. 搜集IPv6前綴信息

攻擊者通過觀察路由信息，例如捕獲路由器定期發送的RA報文或者偽造一個RS報文發送給所有路由器然后觀察路由器回復的RA 報文;或從互聯網注冊機構分配地址空間的信息可以學習到一些IPv6 前綴信息。

2. DNS查詢

通過DNS公告的服務器可以很容易通過DNS查詢得到對應的IPv6地址。而且如果管理者使用順序的方式為主機分配地址，那么只發布一個服務器地址就可能威脅到其他主機。

3. 應用日志文件分析

攻擊者通過分析日志文件，可以獲得IPv6地址，例如WEB站點的日志文件，P2P 連接的日志文件。

4. 隧道地址分析

攻擊者通過分析網絡使用的過渡方法(如6 t o4 隧道、ISATAP 隧道、Teredo隧道或是其他技術)確定目標節點的地址。例如有些操作系統的6to4 實現缺省使用的地址為2002：V4ADDR：：V4ADDR，如果攻擊者發現目標機的IPv4地址，就有可能分析對應的IPv6地址。

5. 虛假路由通告

攻擊機通過向目標網絡發送目標地址為節點組播地址(FF02：：1)的虛假路由通告報文，攻擊者通過分析地址重復檢測(DAD)的組播報文，可獲得目標網絡活動主機的IPv6地址。

IPv6的鄰接點欺騙攻擊

IPv6的鄰居發現協議(ND)使ND協議集成了以前IPv4中一些協議的功能，如IPv4地址解釋協議(ARP)、ICMP路由發現功能和ICMP重定向功能，并增加了一些新的功能，如網絡前綴地址發現、鏈路參數發現和地址自動配置等。ND協議主要的安全威脅可以分為以下三種類型：拒絕服務攻擊(DoS)、地址欺騙攻擊和路由器欺騙攻擊。ND協議安全威脅主要有：

1. 鄰居請求和通告欺騙。攻擊者可以通過發送包含虛假MAC地址的鄰居請求(NS)報文或鄰居通告(NA)報文更新被攻擊者的鄰居緩存，導致被攻擊者將報文轉發到虛假MAC地址。

2. 地址重復檢測的拒絕服務攻擊。攻擊者通過發送虛假的NA消息，響應子網內所有的重復地址發現的NS請求報文，使被攻擊節點無法獲得地址，進而實現重復地址發現的拒絕服務攻擊。

3. 鄰居不可達發現欺騙。攻擊者持續發送虛假的NA鄰居通告報文來響應目標節點的鄰居探測NS 報文。

4. 路由器通告欺騙。攻擊者發送虛假的路由器通告報文響應目標節點的路由器請求報文，以欺騙目標節點選擇虛假的路由器作為缺省路由器。

5. 虛假路由參數欺騙。攻擊者通過發送包含惡意參數的虛假路由器報文來控制或破壞目標節點的通信。

6. 虛假的重定向消息。攻擊者假冒鏈路上的路由器做源地址發送虛假的重定向消息給目標節點。

IPv6隧道的攻擊

在IPv4和IPv6共存的過渡階段，現提出了多種隧道機制，各種各樣隧道機制的引入為網絡環境增添了新的復雜性，同時也帶來了一些新的安全隱患。對隧道機制的加入而產生安全的威脅主要有：

1.通過隧道避開安全檢測。隧道機制的加入給很多已存在的安全措施帶來了新的挑戰，包括繞過訪問控制列表以及基于網絡的源路由控制等。

2.隧道機制新特性帶來的新威脅。如Teredo隧道會在NAT設備上開放一個端口以方便遠程訪問隧道客戶端，但也為攻擊者提供了可以利用的入口;來自ISATAP網絡外部的欺騙攻擊，攻擊者可將大量的協議類型為41的虛假數據包注入ISATAP網絡;6to4機制本身設計成會接受和試圖解封裝所有的IPv4包，這會讓欺騙攻擊更容易發生。

3.隧道地址帶來的新威脅。由于很多隧道機制使用一組固定范圍的地址，例如6to4隧道有自己特殊的地址前綴，這使得猜測隧道地址變得相對容易。

4.針對隧道端點服務器的攻擊。隧道端點的服務器是隧道機制中的重要安全環節，如果攻擊者修改隧道服務器的配置或進行DOS 攻擊，將帶來一系列安全問題。

IPv4/v6雙協議棧的安全威脅

雙協議棧是一種重要IPv6過渡方法，許多操作系統缺省支持雙協議棧，這也使得雙協議棧主機不但同時面臨IPv4和IPv6兩個邏輯通道的安全威脅，也面臨雙協議的混合攻擊。在沒有部署IPv6的IPv4網絡中，由于部分操作系統缺省啟動了IPv6自動地址配置功能，使得IPv4子網內也存在隱蔽的IPv6鏈路，攻擊者可以利用此IPv6鏈路在子網內實施各種攻擊。

IPv6雖然增強了網絡的安全特性，但由于實施復雜等原因，IPSec在當前的IPv6網絡中并未得到廣泛使用，IPv6的網絡安全問題日益突出，本文針對IPv6的新特性，介紹了IPv6的網絡偵察、鄰接點欺騙攻擊、IPv6隧道攻擊等典型的IPv6 網絡安全新威脅，以便人們在設計、部署和維護IPv6 網絡中，運用正確的網絡安全配置和策略，提高IPv6 網絡的安全。