IPv6與物聯(lián)網(wǎng)趨勢已經(jīng)開始普及——而在它們的作用之下,分布式拒絕服務(簡稱DDoS)攻擊也迎來了更為廣闊的潛在活動空間。聯(lián)網(wǎng)設備的總體數(shù)量正在迅速攀升,預計就在今年年內(nèi),新增物聯(lián)網(wǎng)設備總量就將達到10億臺。有鑒于此,IPv4所提供的地址已經(jīng)遠遠無法滿足需要,只有IPv6才能解決實際問題。這套新系統(tǒng)能夠提供2的128次方個IP地址(相比之下,IPv4的地址交付能力只有2的32次方)。如此說來,問題不是已經(jīng)解決了?
很遺憾,答案是否定的。
IT安全專家應當就此向從業(yè)人員提供培訓機制,從而確保他們對此保有充分的安全意識水平。
盡管IPv6確實能夠容納正處于爆發(fā)式增長當中的新型聯(lián)網(wǎng)設備總量,但其目前的普及速度仍然相當遲緩。另外,由于IPv6的市場占有率仍然比較有限,因此與之相對應的網(wǎng)絡安全關注也相對滯后。這意味著多數(shù)IPv6網(wǎng)絡都更容易遭受分布式拒絕服務(簡稱DDoS)攻擊的影響。
DDoS攻擊的理論流程為,互聯(lián)網(wǎng)黑客利用受感染的主機對接入設備進行遠程控制,從而操縱這些受害設備(也就是網(wǎng)絡肉雞)向指定目標發(fā)送惡意流量。目標組織將被潮水般的大量請求所吞沒,導致其合法流量受限或者完全無法與服務相對接,甚至造成受害方網(wǎng)絡陷入崩潰。最近的Verizon數(shù)據(jù)泄露調查報告亦指出:
“分布式拒絕服務攻擊在今年年內(nèi)再度呈現(xiàn)出嚴峻形勢,我們的報告合作方記錄到的事件數(shù)量已經(jīng)達到去年的兩倍……我們發(fā)現(xiàn)大量攻擊活動借助安全性存在問題的服務加以實現(xiàn),其中包括網(wǎng)絡時間協(xié)議(簡稱NTP)、域名系統(tǒng)(簡稱DNS)以及簡單服務發(fā)現(xiàn)協(xié)議(簡稱SSDP)等等。這一切使得攻擊者能夠偽造源IP地址,并發(fā)送成千上萬小型請求數(shù)據(jù)包,最終給攻擊目標帶來超出承載能力的請求回復壓力。”
盡管目前大多數(shù)DDoS攻擊活動并未涉及IPv6,其在數(shù)量與規(guī)模兩方面都呈現(xiàn)出上升趨勢,而IPv6的介入將為其帶來可資利用的特定漏洞。根據(jù)CNET最近發(fā)布的一篇文章中言:“首先,在相對不太成熟的網(wǎng)絡基礎設施當中,多數(shù)網(wǎng)絡操作人員都不具備審查網(wǎng)絡流量以區(qū)分DDoS攻擊與良性流量的能力。第二,用于連接IPv4與IPv6的網(wǎng)關必須保存大量與所處理網(wǎng)絡流量相關的‘狀態(tài)’信息,這就使得其安全水平進一步降低。”
物聯(lián)網(wǎng)亦將成為另一股推動這一嚴峻威脅形勢的力量。根據(jù)今年早些時候由信息安全協(xié)會發(fā)布的《物聯(lián)網(wǎng):我們面臨著怎樣的網(wǎng)絡威脅?》報告所言,網(wǎng)絡犯罪分子將能夠借此更為輕松地入侵或者突破物聯(lián)網(wǎng)設備,從而順利對路由器、SOHO設備乃至智能電視等第三方產(chǎn)品開展攻擊,從而獲取到各類敏感信息。“物聯(lián)網(wǎng)設備管理著大量信息,它們相當于各個行業(yè)的毛細血管,”該報告指出。“然而遺憾的是,目前其安全水平仍然極度堪憂。”
而這將給我們帶來噩夢般的場景。我們的IPv6往往配備著成熟度不高的可視化工具;IPv4與IPv6之間的網(wǎng)關既脆弱又不夠穩(wěn)定;安全度較低的物聯(lián)網(wǎng)設備加上充滿滿足的IPv6體系,導致到處都充斥著可作為僵尸網(wǎng)絡組成部分的潛在資源。沒錯,毫不夸張地講,目前的安全現(xiàn)實就是這么令人絕望。
面對洶涌而來的物聯(lián)網(wǎng)與IPv6相關DDoS攻擊威脅,最理想的應對辦法就是確保企業(yè)網(wǎng)絡安全系統(tǒng)能夠盡可能多地為各類聯(lián)網(wǎng)設備提供支持。另外,我們還需要確保IPv6擁有與當前IPv4網(wǎng)絡相對待的安全功能集。目前大部分攻擊活動仍然主要針對IPv4,而隨著向IPv6的遷移,攻擊者可能將得以繞過那些只作用于IPv4的防御機制。與此同時,單純面向IPv6的攻擊向量也已經(jīng)開始出現(xiàn)。
IPv6與物聯(lián)網(wǎng)已經(jīng)全面襲來,而在它們的普及過程當中,DDoS攻擊的潛在風險正在迅速擴張——這就是殘酷的現(xiàn)實。
京公網(wǎng)安備 11010502049343號