精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

IPv6解決了很多IPv4難以解決的安全問題，但是同時它又引進了新的安全風險。其中一個常被人質疑的是，全部網絡設備都將擁有自己的可被路由到的IPv6 地址，這將使得這些設備都暴露在互聯網的復雜環境下。

降低隱私能見度

如果所有網絡設備都可以通過互聯網訪問，那么個人用戶就很容易通過網絡被追蹤。這個問題很早就被弗吉尼亞理工大學的研究團隊發現了，他們在較早前的一份報告中解釋說：

“默認的地址系統如果采用IPv6，在自動配置地址的情況下，第三方將可以通過簡單的指令，諸如ping以及trace route 等在全球范圍追蹤和監視目標用戶。同時用戶發送數據的接受方信息，也會被第三方監視者獲取。”

該研究團隊還發現，如果采用默認的IPv6地址方案，設備的MAC地址也將暴露在互聯網環境中。于是他們開發了一種防御方案，叫做Moving Target IPv6 Defense (MT6D)。該方案可以提供以下功能：

“主機之間通過互聯網進行通信時，對于定位，跟蹤和數據流截獲等都保持匿名狀態。”

這是一個很重要的工作，該研究團隊的Stephen Groat, Matthew Dunlop, William Urbanski, Randolph Marchany, 和 Joseph Tront為這項方案申請了專利，并且為此獲得了2011年美國全國安全創新競賽的第三名。

在我看來，這個團隊已經解決了IPv6的隱私保護問題。但是為了讓廣大讀者更好的了解MT6D，我決定親自讓團隊的成員來解釋一下他們的工作。

Kassner: 你們的研究報告提到，在使用IPv6的無狀態地址自動配置功能時，隱私泄漏問題就凸現出來了。你能解釋一下什么是無狀態地址自動配置功能，還有這個功能為什么會影響用戶隱私的安全性?

Research team: 無狀態地址自動配置 (SLAAC)是采用IPv6協議的主機自己配置網絡地址的一種方式。主機自己配置IP地址，可以減少網絡管理者的管理負擔。這與IPv4網絡環境中使用的DHCP方式有所改變。

使用SLAAC的問題在于，不論主機是否連接子網，它的地址或接口ID(IID)都是相同的。而默認的地址體系也就是64位擴展唯一標識(EUI64)是采用MAC地址作為IID的。這樣做的結果就是，攻擊者擁有了子網列表以及主機的MAC地址，就可以從世界任何位置對該主機展開攻擊。

Kassner: 據說微軟在新版本操作系統中使用了隱私擴展技術來隱藏主機的部分MAC地址，這樣做是不是就夠了?

Research team: 隱私擴展技術可以算是一種改進，但是只能保護客戶端系統，而服務器系統仍然處于威脅中。因為隱私擴展技術不能頻繁的變化地址來防止網絡攻擊，對于網站服務器或企業VPN服務器這樣需要全天候開通并且保持固定IP地址的系統來說，并沒有什么防護效果。

這樣的系統還是容易被鎖定和攻擊。另外，隱私擴展技術主要應用于Web通信，其他應用領域，諸如VoIP，VPN等，都無法在隱私擴展模式下工作。

Windows系統下應用的隱私擴展還需要依賴于另一個IPv6地址進行鄰居發現，本地DNS以及其它相關功能。而這個地址必須是靜態的，并且能夠被其它主機獲取。如果黑客獲取了該地址，同樣可以用來進一步攻擊目標主機。

Kassner: 你們的團隊給出的方案是通過MT6D來提高隱私安全性，在這個系統中，發送方和接收方的IP地址都是動態變化的。這是怎么實現的呢?

Research team: 動態變化的地址可以保護隱私，使得通信雙方實現匿名和安全的通信。我們的技術有些類似于跳頻技術。當現實中兩臺主機在IPv6網絡中通信時，攻擊者攔截到的是多個獨立主機地址的配對。攻擊者無法得知其中哪個地址配對才是真正的通信雙方，也無法簡單的對某個地址進行攻擊。

Kassner: MT6D 同時還會將信息流加密，那是否意味著 IPsec 就該退休了?

Research team: MT6D可以被看做是一個增強型的IPsec。 IPsec可以對網絡數據流進行加密，但是需要固定IP地址。 如果主機或網關上配備了IPsec ，那么攻擊者就可以通過發起拒絕服務攻擊的方式對主機或網關進行攻擊。

MT6D 提供了網絡層加密以及動態地址。和IPsec一樣，攻擊者無法對通過MT6D封裝的數據包進行偵聽，同時，攻擊者也無法鎖定主機地址，因此無法發動拒絕服務攻擊。

Kassner: 你的報告指出：

MT6D 的一個關鍵功能是它可以在兩個主機進行通信時在線程中段進行地址變化，而不會引起通信的重置或崩潰。”

這一點非常獨特，你們是不是將TCP的三次握手進行了改進?

Research team: MT6D建立了一個通道并將所有數據流封裝進去，并沒有修改TCP的三次握手規則。隧道通過平衡所有4層協議，限制了TCP線程開銷。在線程中段改變地址并不會中斷已有的線程，也不會導致額外增加三次握手通信。

Kassner: 論文里提到 MT6D的設計是為了阻止特定的網絡攻擊。那么這個特定的網絡攻擊是什么呢?是否因為這個攻擊的特點才使用了動態地址呢?

Research team: MT6D可以防止多種針對某個地址發動的網絡攻擊，比如拒絕服務攻擊，同時也可以對應用層攻擊進行防護。這都是通過對通信雙方主機IP地址進行動態模糊來實現的。由于IPv6網絡地址數量相當龐大，理論上黑客是不可能通過范圍掃描來定位主機的。

就算黑客獲知了目標主機的IP地址，其所能攻擊的時間也僅限于主機地址再次進行變換之前。

Kassner: 論文里還提到，弗吉尼亞理工大學是進行IPv6應用的一個最佳地點，為什么這么說呢?

Research team: 弗吉尼亞理工大學是美國全境內少數幾個完全支持IPv6協議的網絡環境。實際上，它是美國最大規模的校園IPv6網絡，包含了大約3萬個網絡節點。這種規模能夠支持我們進行MT6D的現實環境測試。

Kassner: 聽說MT6D也可以用于IPv4 網絡。這有可能嗎?還是說它首先會應用于IPv6網絡。

Research team: 雖然 MT6D的概念也適用于IPv4網絡，但是還是存在兩個問題。 首先， IPv4的子網規模太小，攻擊者可以在幾分鐘內將整個子網掃描一遍，這使得黑客鎖定目標主機變得更加容易了。其次，IPv4已經沒有足夠多的可用地址用來進行地址變換了，如果采用MT6D很容易出現地址沖突。

IPv6 的子網是 64位的，這意味著整個IPv4網址空間都可以放在一個IPv6子網中，所占用的地址空間還不及總空間的四十億分之一。目前來看，對這樣大范圍的子網進行詳細掃描，還不太可能完成。

同樣，由于IPv6擁有足夠大的地址空間，地址變換時出現地址沖突的可能性就非常小了。因此MT6D 最好還是在IPv6環境中使用。

總結

由此看來，盡管在IPv6環境中，我們的電腦都將直接面對互聯網，但是 MT6D卻能夠幫助我們保護隱私，消除很多潛在的被攻擊風險。