海外专线-国际带宽-微云网络

从正确的角度来看，公平地认为IPv6不一定比IPv4更安全。尽管已实施了很多安全措施，但仍然是微不足道的，而且不是全新的。但是，有一些考虑无疑会提高IPng可靠性水平。

1）强制使用IPSec：

IPv4还提供IPSec支持。但是，在IPv4中对IPSec的支持是可选的。相反，RFC4301强制在IPv6中使用。 IPSec由一组旨在提供数据通信安全性的加密协议组成。 IPSec包含一些协议，这些协议是其套件的一部分：AH（身份验证头）和ESP（封装安全有效载荷）。第一个提供身份验证和数据完整性，第二个提供这些功能，此外，还提供保密性。在IPv6中，AH标头和ESP标头都定义为扩展标头。IPSec的基本概念是“安全关联”（SA）。 SA由某些参数唯一标识，例如SPI（安全参数索引– AH / ESP标头中的字段），安全协议和目标IP地址。 SA定义了连接的安全服务类型，通常包含用于数据加密的密钥以及要使用的加密算法。 IKE（Internet密钥交换）是用于协商建立新SA所需的参数的过程。以下是有关AH和ESP的一些详细信息：

2）较大的寻址空间：

如上所述，在IPv4中，侦察攻击和端口扫描是相对简单的任务。当前Internet协议中最常见的网段属于C类，分配了8位用于寻址。当前，在这些网段上执行此类攻击所需的时间不超过几分钟。分配64位用于寻址（如在IPv6子网中所期望的）意味着对2 ^ 64（18446744073709551616）主机执行网络扫描。这实际上是不可能的。

3）邻居发现：

ND（邻居发现）是用于路由器和前缀发现的机制。这是一个网络层协议，例如IPv4等效的ARP和RARP。 ND与地址自动配置紧密配合，地址自动配置是IPv6节点用于获取配置信息的机制。 ND和地址自动配置都使IPv6比其前身更加安全。

4）DDoS攻击：

在IPv6中，我们找不到广播地址。这意味着所有产生的放大攻击（如蓝精灵）都将被阻止。 IPv6规范禁止响应到IPv6组播目标地址，链路层组播地址或链路层广播地址的消息而生成ICMPv6数据包。总的来说，通过采用新标准，我们应该在这方面有所改进。

5）路由攻击：

路由攻击是指尝试重定向网络内流量的活动。当前，路由协议使用对等方之间的加密认证（带有预共享密钥的MD5）进行保护。 IPng不会更改此保护机制。 BGP已更新，可携带IPv6路由信息。

6）恶意软件：

IPv6中没有特定的实现方式，该实现方式允许将经典方法更改为恶意软件。但是，由于地址空间大，使用Internet查找易受攻击的主机的蠕虫可能会发现传播困难。

7）嗅探：

这是经典攻击，涉及捕获跨网络传输的数据。 IPv6提供了用于通过IPSec防止此类攻击的技术，但是它并未简化密钥管理的问题。因此，该技术仍可以继续实践。

8）L7攻击：

在这里，我们指的是在OSI模型的第7层执行的所有那些类型的攻击。同样考虑到IPSec在全球范围内的采用，这种类型的攻击将几乎保持不变。不能通过采用IPv6来阻止缓冲区溢出，Web应用程序漏洞等。还有另一个考虑因素：如果将IPSec作为端点之间通信的标准实施，则IDS / IPS，防火墙和防病毒等所有设备将只能看到加密的流量，从而加剧了这种攻击。

9）中间人：

IPv6遭受的安全风险与我们在影响IPSec协议套件的中间人攻击中可能遇到的安全风险相同。

10）洪水攻击：

泛洪攻击是一种拒绝服务（DoS）攻击，攻击者将大量SYN请求发送到目标系统，以淹没服务器并关闭网络/使其对实际流量无响应。简而言之，这就是听起来的样子。洪泛攻击的核心原理保持不变。