IPv6與物聯(lián)網(wǎng)趨勢(shì)已經(jīng)開(kāi)始普及——而在它們的作用之下,分布式拒絕服務(wù)(簡(jiǎn)稱DDoS)攻擊也迎來(lái)了更為廣闊的潛在活動(dòng)空間。聯(lián)網(wǎng)設(shè)備的總體數(shù)量正在迅速攀升,預(yù)計(jì)就在今年年內(nèi),新增物聯(lián)網(wǎng)設(shè)備總量就將達(dá)到10億臺(tái)。有鑒于此,IPv4所提供的地址已經(jīng)遠(yuǎn)遠(yuǎn)無(wú)法滿足需要,只有IPv6才能解決實(shí)際問(wèn)題。這套新系統(tǒng)能夠提供2的128次方個(gè)IP地址(相比之下,IPv4的地址交付能力只有2的32次方)。如此說(shuō)來(lái),問(wèn)題不是已經(jīng)解決了?
很遺憾,答案是否定的。
IT安全專家應(yīng)當(dāng)就此向從業(yè)人員提供培訓(xùn)機(jī)制,從而確保他們對(duì)此保有充分的安全意識(shí)水平。
盡管IPv6確實(shí)能夠容納正處于爆發(fā)式增長(zhǎng)當(dāng)中的新型聯(lián)網(wǎng)設(shè)備總量,但其目前的普及速度仍然相當(dāng)遲緩。另外,由于IPv6的市場(chǎng)占有率仍然比較有限,因此與之相對(duì)應(yīng)的網(wǎng)絡(luò)安全關(guān)注也相對(duì)滯后。這意味著多數(shù)IPv6網(wǎng)絡(luò)都更容易遭受分布式拒絕服務(wù)(簡(jiǎn)稱DDoS)攻擊的影響。
DDoS攻擊的理論流程為,互聯(lián)網(wǎng)黑客利用受感染的主機(jī)對(duì)接入設(shè)備進(jìn)行遠(yuǎn)程控制,從而操縱這些受害設(shè)備(也就是網(wǎng)絡(luò)肉雞)向指定目標(biāo)發(fā)送惡意流量。目標(biāo)組織將被潮水般的大量請(qǐng)求所吞沒(méi),導(dǎo)致其合法流量受限或者完全無(wú)法與服務(wù)相對(duì)接,甚至造成受害方網(wǎng)絡(luò)陷入崩潰。最近的Verizon數(shù)據(jù)泄露調(diào)查報(bào)告亦指出:
“分布式拒絕服務(wù)攻擊在今年年內(nèi)再度呈現(xiàn)出嚴(yán)峻形勢(shì),我們的報(bào)告合作方記錄到的事件數(shù)量已經(jīng)達(dá)到去年的兩倍……我們發(fā)現(xiàn)大量攻擊活動(dòng)借助安全性存在問(wèn)題的服務(wù)加以實(shí)現(xiàn),其中包括網(wǎng)絡(luò)時(shí)間協(xié)議(簡(jiǎn)稱NTP)、域名系統(tǒng)(簡(jiǎn)稱DNS)以及簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(簡(jiǎn)稱SSDP)等等。這一切使得攻擊者能夠偽造源IP地址,并發(fā)送成千上萬(wàn)小型請(qǐng)求數(shù)據(jù)包,最終給攻擊目標(biāo)帶來(lái)超出承載能力的請(qǐng)求回復(fù)壓力。”
盡管目前大多數(shù)DDoS攻擊活動(dòng)并未涉及IPv6,其在數(shù)量與規(guī)模兩方面都呈現(xiàn)出上升趨勢(shì),而IPv6的介入將為其帶來(lái)可資利用的特定漏洞。根據(jù)CNET最近發(fā)布的一篇文章中言:“首先,在相對(duì)不太成熟的網(wǎng)絡(luò)基礎(chǔ)設(shè)施當(dāng)中,多數(shù)網(wǎng)絡(luò)操作人員都不具備審查網(wǎng)絡(luò)流量以區(qū)分DDoS攻擊與良性流量的能力。第二,用于連接IPv4與IPv6的網(wǎng)關(guān)必須保存大量與所處理網(wǎng)絡(luò)流量相關(guān)的‘狀態(tài)’信息,這就使得其安全水平進(jìn)一步降低。”
物聯(lián)網(wǎng)亦將成為另一股推動(dòng)這一嚴(yán)峻威脅形勢(shì)的力量。根據(jù)今年早些時(shí)候由信息安全協(xié)會(huì)發(fā)布的《物聯(lián)網(wǎng):我們面臨著怎樣的網(wǎng)絡(luò)威脅?》報(bào)告所言,網(wǎng)絡(luò)犯罪分子將能夠借此更為輕松地入侵或者突破物聯(lián)網(wǎng)設(shè)備,從而順利對(duì)路由器、SOHO設(shè)備乃至智能電視等第三方產(chǎn)品開(kāi)展攻擊,從而獲取到各類敏感信息。“物聯(lián)網(wǎng)設(shè)備管理著大量信息,它們相當(dāng)于各個(gè)行業(yè)的毛細(xì)血管,”該報(bào)告指出。“然而遺憾的是,目前其安全水平仍然極度堪憂。”
而這將給我們帶來(lái)噩夢(mèng)般的場(chǎng)景。我們的IPv6往往配備著成熟度不高的可視化工具;IPv4與IPv6之間的網(wǎng)關(guān)既脆弱又不夠穩(wěn)定;安全度較低的物聯(lián)網(wǎng)設(shè)備加上充滿滿足的IPv6體系,導(dǎo)致到處都充斥著可作為僵尸網(wǎng)絡(luò)組成部分的潛在資源。沒(méi)錯(cuò),毫不夸張地講,目前的安全現(xiàn)實(shí)就是這么令人絕望。
面對(duì)洶涌而來(lái)的物聯(lián)網(wǎng)與IPv6相關(guān)DDoS攻擊威脅,最理想的應(yīng)對(duì)辦法就是確保企業(yè)網(wǎng)絡(luò)安全系統(tǒng)能夠盡可能多地為各類聯(lián)網(wǎng)設(shè)備提供支持。另外,我們還需要確保IPv6擁有與當(dāng)前IPv4網(wǎng)絡(luò)相對(duì)待的安全功能集。目前大部分攻擊活動(dòng)仍然主要針對(duì)IPv4,而隨著向IPv6的遷移,攻擊者可能將得以繞過(guò)那些只作用于IPv4的防御機(jī)制。與此同時(shí),單純面向IPv6的攻擊向量也已經(jīng)開(kāi)始出現(xiàn)。
IPv6與物聯(lián)網(wǎng)已經(jīng)全面襲來(lái),而在它們的普及過(guò)程當(dāng)中,DDoS攻擊的潛在風(fēng)險(xiǎn)正在迅速擴(kuò)張——這就是殘酷的現(xiàn)實(shí)。