1.4 黑客经验
IPv6安全
如前所述,产业界缺乏IPv6部署经验,在确保IPv6网络安全方面也缺乏经验,这就是为什么理解IPv6存在的问题并准备你的防御措施是重要的。这应该在IPv6网络成为黑客的较大标靶之前完成。不存在多少不为公众所知的IPv6攻击,也几乎没有几个IPv6安全的最佳实践或IPv6参考安全架构。但是,少量经验丰富的黑客已经使用IPv6作为Internet中继聊天(IRC)的通道以及他们所用工具的后门。已经存在一些DoS攻击,而且出现了一个IPv6蠕虫,但关于新的IPv6攻击还没有多少信息。公平地说,当前的IPv6 Internet不是黑客们的攻击大目标。随着部署IPv6的组织机构的数量增长,这种情况可能会发生变化。
随着IPv6变得比较流行,它将逐步成为黑客攻击的一个目标,这正像Microsoft公司软件变得比较流行后,它就成为攻击的一个较大目标的情形一样。IE浏览器是一个占主导地位的Web浏览器,它遭受了多种攻击。随着火狐Web浏览器的流行,努力寻求其中缺陷的人员数量也在增加。随着IPv6部署数量(规模)的增加,IPv6也将成为新的安全研究热点,并将遵循相同的过程。寻找和纠正弱点的过程只会使IPv6更强壮。但是,因为在大规模应用之前,IPv6有如此长的时间来开发,所以人们希望许多早期出现的弱点都已经被纠正了。
地下黑客团体已经开始深入研究IPv6。这些团体开始深入理解IPv6,他们正在开发能够利用IPv6协议和IPv6栈实现弱点的各种工具。利用IPv6或IPv4内部的IPv6来隐藏攻击并旁路防火墙的后门,是其看家技能的组成部分。事实上,IPv6攻击能力已被添加到几个流行的黑客工具之中。
已经存在许多这样的IPv6攻击工具,其安装和操作也相对容易。例如很容易想到的是Scapy6和黑客精选IPv6工具箱等工具。第2章将详细说明这两个工具,并描述这些工具和其他工具的操作方法,讨论它们带来的风险。本书阐明针对IPv6网络的威胁,并描述如何实施保护措施来缓解这些攻击。
注释
在本书中,您将看到使用“攻击者”、“黑客”和“恶棍”这些可互换的术语来指代试图利用IPv6弱点的恶势力。攻击可由一个外部实体发起,例如一名恶意用户或被攻破和正被远程控制的某台恶意主机。但是,攻击也可由不知名的内部人员实施,尽量他们不知道他们正在制造麻烦。