IPv6已來
2016年6月1日開始,蘋果規定所有提交至AppStore的應用必須兼容IPv6-only標準。可以預計,2018年底會有大量互聯網資源、上網用戶使用IPv6協議。這意味着,如果一個互聯網服務不能支持IPv6,將失去大量用戶流量。
2017年底,中共中央辦公廳、×××辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》,要求到2018年末,IPv6活躍用戶數達到2億,並要求國內用戶量排名前50位的商業網站及應用支持IPv6。IPv6成爲國家戰略。
隨着IPv6時代的到來,IPv6網絡下的***開始出現。2018年初,Neustar宣稱受到了IPv6DDoS***,這是首個對外公開的IPv6 DDoS***事件。thc-ipv6、hping等IPv6的DDoS***工具也開始在互聯網上出現。
2018年11月,淘寶、優酷的雙十一首次跑在IPv6上。同時,阿里云云盾建成國內首家IPv6 DDoS防禦系統,支持秒級監控、防禦海量IP,爲淘寶、優酷雲上業務提供IPv4+IPv6雙棧DDoS自動防護。雙11期間,雙棧防禦系統攔截5000多次DDoS***,最大***流量達到397Gpbs。
IPv6時代,網絡安全面臨新的挑戰
雖然IPv4下的防禦系統已經非常成熟,但系統並不能直接用於IPv6防護,需要全鏈路重構支持IPv6。從流量監控、調度、清洗、黑洞都需要重新適應IPv6的新網絡環境。此外,由於IPv6協議的新特性,可能會被***用於DDoS或DoS***:
● IPv6的NextHeader新特性可能被***用於發起DoS***,比如Type0路由頭漏洞,通過精心製造的數據包,可以讓一個報文在兩臺有漏洞的服務器之間“彈來彈去”,讓鏈路帶寬耗盡,也可以繞過源地址限制,讓合法的IP反彈報文;
● IPv6新增NS/NA/RS/RA,可能會被用於DoS或DDoS***;
● IPv6支持無狀態自動配置,同時子網下可能存在非常多可使用的IP地址,***者可以便利的發起隨機源DDoS***;
● IPv6採用端到端的分片重組機制,如果服務器存在漏洞,可能會被精心僞造的分片包DoS***。
與此同時,IPv6下***態勢也產生新的變化。IPv6提供海量的地址,一個IDC就可能申請到非常大的可用地址塊,這對源IP頻率和限速類的防禦算法來說簡直是噩夢。特別是應用層的DDoS:HTTP Flood、刷票、爬蟲將變得更加難以防禦。此外,隨着自動駕駛汽車、物聯網設備、移動終端等越來越多的智能設備入網,這些設備一旦被***都可能成爲發起DDoS的殭屍網絡,產生海量的***報文。
DDoS***往往是出於商業利益,據阿里雲發佈的《2018上半年網絡安全報告》顯示,遊戲、移動應用、電子商務等競爭激烈的領域是DDoS***的重點陣地。隨着企業業務切到IPv6協議,IPv6下的DDoS***在一段時間裏會非常有效,因爲很多企業並沒有做好IPv6 DDoS防禦的準備,對***者來說可以輕易達成***目標。此時IPv6下的DDoS***會逐步熱門起來,成爲很多企業的阿喀琉斯之踵。
阿里雲IPv6DDoS防禦最佳實踐
針對挑戰和變化需要解決的問題:
● 網絡和DDoS防禦系統需要改造甚至重構支持IPv6。
首先,雖然IPv4網絡已經非常成熟,但到了IPv6網絡,現有的很多企業網絡、服務器網絡的大部分都需要更換設備和重新開發系統,才能支持IPv6網絡以及IPv6網絡下的安全防護;
部分企業寄希望運營商會提供平滑的過渡方案,但運營商只會對運營商網絡邊界內進行改造升級,企業如果需要支持IPv6,是需要自身進行改造升級的。
● IPv6的地址總量是IPv4的2的96次方倍,系統需要更強大的處理性能才能支持海量的IP的安全防禦。
● 針對大流量DDoS,需要建立運營商級別的IPv6黑洞能力。
● 防禦算法和防禦模式都需要適應IPv6的新挑戰。
● 在業務切換到IPv6的同時,需要具備IPv6網絡下的安全防護能力。
阿里雲如何實現:
1.重構系統支持IPv4+IPv6的雙棧DDoS自動防護
a) 流量監控預警系統
流量監控預警系統需要支持IPv6和IPv4,同時檢測雙棧流量,爲了能檢測IPv6海量的IP地址,阿里雲DDoS系統採用了分佈式集羣的方式,將流量分散到集羣上協作運算,對多個流量指標進行統計,秒級監控流量的異常。
b) 調度系統
對調度系統升級,支持雙棧,自動判斷IP類型,啓動對應防禦模式和清洗算法。
c) 清洗系統
重新設計部署了牽引、回注、清洗系統,並制定針對IPv6的清洗算法。
2.運營商級別黑洞能力
不管是IPv4還是IPv6,當某個IP***流量特別大,會導致整個帶寬擁塞。無論對IDC機房、雲服務商來說,1個IP被***導致所有業務不可用簡直是災難。特別是IPv6網絡帶寬相對於IPv4還處於建設初期,***擁塞風險更大。
阿里雲和各大ISP服務商建立IPv6黑洞聯動能力,可以在運營商IPv6骨幹網丟棄流量,提供安全的雲環境。
3.防護模式的升級
a) 針對prefix級別的防禦算法:
雖然一個IDC就可能申請到海量的IP地址,但這些IP地址歸屬的IP地址塊不會太多,即使***者可以切換海量的IP地址,但在同一個機房的肉雞IP很難在網段級別離散,通過IP地址網段來統計和分析可以有效減弱IPv6海量地址帶來的衝擊。
b)協同防禦:
在傳統IDC和單機安全設備上,一個IP的異常指標可能非常低,很難分析它是***還是正常訪問,同時很難判斷這個IP是否是NAT或園區出口,結合IPv6的海量IP,***者可以進一步降低被識別的可能。但***者爲了成本和效率,一個IP不可能只***一個目標。比如IP X.X.X.X 在DDoS了服務器A之後,可能又去CC***了服務器B。在阿里雲上,由於規模效應,有海量的IP同時在被防禦,所有清洗數據進行了在線化分析,一個IP的行爲特徵就有了上帝視角,***者變得非常明顯,所有租戶的防禦就可以協同作戰,威脅情報可以共享。
c) 智能化深度防禦:
針對應用層的DDoS***,基於頻率和限速的模式會越來越難防禦,假如一個網站能承受1W qps。在IPv6下,***者可以很廉價的獲取1W個IP,每個IP每秒發起1次請求,這個網站就會不堪重負。所以,在IPv6下應用層的DDoS***防禦,更高級的人機識別技術、人機對抗技術將成爲主流。目前阿里雲已在Web應用防火牆上應用了多種人機對抗技術。
安全建議
對於普通互聯網服務提供者來說,重構、升級系統來支持IPv6需要花費大量的成本,建議利用雲服務快速搭建基於IPv6的服務。目前,阿里雲已有多款產品支持IPv6,同時以SaaS化的形式提供IPv6 DDoS防護能力,助力企業一秒搭建更高級別的防禦能力。