IPv6可能遭受DDoS攻击 部署不必操之过急

最早部署IPv6的人都应该知道由于IPv6规范的小疏漏，IPv6也有可能遭受DDoS攻击。这个漏洞是由Type 0路由头引发的。

Type 0路由头在IPv4时代就表现出了严重的安全隐患，因此在IPv4的默认引擎下是禁用Type 0路由头的。Type 0路由头功能可以让某些数据解释为源路由内容丢失，从而被黑客利用制造出死循环形式的拒绝服务攻击。比如一个发给节点A的数据包被标记为经过节点B再返回节点A，如此反复。在IPv4规范中，数据包头部最多添加九个路由节点，而在IPv6中，这个限制被放宽到88个地址，明显增加了这种潜在威胁的发生可能和危害。The Register的报告表示，有网络工程师表示“这就好像是将IPv4的丢失源路由机制引入到IPv6环境并加强了它的破坏性。”

解决这个办法有两种方案：要么完全接受这个功能，要么确保大家都关闭这个功能。很多基于BSD操作系统的路由器在默认状态下就是关闭该功能的，所有包含Type 0路由头的数据包都会被丢弃。

不过令人惊讶的是，Cisco并没有在这方面有过多的关注。虽然在大多数Cisco路由器中，IPv6都是禁用状态，但是一旦开启IPv6，Type 0路由头一般情况下就不会被过滤掉了。

Cisco后来发布了一份公告以及相应的补丁，在公告中Cisco表示，这一漏洞有可能导致内存崩溃，并有可能导致远程代码执行。这个漏洞有可能导致路由器被黑客入侵，如果远程代码执行失败，那么就有可能对路由器造成拒绝服务攻击。

到目前为止，我们还没有看到有这个漏洞的攻击报道，但是这主要是由于IPv6网络的普及率还相当低。随着技术的普及，IPv6的采用率会越来越高，届时有可能会出现由于这个漏洞而引发的攻击事件。

IPv6的发展动力来自于IPv4网络地址的缺乏。几年前网络IP地址缺乏的危机被过分宣传，导致市场对IPv6的开发需求急迫，而引入无类别域间路由选择（CIDR）和网络地址转换（NAT）在短期内减缓了人们对于IP地址的需求。来自Cisco和APNIC的报告显示，根据目前未利用的IP地址的回收情况，基于IPv4规范的IP地址将在2011年-2023年之间耗尽。而美国白宫的管理办公室也要求所有联邦机构的主干网络必须在2008年6月以前转换到IPv6，国土安全部更是在2008年以前就要求完成向IPv6的迁移。

这也提醒了其他机构，虽然向IPv6迁移并不是一个急迫的任务，但是最终总是要从现有的IPv4架构转换到IPv6的。

（责任编辑:陈毅东）