目前随着互联网应用的不断加深，在全球范围内IPv4地址都呈现出逐渐枯竭的状况，而面向IPv6地址过渡的呼声变得越来越强。不过，对于现在网络设备来说，IPv6准备好了吗?

IPv6协议尚有待完善

       作为旨在替代传统IPv4协议的IPv6，其在协议制定和演进之时，便考虑设计成能够修补IPv4协议中的安全缺陷，并将原IPv4的安全性选项IPSec（IP安全协议）加入IPv6协议中，以消除现行采用IPv4协议所产生的网络安全问题。

       不过实际上，像IPv6这样的新通信协议同样也会出现一些无法预期的设计漏洞，而且当网络系统以及终端设备向IPv6协议过渡时也会衍生出各种各样的新安全弱点。

       以长期以来一直被怀疑会引发IPv6安全漏洞的“原子碎片”向量为例，就被网络专家指出，可能会导致大规模核心网络路由器遭受碎片攻击。

       针对IPv4，碎片攻击是一个相当普遍的攻击手段，其主要目的为规避防火墙及入侵检测系统的侦测，将易被察觉的恶意数字签名（data signature）分散到数个封包中，造成防火墙及入侵检测系统难以有效侦测出其原封包的意图。

       而在IPv6仅有来源端可分割封包，其被分割的封包大小可依来源端到目的端路径所测得的最大MTU来指定，一般正常的IPv6封包为1280字节（bytes），也就是IPv6最小的封包大小，而最后一个传送的封包大小通常会小于1280字节。同时，要处理重叠的碎片为相当困难的一件事，原因在于不同的目地端系统使用不同的方式来重组封包。

       对IPv6而言，当主机接收到小于1280字节（最小IPv6 MTU）的报文时，已无法将其分段为若干片段，这时便会发送包含偏移值为0、MF位为0的碎片头信息的IPv6原子碎片。关键的是，这些原子碎片会成为拒绝服务（DoS）的攻击向量，进而威胁到核心路由器的安全运行。

       因此，目前来自国际互联网工程任务组（IETF）贡献者之一的Fernando Gont已经正式提交了RFC 8021文件，将IPv6协议中存在的此种情况，归类到“认为有害”列表上，以敦促业界重视该问题。

       由于IPv6协议中的此漏洞会存在于采用该协议的任何产品中，这就意味着当前主流核心网络设备供应商，如思科、瞻博网络、爱立信、华为等都必须给予重视并处理，才能避免协议层面漏洞引发原子碎片攻击的风险。

本文属于原创文章，如若转载，请注明来源：IPv6协议漏洞将威胁核心路由器安全http://net.zol.com.cn/624/6246874.html