IPv6的优点和局限性

　　IPv6 Day的目的

　　为了鼓励企业，互联网服务供应商，硬件设备厂商，操作系统厂商以及网络公司为IPv6服务做好准备，确保IPv4网络向IPv6网络过渡的顺利进行。

　　IPv6无法解决全部安全问题

　　IPv6解决了很多IPv4难以解决的安全问题，但是同时它又引进了新的安全风险。其中一个常被人质疑的是，全部网络设备都将拥有自己的可被路由到的IPv6 地址，这将使得这些设备都暴露在互联网的复杂环境下。

　　降低隐私能见度

　　如果所有网络设备都可以通过互联网访问，那么个人用户就很容易通过网络被追踪。这个问题很早就被弗吉尼亚理工大学的研究团队发现了，他们在较早前的一份报告中解释说：默认的地址系统如果采用IPv6，在自动配置地址的情况下，第三方将可以通过简单的指令，诸如ping以及trace route 等在全球范围追踪和监视目标用户。同时用户发送数据的接受方信息，也会被第三方监视者获取。

　　该研究团队还发现，如果采用默认的IPv6地址方案，设备的MAC地址也将暴露在互联网环境中。于是他们开发了一种防御方案，叫做Moving Target IPv6 Defense (MT6D)。该方案可以提供以下功能：

　　主机之间通过互联网进行通信时，对于定位，跟踪和数据流截获等都保持匿名状态。

　　这是一个很重要的工作，该研究团队的Stephen Groat, Matthew Dunlop, William Urbanski, Randolph Marchany, 和Joseph Tront为这项方案申请了专利，并且为此获得了2011年美国全国安全创新竞赛的第三名。

　　为了让广大读者更好的了解MT6D，我们有必要通过团队的成员来了解一下他们的具体工作。以下是该团队成员接受采访时的记录：

　　记者提问: 你们的研究报告提到，在使用IPv6的无状态地址自动配置功能时，隐私泄漏问题就凸现出来了。你能解释一下什么是无状态地址自动配置功能，还有这个功能为什么会影响用户隐私的安全性?

　　Research team: 无状态地址自动配置 (SLAAC)是采用IPv6协议的主机自己配置网络地址的一种方式。主机自己配置IP地址，可以减少网络管理者的管理负担。这与IPv4网络环境中使用的DHCP方式有所改变。

　　使用SLAAC的问题在于，不论主机是否连接子网，它的地址或接口ID(IID)都是相同的。而默认的地址体系也就是64位扩展唯一标识 (EUI64)是采用MAC地址作为IID的。这样做的结果就是，攻击者拥有了子网列表以及主机的MAC地址，就可以从世界任何位置对该主机展开攻击。

　　记者提问: 据说微软在新版本操作系统中使用了隐私扩展技术来隐藏主机的部分MAC地址，这样做是不是就够了?

　　Research team: 隐私扩展技术可以算是一种改进，但是只能保护客户端系统，而服务器系统仍然处于威胁中。因为隐私扩展技术不能频繁的变化地址来防止网络攻击，对于网站服务器或企业VPN服务器这样需要全天候开通并且保持固定IP地址的系统来说，并没有什么防护效果。

　　这样的系统还是容易被锁定和攻击。另外，隐私扩展技术主要应用于Web通信，其他应用领域，诸如VoIP，VPN等，都无法在隐私扩展模式下工作。

　　Windows系统下应用的隐私扩展还需要依赖于另一个IPv6地址进行邻居发现，本地DNS以及其它相关功能。而这个地址必须是静态的，并且能够被其它主机获取。如果黑客获取了该地址，同样可以用来进一步攻击目标主机。

　　记者提问: 你们的团队给出的方案是通过MT6D来提高隐私安全性，在这个系统中，发送方和接收方的IP地址都是动态变化的。这是怎么实现的呢?
(责任编辑：VEVB)