網際網路工程師們發現了據稱業內第一起基於IPv6的分散式拒絕服務（DDoS）攻擊。他們警告，這僅僅是個開頭，下一波網路大破壞迫在眉睫。

網路專家韋斯利•喬治（Wesley George）本週早些時候注意到了奇怪的流量，這是針對一臺DNS伺服器發動的大規模攻擊的一部分，企圖讓伺服器不堪重負。他供職於Neustar公司的SiteProtect DDoS保護服務部門，當時他在獲取惡意流量的資料包，這是其工作的一部分，他當時意識到“來自IPv6地址的資料包流入到IPv6主機。”

這次攻擊不是很大――不像本週針對GitHub發動的創紀錄的1.35Tbps攻擊，也沒有采用IPv6獨有的方法，但是不同尋常、令人擔憂，於是他提醒團隊的其餘成員要注意。

1900個IPv6地址背後的那些計算機在攻擊DNS伺服器，它們只是更多數量的被徵用的系統的一部分，這些系統主要使用公共網際網路上的IPv4地址。因此，執行IPv6網路的任何人都要確保自己已部署了與IPv4網路同樣級別的網路安全和緩解工具，而且動作要快。

Neustar的研發負責人巴雷特•萊昂（Barrett Lyon）告訴我們：“面臨的風險在於，如果你沒有將IPv6作為威脅模型的一部分，很可能兩眼抹黑。”

除了少數幾家知名公司（比如Facebook和LinkedIn）外，已開始引入IPv6網路的公司大多數是通過並行執行IPv4和IPv6來開展這項工作的，常常設有兩個不同的團隊。萊昂和喬治都警告，根據他們的經驗，網路工程師們先安裝好IPv6網路，之後才為確保安全而操心。

敞開的解析系統

萊昂特別指出，在1900個IPv6地址中，400個被配置不當的DNS系統所使用，大約三分之一的攻擊流量來自那些伺服器――不法分子可以使用DNS伺服器來放大發送到受害者系統的網路流量。這可能是將來的一個巨大問題，因為它表明工程師們在構建的網路存在固有的安全問題，之後可能需要數年才能解決。

幾年來，網際網路社群一直高度專注於找出敞開的IPv4解析系統，並打上補丁，因為它們有可能被用於上述的DNS放大攻擊。

但是這之所以有可能得逞，一方面是由於IPv4地址空間是可掃描的；而IPv6並非如此，IPv6的地址空間非常龐大，不法分子很難使用同樣的技術來發現IPv6地址。正因為如此，如今新部署的任何敞開的解析系統無異於是未來潛在的安全噩夢。

除了潛在的IPv6安全問題外，還有這些問題：一些緩解工具僅適用於IPv4（常常歸因於硬編碼地址寫入到程式碼中）或者部署到IPv4環境中，後來移植到IPv6環境中；許多IPv6網路任務是用軟體（而不是用硬體）來實現的，這留下了多得多的潛在安全漏洞；而IPv6協議中的資料包報頭擴充套件帶來了潛在的、新的攻擊途徑。

說到逐步部署IPv6，IPv6在安全方面有利也有弊，不過隨著IPv6逐漸成為網路預設協議，有利方面會逐漸消失。

說到有利方面，IPv6網路還沒有遍地開花，因而攻擊者不會特別關注它，專門針對這種新的協議開發新的攻擊方法，至少目前如此。而目前最糟糕的安全風險：拼湊而成的物聯網產品幾乎完全專注於IPv4。

預設協議

但是說到不利方面，幾乎所有現代移動裝置和PC都內建了支援IPv6的功能，而且在預設情況下已開啟，所以當那些IPv6攻擊來臨時，它們將會遭受重創。另外，許多網路工程師不知道IPv6是什麼，所以保護IPv6也就無從談起。

喬治假設，如果網路遭到組合型IPv4和IPv6攻擊流量的攻擊（就像本案中發生的那樣），這是將來的一大問題。系統管理員可能會用上所有正常的緩解工具，但只能對付IPv4流量，致使網路仍然受到攻擊，負責人無法查清楚原因。

由於大多數人使用雙堆疊系統在現有系統旁邊部署IPv6，萊昂還擔心IPv6攻擊可能會破壞用來並行執行網路的路由器和交換機，因此通過後門攻擊IPv4網路。

萊昂表示，本週的攻擊“只是冰山一角”。他希望這可以向系統管理員們敲響一記警鐘，以便將最佳實踐運用於IPv6網路，他認為“你在IPv4界採取什麼措施，就應該在IPv6界採取什麼措施。”

不過客觀地說，他並不確信人們會事先吸取教訓。萊昂說：“人們並不往往後來把安全看成是優先事項。直到面臨危機，才會格外重視安全。”