目前全球的IPv6地址數(shù)量已廣泛應(yīng)用到各個(gè)領(lǐng)域，TCP/IP協(xié)議是互聯(lián)網(wǎng)發(fā)展的基石，其中IP是網(wǎng)絡(luò)層協(xié)議，規(guī)范互聯(lián)網(wǎng)中分組信息的交換和選路。目前采用的IPV4協(xié)議地址長度為32位，總數(shù)約43億個(gè)IPv4地址已分配殆盡。近期，國家工信部已批復(fù)同意我國信息通信研究院設(shè)立域名根服務(wù)器及域名根服務(wù)器運(yùn)作機(jī)構(gòu)，另外要求其嚴(yán)格遵照有關(guān)法律法規(guī)、行政規(guī)章及行業(yè)規(guī)范要求，接受國家工信部的管控和監(jiān)督檢查。IPv6對(duì)網(wǎng)絡(luò)安全有什么影響？

      (1) 報(bào)文監(jiān)聽

　　IPv6中可使用IPSec對(duì)其網(wǎng)絡(luò)層的數(shù)據(jù)傳輸進(jìn)行加密保護(hù)，但RFC6434中不再強(qiáng)制要求實(shí)施IPSec，因此在未啟用IPSec的情況下，對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽依舊是可行的。

　　(2) 應(yīng)用層攻擊

　　IPv4網(wǎng)絡(luò)中應(yīng)用層可實(shí)施的攻擊在IPv6網(wǎng)絡(luò)下依然可行，比如SQL注入、緩沖溢出等，IPS、反病毒、URL過濾等應(yīng)用層的防御不受網(wǎng)絡(luò)層協(xié)議變化的影響。

　　(3) 中間人攻擊

　　啟用IPSec對(duì)數(shù)據(jù)進(jìn)行認(rèn)證與加密操作前需要建立SA，通常情況下動(dòng)態(tài)SA的建立通過密鑰交換協(xié)議IKE、IKEv2實(shí)現(xiàn)，由DH(Diffie-Hellman)算法對(duì)IKE密鑰載荷交換進(jìn)行安全保障[1]，然而DH密鑰交換并未對(duì)通信雙方的身份進(jìn)行驗(yàn)證，因此可能遭受中間人攻擊。

　　(4) 泛洪攻擊

　　在IPv4與IPv6中，向目標(biāo)主機(jī)發(fā)送大量網(wǎng)絡(luò)流量依舊是有效的攻擊方式，泛洪攻擊可能會(huì)造成嚴(yán)重的資源消耗或?qū)е履繕?biāo)崩潰。

　　(5) 分片攻擊

　　在IPv6中，中間節(jié)點(diǎn)不可以對(duì)分段數(shù)據(jù)包進(jìn)行處理，只有端系統(tǒng)可以對(duì)IP數(shù)據(jù)包進(jìn)行分分段與重組，因此攻擊者可能借助該性質(zhì)構(gòu)造惡意數(shù)據(jù)包。

　　在RFC8200中聲明禁止重組重疊的IPv6分片，且其限制最小MTU為1280字節(jié)[2]，因此處理時(shí)將丟棄除最后分片外小于1280字節(jié)的分片，在一定程序上也緩解了分片攻擊。

　　(6) 路由攻擊

　　在IPv6下，由于部分路由協(xié)議并未發(fā)生變化，因此路由攻擊依舊可行。

　　(7) 地址欺騙

　　IPv6使用NDP協(xié)議替代了IPv4中的ARP協(xié)議，但由于實(shí)現(xiàn)原理基本一致，因此針對(duì)ARP協(xié)議的ARP欺騙、ARP泛洪等類似攻擊方式在IPv6中依舊可行。