击破IPv6安全神话

然而，RFC 4941规定除了传统SLAAC地址外还要生成临时地址(而不是替代它们)，临时地址用于出站通讯，而传统SLAAC地址用于服务器功能(例如入站通讯)。因此，这些地址并不能缓解主机扫描攻击，因为在采用临时地址的主机上仍然配置了可预测的SLAAC地址(但OpenBSD除外，OpenBSD在启用隐私地址时，禁用了传统SLAAC地址)。

过渡/共存技术

有很多IPv4到IPv6的过渡技术或者共存技术(例如6to4和Teredo)为IPv6全球单播地址指定了特殊语法，在大多数情况下是在IPv6中嵌入IPv4地址，作为IPv6的地址的一部分。由于有很多这方面的技术，本文将不深入到具体细节，但需要注意这些地址遵循特定的模式，所以能减小IPv6地址搜索范围。

如何缓解IPv6主机扫描攻击

缓解IPv6主机扫描攻击最聪明的办法是从IPv6地址删除任何明显的模式。IETF的6man工作组目前正在研究一种生成IPv6地址的方法，它有以下特点：

• 产生的接口ID不容易被预测出

• 产生的接口ID在每个子网内是稳定的，但是当主机从一个网络移动到另一个网络时，接口ID会跟着变化

• 产生的接口ID独立于底层链路层地址

为了确保IPv6部署的安全性，IETF必须完成此标准化工作，并且更重要的是，需要供应商部署它。一旦这些工作都到位了，这些不可预测的地址将让攻击者的IPv6主机扫描攻击更难以执行。

其他缓解IPv6主机扫描攻击的措施包括使用基于网络的入侵防御系统(IPS)：当在本地子网接收到大量针对不同IPv6地址的探测数据包时(尤其是当很多目标地址不存在时)，可以从特定来源地址阻止入站数据包，来应对主机扫描攻击活动。另一种方法是为基于DHCPv6和手动配置的系统配置不可预测的地址。虽然windows系统生成不可预测地址，所有其他端点(包括基于思科和Linux的设备)还需要一些额外的配置，既可以启用DHCPv6服务器来发布不可预测地址，也可以手动配置系统，这样他们就可以使用不可预测地址。很显然，DHCPv6的方法应该是首选方法，因为它更容易扩展。然而，并不是所有DHCPv6软件都有这个功能，因此可能唯一的方法应该是手动配置每个系统的IPv6地址(当然这个工作会非常痛苦)。

读了本文关于IPv6地址在互联网上的分配方式的分析，大家应该提高认识：虽然IPv6的主机扫描攻击在很大程度上受到了阻止，但IETF和供应商仍然有很多工作要做，以增加IPv6主机扫描攻击的难度。