2018年阿里巴巴IPv6安全实践.pdf

《2018年阿里巴巴IPv6安全实践.pdf》由会员分享，可在线阅读，更多相关《2018年阿里巴巴IPv6安全实践.pdf（18页珍藏版）》请在三个皮匠报告上搜索。

1、阿里巴巴IPv6安全实践目录1、全球IPv6发展趋势及国内政策要求2、阿里巴巴集团IPv6升级面临挑战及安全威胁3、阿里巴巴集团IPv6改造及安全解决方案4、未来IPv6安全的思考及展望全球IPV6发展趋势及政策要求全球IPV6发展趋势全球IPv6 Web服务增长趋势网络流量服务用户基于国家IPv6网络部署和用户情况分布美国：Deolyment 51.75%Prefix 33.77%Users 38.9%中国：Deolyment 20.47%Prefix 5.22%Users 3%IPv6流量变化趋势全球访问Google IPv6用户分比，目前已超过了20%，据预测2021年可超过50%Sou

2、rce:IPv6 Google,IPv6 Capability Metrics,APNIC;https:/www.vyncke.org;http:/;https:/国内IPV6发展及政策要求首版IPv6协议规范（RFC2460）发布已20多年产业进程一度停滞少数商业公司推动了IPv6产业进程Apple/Google/Facebook等以及北美部分无线运营商推动，最终打破死循环，IPv6发展进入快车道1998-2015:加入6Bone、CNGI工程2016：信息化发展规划明确IPv6战略2017.11：两办文件(IPv6规模部署计划）2018.5：工信部通知（落实两办文件）国内IPv6发展滞后，

3、政策力度极大，预计2020年关键应用使用IPv6会达到50%个别经济体跟随，发展迅速：阿里巴巴IPV6升级面临挑战及安全威胁阿里巴巴IPV6升级面临挑战IPv6是网络，是IT infrastructure,更是整个生态能力的提升网络设备改造升级IPv6协议栈DNS/BGP/OSPF等协议栈网络管理海量自动化、监控工具开发L4-L7网关SLB/WAF/FW/LVS等安全DDoS防护、流量清洗、网络隔离监控、业务风控等IPv6地址/路由管理互联网质量监控和流量调度全球质量探测系统升级海量应用改造运营商客户端阿里巴巴集团IPV6升级面临安全威胁Internet/运营商CBRBSRBSRCSRMC/A

4、SRIDCRRRRLSWISR企业核心网络CSRIPv6终端LVSDNSSLBIPv6运营商基础网络IPv6企业核心网络IPv6企业接入网络/服务/应用IPv6升级涉及的改造IPv6协议栈APP/应用IPv6网络设备IPv6地址编址IPv6地址分配IPv6路由管理IPv6网关IPv6核心网络设备IPv6路由管理分配IPv6地址编址分配IPv6接入IPv6网站IPv6 DNS/SLB/LVS应用/业务IPv6接入网络设备IPv6升级面临的安全威胁IPv6协议栈漏洞利用IPv6用户仿冒/僵木蠕IPv6 DDoS攻击IPv6 不安全配置IPv6 地址滥用IPv6 路由/DNS劫持业务风控绕过应用安全

5、漏洞（例如IP相关SSRF）IPv6设备认证绕过IP过渡技术弱点利用阿里巴巴集团IPV6升级面临安全问题1、IPv6协议栈安全：分片攻击、扩展头攻击、NDP攻击等2、IPv6安全检测及扫描：地址空间变大使得实施IPv6扫描非常困难，对于攻击及防御双方都带来新的挑战。3、IPv6 DNS安全：扫描困难的情况下公共节点可能会成为优先的攻击目标。4、IPv6 DDoS防护及黑洞：DDoS防护涉及IPv6编址标准、运营商IPv6黑洞支持，需要多部门配合联动，挑战很大。5、IPv6 业务风控：IPv6地址是很关键的一环，如何精确快速区分恶意用户及溯源?6、IPv6 安全产品改造：协议栈升级及地址相关的策

6、略及逻辑改造面大，成本高。7、IPv6 网络安全：IPv6地址空间大，做好规划及地址分配策略，同时网络访问控制及隔离、扫描都要配套升级。8、IPv6过渡技术安全：过渡技术安全控制措施并不完善，需要结合其他方案综合控制风险。IPV6协议栈安全、DNS安全、安全检测与扫描?针对IPv6协议特点进行的攻击?分片攻击?NDP协议攻击：ND Spoof针对ARP的攻击如ARP欺骗、ARP泛洪等在IPv6协议中仍然存在,同时IPv6新增的NS、NA、RS、RA也成为新的攻击目标。Attack tools exist(from THC The HackersChoic