文中梳理并小结了IPv6很有可能存有的安全性威胁，从IPv4安全性威胁持续、IPv6有关附设协议书和有关体制很有可能产生的安全性威胁、IPv6对安全性硬件配置的危害及衔接技术性的安全性威胁四个层面开展了剖析与整理。

一、 IPv4 安全性威胁持续

（1） 报文格式监视

IPv6中可应用IPSec对其传输层的传输数据开展数据加密维护，但RFC6434中已不强制性规定执行IPSec，因而在未开启IPSec的状况下，对数据包开展监视依然是行得通的。

（2） *** 层攻击

IPv4互联网中 *** 层可执行的攻击在IPv6互联网下仍然行得通，例如SQL引入、缓存外溢等，IPS、防病毒软件、URL过虑等 *** 层的防御力不会受到传输层协议书转变的危害。

（3） 中介人攻击

开启IPSec对数据信息开展验证与数据加密操作过程必须创建SA，一般 状况下动态性SA的创建根据密匙互换协议书IKE、IKEv2完成，由DH（Diffie-Hellman）优化算法对IKE密匙荷载互换开展安全防范措施[1]，殊不知DH密匙互换仍未对通讯彼此的真实身份开展认证，因而很有可能遭到中介人攻击。

（4） 泛洪攻击

在IPv4与IPv6中，向总体目标服务器推送很多数据流量依然是合理的攻击 *** ，泛洪攻击很有可能会导致比较严重的資源耗费或造成总体目标奔溃。

（5） 分块攻击

在IPv6中，正中间节点不能对分段数据包开展解决，仅有端系统能够对IP数据包开展分分段与资产重组，因而攻击者很有可能依靠该特性结构故意数据包。

在RFC8200中申明严禁资产重组重合的IPv6分块，且其限定最少MTU为1280字节数[2]，因而解决时将丢掉除最终分块外低于1280字节数的分块，在一定程序流程上也减轻了分块攻击。

（6） 路由器攻击

在IPv6下，因为一部分路由协议仍未产生变化，因而路由器攻击依然行得通。

（7） 详细地址蒙骗

IPv6应用NDP协议书取代了IPv4中的ARP协议书，但因为完成基本原理基本一致，因而对于ARP协议书的ARP欺骗、ARP泛洪等相近攻击 *** 在IPv6中依然行得通。

二、 IPv6 引进的安全风险

2.1 IPv6拓展之一部威胁

2.1.1 逐跳选择项报头

安全性威胁

可运用逐跳选择项报秀发送很多包括路由器提醒选择项的IPv6数据包，包括有路由器提醒选择项的数据包规定全部无线路由器对该数据包开展解决并细心查询该数据包的报头信息内容[3]，当攻击者推送很多该类IPv6数据包时，将耗费链接上无线路由器很多資源，比较严重可导致DoS攻击。

情绪调节

理应限定无线路由器对包括路由器提醒选择项的数据包的解决总数。

2.1.2 目地选择项报头

安全性威胁

挪动IPv6协议书的数据通讯以密文开展传送，因而其自身就是不安全的，攻击者可对MIPv6数据包开展 *** 嗅探从而鉴别其通讯节点、转送详细地址、故乡详细地址、故乡 *** 商等信息内容，并运用这种信息内容仿冒数据包。攻击者可根据阻拦种类为信息关联升级的数据包，改动关联关联中的转送详细地址。除此之外，挪动节点标志符选择项表明了客户的故乡主从关系，攻击者可运用该选择项明确客户真实身份，锁住特殊的攻击目标[4]。

情绪调节

可试着打开IPSec确保数据包不容易被监听[4]。

2.1.3 路由器报头

安全性威胁

在RH0路由器种类（即type 0）下，攻击者可运用路由器报头选择项装扮成合理合法客户接受回到的数据包。另外，RH0出示了一种总流量变大体制，攻击者可运用该种类开展拒绝服务攻击攻击[5]。

尽管RH0已被宣布停止使用并开启RH2[2]，但旧的或未升級机器设备仍然很有可能遭到RH0攻击。

情绪调节

理应尽早升级安全防护设备并升級至全新的IPv6协议书版本号，另外对全部的RH0数据包开展丢掉。

2.1.4 分段报头

安全性威胁

倘若将重要的报头信息内容分割在好几个精彩片段中，安全性防护设备对重要信息内容开展获取与检验解决会消耗很多資源，结构很多此类数据包很有可能对总体目标服务器导致DoS攻击。

攻击者可向节点推送很多不详细的分段结合，逼迫节点等候精彩片段结合的最终精彩片段，节点在请求超时時间内因为只接受到一部分IPv6精彩片段从而没法进行资产重组，最后只有将数据包丢掉，在请求超时等候期内，会导致服务器资源的耗费。

情绪调节

服务器防火墙应当丢掉除最终分段外全部低于1280字节数的全部分段。

Cisco ASA服务器防火墙的FragGuard作用能够将全部的分块拼装并开展全部数据包查验用于明确是不是存有遗失的分段或重合分段。

依据RFC8200，IPv6节点已不可以建立重合分段，且在对IPv6报文格式开展资产重组时，倘若明确一个或好几个精彩片段为重合精彩片段，则务必对全部报文格式开展丢掉[2]。

2.2 协议书威胁

2.2.1 ICMPv6协议书

安全性威胁

可根据向组播地址FF02::1推送Echo Request报文格式，根据接受Echo Reply报文格式完成当地链接扫描仪，或以总体目标节点做为源地址向组播地址FF02 :: 1推送ICMPv6 EchoRequest信息完成Smurf攻击。

可根据向总体目标节点推送ICMPv6 Packet too big报文格式，减少接受节点的MTU，减少传输速度。

可根据向总体目标节点推送太多的ICMPv6包及其推送不正确信息，造成对话被丢掉，进而毁坏已创建的通讯，完成DoS攻击[6]。

可根据向服务器推送文件格式有误的信息 *** *** 器对ICMPv6的回应，进而通发觉潜在性的攻击总体目标[6]。

情绪调节

可在 *** 交换机的每一个物理学端口设置总流量限定，将超过总流量限定的数据包丢掉。或在服务器防火墙或界限无线路由器上运行ICMPv6数据包过虑体制，也可配置路由器回绝分享含有组播地址的ICMPv6 EchoRequest报文格式。

可试着关掉PMTU发觉体制，但其会危害到数据 *** 的传输速度。

2.2.2 隔壁邻居发觉协议书（NDP）

安全性威胁

（1）中介人攻击

因为NDP协议书根据可靠互联网因而并不具有验证作用，因而可根据仿冒ICMPv6 NA/RA报文格式完成中介人攻击。攻击者能够仿冒NA报文格式，将自身的链路层详细地址并开启遮盖标示（O）做为链接上别的服务器的详细地址开展广播节目。攻击者可仿冒RA报文格式发送到总体目标节点改动其默认网关。

（2） 反复详细地址检验攻击

当总体目标节点向FF02 :: 16全部节点推送NS数据包开展反复详细地址检验时，攻击者可以向该节点推送NA报文格式开展回应，并说明该详细地址已被自身应用。当节点接受到该详细地址已被占有信息后再次形成新的IPv6详细地址并再一次开展反复详细地址检验时，攻击者可再次开展NA回应完成DoS攻击。

（3） 泛洪攻击

攻击者可仿冒不一样互联网作为前缀RA信息对FF02 :: 1开展开展泛洪攻击，接受节点可能依据不一样的互联网作为前缀开展升级，进而耗费很多的CPU資源。