《IPv6安全》——2.5 小結

本節書摘來異步社群《ipv6安全》一書中的第2章，第2.5節，作者：【美】scott hogg , eric vyncke，更多章節内容可以通路雲栖社群“異步社群”公衆号檢視

ipv6安全

為了保障ipv6協定及其所支援的上層協定的安全，您應該熟悉ipv6協定及其結構。了解協定的結構可幫助您了解如何保障通信的安全。

在防止合法流量被阻止的同時，您也必須努力允許正确的icmpv6資料包得以通過。您不能像過濾ipv4 icmp資料包那樣，盲目地過濾掉所有的icmpv6流量。

多點傳播與ipv6的緊密內建也添加了保障ipv6安全的複雜性。但是，在有關該協定及其如何工作的知識的武裝下，要保障您的ipv6網絡安全，您就可以做出更好的選擇。

您必須考慮ipv6擴充首部如何影響系統的安全，以及攻擊者如何利用這些擴充首部。為了正确地保障ipv6網絡的安全，您必須有裝置可用來分析一個資料包中的擴充首部，并确定攻擊是否隐藏在這些首部中。過濾特定類型的擴充首部可增加您的環境的安全性。

雖然相比ipv4，ipv6給出了多得多的位址空間，但對于攻擊者來說，勘察仍然是重要的和可行的。您應該盡力使用随機的節點辨別符，進而使對節點執行掃描變得困難。

您可精心僞造資料包，事實上存在可幫助攻擊者産生攻擊的軟體。正像ipv4資料包可被僞造一樣（spoof），也可僞造ipv6資料包。節點具有多個ipv6位址的事實增加了安全挑戰。