流量缺乏 IPv6未来走势不明朗编辑本段回目录
互联网面临四十年来的一次最重要升级:目前的IPv4互联网协议升级到IPv6,新协议可以支持网络容纳更多的网民和网络设备。不过,对于政策制定者、工程师和大型用户社区来说可并不轻松,他们需要讲述向IPv6升级转变的情况,因为没有谁能准确、全面地讲清楚IPv6和IPv4自己的网络流量对比。
IPv6流量测试问题及时给了网络工程师社区对最大一次IPv6试用的准备预期:六月八日世界IPv6日。截至目前,225家网站经营者——包括谷歌、雅虎和Facebook——已经同意将各自网站的网络内容以IPv6的形式连接网络一整天。
缺乏准确的IPv6流量数据,但这次World IPv6 Day的发起者还是参与者都将可以获知6月8日有多少IPv6流量在网上传输,也可以借此了解此次大会将会给IPv6带来什么样的流量变化。
“衡量IPv4和IPv6的对比非常重要”Comcast公司IPv6的杰出工程师和首席设计师John Brzozowski表示,“作为一个重要的网络社区,我们需要了解该转变的过程,IPv4和IPv6流量是很多重要指标中的一个。”
IPv6流量数据“有助于帮助了解升级趋势的过程,但对于运营商来说我并不认为了解他们如何恰当满足客户会十分重要,”Global Crossing负责IP服务产品管理副总裁Dave Siegel 表示,“使用恰当的工具来解决IPv6问题才是最重要的。”
对于部署IPv6的网络运营商来说,IPv6通信流量很可能仍然是一个热门话题,IPv6有着13年标准历史、主要优势是解决IPv4带来的地址不足的问题。而IPv4使用32位地址可以支持43亿个直接连接到网络的设备,IPv6使用128位地址,可以提供几乎数量不受限制的网络设备。
网络需要IPv6因为IPv4地址面临不够用的问题。那些空闲未必指派的IPv4地址池已于今年二月份消耗殆尽,而亚太地区也已使用完所有地址,某些新地址则被留给了未来的新型公司。美国的互联网号码注册机构(ARIN)则表示,所有的IPv4地址将在今年秋天全部被消耗完。
但部署IPv6也面临一些问题:它与IPv4的兼容性问题。这意味着网站运营者需要升级他们的网络设备和软件以全面支持IPv6流量。目前,很多网站都不太情愿付诸实施,因为IPv6网络流量并不多。
定期网络流量调查的只有来自Arbor Networks的数据:最近一次报告显示,IPv6的网络流量占整个网络流量不足0.2%。Arbor说道IPv6网络流量——过去六个月以来已经下降了12%,该结论来源于对北美和欧洲六大运营商的调查数据。
当然并不是每个人都相信Arbor作出的IPv6网络流量下降的看法,很多网站运营者都计划在World IPv6 Day跃跃欲试。
互联网业IPv6迁移进度依然缓慢编辑本段回目录
对于大部分企业和个人用户都还没有决定迁移到IPv6的现实情况,我是一点也不感到惊讶。确实,所有人都已经知道IPv4互联网地址将会迅速耗尽。实际上,其中的某些人甚至知道亚洲区域已经完全耗尽IPv4地址的新闻。但这是否就意味着,他们就会选择马上迁移到基于IPv6协议的互联网上呢?根据阿卡迈技术公司发布的2011年一季度互联网态势报告,答案显然是一个大大的不。
不过,这也并不意味着互联网的发展已经处于停滞状态。现实中的情况明显不是这样。全球主流内容分发网络(CDN)供应商阿卡迈发布的调查报告显示:“在2011年一季度,有来自237个国家和地区的5.84亿个独立网络地址连接到阿卡迈网络上;相比去年四季度,网络地址的数量上升了5.2%,而相比前年一季度,上升幅度则达到了20%。阿卡迈认为,尽管我们看到的网络地址仅仅有5亿出头,但实际用户数量将会超过10亿。造成这种情况的原因就是:在某些网络环境里,由于防火墙和代理服务器的限制,很多用户只能使用一个(或者少量)网络地址来实现对互联网的访问。当然,对于使用多台网络设备的个人用户来说,也确实存在使用多个网络地址的情况。”
并且,我还要解释一下,这里预测的10亿仅仅指得是通过阿卡迈下载苹果OS X操作系统或者欣赏网络视频的用户。全球实际用户数正迅速接近IPv4协议43亿总数的硬性限制。实际上,按照市场调研公司ABI针对智能手机和平板计算机类设备进行的专门调查就显示出,仅仅在2011年,需要的IPv4地址就达到了10亿个。
因此,人们就应该马上迁移到IPv6协议上?答案显然不是这样的。
尽管最近结束的全球IPv6日已经表明IPv6技术处于蓄势待发的状态,可以实现与IPv4共同存在,但依然不能让人们作出马上迁移到下一代互联网上的决定。
而且,公司可以利用购买IPv4地址块的方法来推迟迁移到IPv6上的时间。举例来说,今年早些时间,微软就通过IPv4中间商Addrex从北电那里以750万美元的价格购买了一批IPv4地址。
但是,美国网络地址注册管理组织(ARIN)的首席执行官约翰·柯伦认为:“对于绝大部分用户来说,在不那么遥远的未来,相比购买数量迅速下降的IPv4旧地址所付出的资金,申请并使用免费的IPv6地址将会变得更具性价比将成为现实。”
当然,目前并没有发生这种情况。阿卡迈发现:“在Alexa【网站分析公司】排名前一百万的网站中......IPv6连接的使用率相当稳定,在一季度的前半时间一直保持在0.25%左右;但在2月中旬,这一数字突然跃升到3%。”进一步深入的分析显示,这是由于谷歌利用“白名单”处理了康卡斯特提供的IPv6连接;这样康卡斯特用户就可以利用IPv6连接访问Blogspot.com上的网络日志,而作为谷歌网络日志的域名服务器,它的流量相当大。“如果排除BlogSpot网站带来的影响”,在本季度末,IPv6连接的使用率将达到0.3%。
阿卡迈还给出互联网安全公司Arbor网络针对IPv6和相关流量的研究结果:“在互联网总流量中,基于IPv6协议的份额约在0.1%到0.2%之间。”
将上述数据放到一起,我们就可以清楚地看到实际的情况,公众并没有完全做好应对IPv4地址耗尽的情况。对于家庭用户来说,这一问题不属于需要关心的范畴。但对于首席信息官或者网络管理员来说,现在告诉首席财政官或者首席执行官需要在2012年预算中增加更多互联网基础设施升级方面的资金已经有点晚了。然而,我相信这将属于必然的结果。
IPv6——黑客的下一个攻击目标编辑本段回目录
你可以按照自己的意愿推迟IPv6策略的部署,但是你必须应当马上着手解决IPv6存在的安全隐患。如果你计划将IPv6与IPv4进行双堆栈配置,那么在安全方面你不能掉以轻心。如果你考虑全面转向IPv6,这也并不代表你就可以高枕无忧。
最大的潜在安全威胁在于企业网络上已经接入了大量具备IPv6功能的设备,包括所有运行Windows Vista 、Windows 7、Mac OS/X、Linux和BSD设备。
与以前IPv4需要DHCP不同,IPv6不需要人工配置。思科杰出系统工程师,《IPv6安全》一书的合著者Eric Vyncke称,这种无状态的自动配置特点意味着“支持IPv6的设备只需单一的路由通告即可识别自己在网络上的身份”。
他提醒称:“仅支持IPv4的路由器和交换机无法对IPv6设备通告进行识别或做出回应,但是一个流氓IPv6路由器能够发送并解译这种信息。”
无状态自动配置允许支持IPv6的设备与其它的IPv6网络设备和在同一LAN中的服务进行通信。通过这一程序,设备能够通告自己的位置,并可通过IPv6邻居发现协议(NDP)被定位。
但是如果不加管理,NDP可能会将邻近的设备暴露给那些急于收集网络内部信息的黑客,甚至允许这些设备被接管并变成“僵尸”。
Vyncke警告这种威胁是真实存在的。他称:“我们在全球范围内进行了观察,这些僵尸机器正在越来越多的使用IPv6作为与僵尸主控机进行通信的隐蔽渠道。”在许多伪装中,支持IPv6的恶意软件能够在一个或多个IPv4信息中封装恶意负载。如果没有数据包深度探测等符合IPv6规范的安全措施,这类负载通过穿透IPv4边界,而DMZ防御却无法探测出来。
安全邻居发现协议(SEND)为IETF针对流氓RA和NDP欺骗等Layer-2层IPv6威胁所开发的解决方案,这些威胁相当于IPv4威胁中的流氓DHCP和ARP欺骗。尽管微软和苹果等知名厂商并不支持SEND,但是一些操作系统厂商已经开始对SEND提供支持。
思科和IETF正在为IPv6制定安全措施,这些措施与目前在用的保护IPv4免受这类威胁侵害的措施相似。
IETF已经成立了一个SAVI(源地址认证)工作小组。思科始于2010年的IOS升级计划目前也已经进入到了第三阶段,预计将在2012年开始全面实施。
Vyncke强调,许多常见的IPv6安全风险是由于终端用户设备在网络中配置不当产生的,正确的配置和IPv6安全措施能够消除许多这类风险。他解释称:“这类问题的解决办法是部署原生IPv6,以在同一水平上保护IPv6信息,应对你已经在IPv4上成功防御过的同类威胁。”
IPSec安全神话
目前普遍认为,IPv6天生就比IPv4要安全,因为在IPv6中IPSec支持是强制性的。Vyncke称:“这个神话需要被揭穿。”
他指出,除去大范围部署IPSec所面临的实际挑战之外,由于(路由器/交换机/防火墙)设备无法看到IPSec封装的信息内容,导致它们的重要安全功能受到了影响。
出于这一原因,作为IETF活跃成员和《RFC 3585》一书作者的Vyncke称,一个IETF工作小组正在考虑在IPv6部署中将IPSec支持由“必须”调整为“推荐”。
关于禁止IPv6,Vyncke认为这是一个非常糟糕的主意,其原因有两个。首先,微软表示在Windows 2008中禁止IPv6是因为配置不支持。Vyncke称,禁止IPv6的做法是一个不切明智的策略,这将导致IPv6的部署不可避免的出现拖延。其次,无论IT部门愿意与否,支持IPv6的设备已经开始在网络中大量出现,这将导致安全形势出现恶化。
发展动力
除去威胁以外,IPv6的商业部署案例正在越来越多,IPv6已经无法继续被忽视。由于许多国际客户的网络已经不再支持IPv4,银行和在线券商正在失去与这些客户的联系,为此银行和在线券商已经开始正视这一挑战。
西班牙电信和T-Mobile等公司已经开始大规模部署IPv6,尤其是在欧洲地区。美国政府目前也已经开始向IPv6过渡,同时他们还呼吁提供商和厂商提供更多的IPv6产品和服务。
博科通讯系统公司产品管理总监Keith Stewart称:“你永远不希望自己处于无法与客户互动的困境之中。”通过与网络厂商分享观点,Stewart发现向IPv6过渡已经成为了一个大趋势。
Stewart称:“在互联网中整体升级为IPv6既不现实也无法办到。客户需求一个平衡的、实际的解决方案”。他指出,由于服务提供商消耗地址的速度最快,因此他们是首批升级至IPv6的团体,其次是谷歌和脸谱等内容服务商,最后才是终端用户,因为这些终端用户的家庭路由器有99%是基于IPv4 协议研发的。
在向IPv6过渡的同时,博科也在部署负载平衡器,向对公服务提供IPv6翻译,在内部网络中保留IPv4连接。
瞻博网络公司称,迄今为止,在申请IPv6服务的客户中,大部分来自教育和政府部门,尤其是需要遵守联邦IPv6命令的大学研究实验室和政府机构。
瞻博网络公司预测,2012年IPv6将更为活跃,特别是在服务提供商中。该公司软件工程总监Alain Durand称:“对于我们在全球的客户来说,IPv4地址枯竭日益成为一个非常严重的问题。” Durand预测,大部分IPv6部署都将是一些小项目,它们在现有的IPv4对公服务中采用双堆栈解决方案以增加IPv6功能。他称:“为了解决 IPv4地址短缺问题,客户经常会选择增加一个NAT层。”
尽管目前还无法准确预测IPv4地址将于何时枯竭,但是亚太互联网络信息中心(APNIC)首席科学家Geoff Huston 根据IANA和区域互联网注册管理机构公布的数据分析,剩余的IPv4地址将在2014年被彻底用完。
不过,需要注意的是Huston的分析忽略了那些私营公司手中保留的地址,这些地址未来可能会被拿出来使用或被出售。比如,微软在近期收购北电资产的过程获得了超过60万个IPv4地址。在近期的评估当中,这部分IPv4地址没有被考虑在内,许多业内人员预测随着IPv4地址供应短缺,升级成本将会上涨。
由于没有可供借鉴的最佳IPv6转型实践,许多网络经理并不愿意主动采取行动。尽管安全问题以及担心无法与已向仅支持IPv6系统过渡的客户通信的问题日益突出,但是保持观望并等待他人探路可能并不是一个明智的态度。
明智的做法是在规划阶段与能够提供架构和安全指导的值得信赖的网络厂商建立或重新建立联系,共同在众多的IPv6过渡方案中找到一个切实可行的方案。(范范编译) 网界网
