1、阿里巴巴IPv6安全实践目录1、全球IPv6发展趋势及国内政策要求2、阿里巴巴集团IPv6升级面临挑战及安全威胁3、阿里巴巴集团IPv6改造及安全解决方案4、未来IPv6安全的思考及展望全球IPV6发展趋势及政策要求全球IPV6发展趋势全球IPv6 Web服务增长趋势网络流量服务用户基于国家IPv6网络部署和用户情况分布美国：Deolyment 51.75%Prefix 33.77%Users 38.9%中国：Deolyment 20.47%Prefix 5.22%Users 3%IPv6流量变化趋势全球访问Google IPv6用户分比，目前已超过了20%，据预测2021年可超过50%Sou

2、rce:IPv6 Google,IPv6 Capability Metrics,APNIC;https:/www.vyncke.org;http:/;https:/国内IPV6发展及政策要求首版IPv6协议规范（RFC2460）发布已20多年产业进程一度停滞少数商业公司推动了IPv6产业进程Apple/Google/Facebook等以及北美部分无线运营商推动，最终打破死循环，IPv6发展进入快车道1998-2015:加入6Bone、CNGI工程2016：信息化发展规划明确IPv6战略2017.11：两办文件(IPv6规模部署计划）2018.5：工信部通知（落实两办文件）国内IPv6发展滞后，

3、政策力度极大，预计2020年关键应用使用IPv6会达到50%个别经济体跟随，发展迅速：阿里巴巴IPV6升级面临挑战及安全威胁阿里巴巴IPV6升级面临挑战IPv6是网络，是IT infrastructure,更是整个生态能力的提升网络设备改造升级IPv6协议栈DNS/BGP/OSPF等协议栈网络管理海量自动化、监控工具开发L4-L7网关SLB/WAF/FW/LVS等安全DDoS防护、流量清洗、网络隔离监控、业务风控等IPv6地址/路由管理互联网质量监控和流量调度全球质量探测系统升级海量应用改造运营商客户端阿里巴巴集团IPV6升级面临安全威胁Internet/运营商CBRBSRBSRCSRMC/A

4、SRIDCRRRRLSWISR企业核心网络CSRIPv6终端LVSDNSSLBIPv6运营商基础网络IPv6企业核心网络IPv6企业接入网络/服务/应用IPv6升级涉及的改造IPv6协议栈APP/应用IPv6网络设备IPv6地址编址IPv6地址分配IPv6路由管理IPv6网关IPv6核心网络设备IPv6路由管理分配IPv6地址编址分配IPv6接入IPv6网站IPv6 DNS/SLB/LVS应用/业务IPv6接入网络设备IPv6升级面临的安全威胁IPv6协议栈漏洞利用IPv6用户仿冒/僵木蠕IPv6 DDoS攻击IPv6 不安全配置IPv6 地址滥用IPv6 路由/DNS劫持业务风控绕过应用安全

5、漏洞（例如IP相关SSRF）IPv6设备认证绕过IP过渡技术弱点利用阿里巴巴集团IPV6升级面临安全问题1、IPv6协议栈安全：分片攻击、扩展头攻击、NDP攻击等2、IPv6安全检测及扫描：地址空间变大使得实施IPv6扫描非常困难，对于攻击及防御双方都带来新的挑战。3、IPv6 DNS安全：扫描困难的情况下公共节点可能会成为优先的攻击目标。4、IPv6 DDoS防护及黑洞：DDoS防护涉及IPv6编址标准、运营商IPv6黑洞支持，需要多部门配合联动，挑战很大。5、IPv6 业务风控：IPv6地址是很关键的一环，如何精确快速区分恶意用户及溯源?6、IPv6 安全产品改造：协议栈升级及地址相关的策

6、略及逻辑改造面大，成本高。7、IPv6 网络安全：IPv6地址空间大，做好规划及地址分配策略，同时网络访问控制及隔离、扫描都要配套升级。8、IPv6过渡技术安全：过渡技术安全控制措施并不完善，需要结合其他方案综合控制风险。IPV6协议栈安全、DNS安全、安全检测与扫描?针对IPv6协议特点进行的攻击?分片攻击?NDP协议攻击：ND Spoof针对ARP的攻击如ARP欺骗、ARP泛洪等在IPv6协议中仍然存在,同时IPv6新增的NS、NA、RS、RA也成为新的攻击目标。Attack tools exist(from THC The HackersChoice)Parasit6/Fakeroute

7、r6?扩展头攻击：当前协议对IPv6扩展头数量没有做出限制，同一种类型的扩展头也可以出现多次。攻击者可以通过构造包含异常数量扩展头的报文进行DoS攻击。?IPv6 DNS攻击：IPv6的SLACC协议支持任一节点都可以上报DNS域名和IP地址，本意是通过该协议提高DNS的更新速率，但是这样带来了冒用域名的风险。?IPv6 报文格式?128位地址空间：攻击者扫描更加困难，但IPv6地址如果易仿冒，安全监控和防御也困难。IPV6地址与DDOS防护、业务风控及安全产品改造?IPv6地址及分配?IPv6接入地址编址编码技术要求?各运营商、教育网及企业IPv6编址及分配规范?IPv6地址与DDoS、业务

8、风控及安全产品?DDoS防护：用户IPV6地址空间增大对于攻防双方是把双刃剑，清晰统一的编址、精确溯源可以降低DDoS防御的成本与效率。?业务风控：防止薅羊毛、作弊、欺诈等?安全产品改造：需结合各自安全产品业务逻辑判断升级改造，特别是和IP地址相关的安全数据、情报、扫描探测等相关逻辑IPV6网络及过渡技术安全?IPv6网络安全?IPv6 IDS/IPS/FW等升级?IPv6 访问控制及隔离?IPv6 定向安全扫描及检测?IPv6过渡技术安全?隧道技术：6PE、6VPE、手工隧道、GRE、L2TP、6over4、4over6、6to4、ISATAP、Teredo 等，认证、加密、完整性、访问控制

9、等措施。?翻译技术：NAT-PT、NAT64、IVI等，防地址池耗尽攻击等?IPv6/IPv4双栈技术：IPv6默认是激活的，但需要和IPv4一样加强部署IPv6的安全策略。阿里巴巴集团IPV6改造及安全解决方案阿里巴巴IPV6产品及应用改造IPv6 DNSIPv6 CDNIPv6 SLBIPv6 转换服务IPv6 VPCIPv6 ECS云安全/安全服务即将上线现已上线淘宝、天猫、蚂蚁等支持IPv6访问自2012年全球IPv6网络正式启动以来，阿里巴巴就已开始着手IPv6的网络研发的设备选型及升级路线改造，6年厚积薄发，阿里云已是目前国内唯一一家全面提供IPv6服务的云厂商。IPv6 OSSI

10、Pv6 RDS阿里巴巴集团IPV6安全解决方案-多层纵深防御Internet/运营商CBRBSRBSRCSRMC/ASRIDCRRRRLSWISR企业核心网络CSRIPv6终端应用LVSDNSSLBIPv6运营商基础网络IPv6企业核心网络IPv6企业接入网络/服务/应用IPv6安全改造方案安全认证、授权、日志审计服务器IPv6协议栈安全配置加固IPv6服务端口最小化开放IPv6协议扫描及漏洞检测OS层网络设备IPv6安全配置加固IPv6网络地址规划、访问控制隔离IPv6黑洞路由防DIPv6网络路由安全策略存储层网络层安全管理SIEMIPv6地址库数据黑灰产恶意IPv6数据规则算法模型应用业务

11、层WAF（IPv6）CC防御反爬虫DNS/SLB/LVS/FW/IDS反欺诈/作弊业务风控网络扫描未来IPV6安全的思考及展望1、建立自主可控完备高效的IPv6安全防护网络需要从标准、应用、端、管、云及各行各业的共同努力，特别是IPv6编址、精确溯源等方面需要政府主导规范、行业间共建共享。2、IPv6协议栈稳定会有一个过程，随着支持IPv6应用逐步上线，用户流量上一定规模，会有新一轮新形式的IPv6攻防对抗，特别是在业务风控、防D、IPv6协议漏洞挖掘等方面。3、IPv6随着政策牵引以及5G、IoT、云计算等对于IP地址需求大的业务不断成熟，会迎来一个快速发展期，IPv6安全产品及检测防护升级需要及时READY，确保安全风险可控。Q&A谢 谢！