IPv6是由IETF设计的下一代IP协议，用于替换当前版本的IP协议（IPv4）。它声称能够为世界上每个地区分配一个IP地址，以解决IPv4网络地址即将耗尽的问题。 IPv6已经到来 从2016年6月1日开始，Apple要求提交给AppStore的所有应用程序都与仅IPv6标准兼容。可以预计到2018年底将有大量的互联网资源和互联网用户使用IPv6协议。这意味着如果互联网服务不能支持IPv6，它将失去大量的用户流量。 2017年底，中共中央办公厅和国务院办公厅发布《推进互联网协议第六版（IPv6）规模部署行动计划》，要求到2018年底活跃IPv6用户数达到2亿，前50名商用国内用户的网站和应用应支持IPv6。 IPv6已成为国家战略。 随着IPv6时代的到来，IPv6网络下的攻击开始出现。在2018年初，Neustar声称受到IPv6 DDoS的攻击，这是第一个公开披露的IPv6 DDoS攻击。诸如thc-ipv6和hping等IPv6 DDoS攻击工具也开始出现在互联网上。  2018年11月，淘宝和优酷的双十一首次推出了IPv6。同时，阿里巴巴云盾在中国建立了第一个IPv6 DDoS防御系统，支持海量IP的二级监控和防御，并为淘宝和优酷云服务提供IPv4 + IPv6双栈DDoS自动保护。在双11期间，双栈防御系统拦截了超过5,000次DDoS攻击，最大攻击流量达到397 Gpbs。  在IPv6时代，网络安全面临着新的挑战 虽然IPv4下的防御系统非常成熟，但系统不能直接用于IPv6保护，需要全链路重配置来支持IPv6。从流量监控，调度，清理和黑洞，您需要适应IPv6的新网络环境。此外，由于IPv6协议的新功能，黑客可能会将其用于DDoS或DoS攻击： 黑客可能会使用IPv6的新NextHeader功能来发起DoS攻击，例如Type0路由头漏洞。通过精心设计的数据包，可以在两个易受攻击的服务器之间“弹回”消息。道路的带宽已经耗尽，也可以绕过源地址限制，以便合法IP反弹消息; IPv6增加了NS/NA/RS/RA，可用于DoS或DDoS攻击; IPv6支持无状态自动配置，子网下可能有大量可用的IP地址。攻击者可以方便地发起随机源DDoS攻击。 IPv6采用端到端的分片重组机制。如果服务器存在漏洞，则可能会因碎片包DoS攻击而小心伪造。 与此同时，IPv6下的攻防局势也产生了新的变化。 IPv6提供大量地址，并且IDC可以应用于非常大的可用地址块，这是源IP频率和速度限制类型的防御算法的噩梦。特别是应用层DDoS：HTTP Flood，刷票，爬虫将变得更加难以防御。此外，随着越来越多的智能设备（如自动驾驶汽车，物联网设备和移动终端）进入网络，这些设备可能成为在入侵后启动DDoS的僵尸网络，从而生成大量攻击数据包。 DDoS攻击通常用于商业利益。根据阿里巴巴云《2018上半年网络安全报告》，游戏，移动应用和电子商务等竞争领域是DDoS攻击的焦点。随着企业业务切入IPv6协议，IPv6下的DDoS攻击会在一段时间内非常有效，因为许多企业都没有为IPv6 DDoS防御做好准备，攻击者可以轻松到达攻击目标。此时，IPv6下的DDoS攻击将逐渐普及，成为众多企业的致命弱点。 阿里云IPv6DDoS防御最佳实践 需要针对挑战和变化解决的问题： 1.需要修改甚至重建网络和DDoS防御系统以支持IPv6。 首先，虽然IPv4网络非常成熟，但对于IPv6网络，大多数现有的企业网络和服务器网络需要被替换和重新开发，以支持IPv6网络和IPv6网络下的安全保护。 有些企业希望运营商能够提供平稳的过渡解决方案，但运营商只会升级和升级运营商网络的边界。如果企业需要支持IPv6，他们需要自己升级和升级。 2. IPv6地址总数是IPv4的96次方。系统需要更强大的处理性能来支持大规模的IP安全防御。 3.对于大流量DDoS，有必要建立运营商级IPv6黑洞能力。 4.防御算法和防御模式都需要适应IPv6的新挑战。 5.当服务切换到IPv6时，需要具有IPv6网络下的安全保护功能。 如何实现阿里云： 1.重配置系统支持IPv4 + IPv6双栈DDoS自动保护 a） 交通监控和预警系统 流量监控和预警系统需要支持IPv6和IPv4，并检测双栈流量。为了检测IPv6海量IP地址，阿里云DDoS系统采用分布式聚类方式将流量分配到集群，实现协同计算和多种流量。指标计数，第二级监控流量异常。 b） 调度系统 升级调度系统，支持双栈，自动确定IP类型，并启动相应的防御模式和清理算法。 c） 清洁系统 重新设计用于部署牵引，再注入，清洁系统以及开发IPv6的清洁算法 2.载波级黑洞能力 无论是IPv4还是IPv6，当IP攻击流量特别大时，整个带宽都会拥塞。无论IDC机房和云服务提供商如何，一个IP受到攻击并且所有服务都不可用是一场灾难。特别是，IPv6网络带宽相对于IPv4仍处于建设的早期阶段，并且攻击拥塞的风险更大。 阿里云和主要的ISP可以建立IPv6黑洞协作功能，以降低运营商IPv6骨干网的流量，并提供安全的云环境。 3.保护模式升级 a）前缀级别的防御算法： 虽然IDC可以申请大量IP地址，但这些IP地址没有太多IP地址块。即使攻击者可以切换大量IP地址，同一计算机房中的肉鸡IP也很难处于网段级别。通过IP地址网段进行离散，统计和分析，可以有效降低IPv6群发地址的影响。 b）协同防御： 在传统的IDC和独立安全设备上，IP异常度量可能非常低。很难分析它是攻击还是正常访问。很难确定IP是NAT还是校园出口。结合大规模的IPv6 IP，攻击者可以进一步降低被识别的可能性。但是对于攻击者的成本和效率，IP不能只攻击一个目标。例如，在XDoS服务器A之后，IP X.X.X.X可能会转到CC攻击服务器B.在阿里云上，由于规模效应，同时保护了大量IP，并且所有清理数据都在线分析。知识产权的行为特征具有上帝的观点，攻击者变得非常明显，并且所有租户的防御都可以一起工作，威胁情报可以共享。 c）深度智能防御： 对于应用层的DDoS攻击，如果一个网站可以承受1W qps，基于频率和速率限制的模式将变得越来越难以防御。在IPv6下，攻击者可以以非常低的价格获得1W IP。每个IP每秒发起一次请求，网站将不堪重负。因此，在IPv6应用层下DDoS攻击防御，更先进的人机识别技术，人机对抗技术将成为主流。目前，阿里云已在Web应用防火墙上应用了各种人机对策技术。 安全建议 对于普通的互联网服务提供商，重新配置和升级系统以支持IPv6需要很多成本。建议使用云服务快速构建基于IPv6的服务。目前，阿里云拥有多种支持IPv6的产品，同时以SaaS的形式提供IPv6 DDoS保护，帮助企业在一秒钟内建立更高水平的防御能力。 有关护送双十一云安全产品的更多信息： 高防御IP（国际） 阿里云DDoS已经建成6个全球Anycast清洁中心，并向全世界出口阿里巴巴云DDoS高防御技术。 Double 11为阿里的海外经济中的Lazada和云客户提供全球保护，并通过Anycast技术在全球范围内提供全球保护。清洁中心连接形成一个大型网络，以配合并提��Tbps清洁能力。 Web应用防火墙： 在双十一期间，Web应用程序防火墙检测到20亿+请求阿里巴巴云的官方网站和大型用户，并截获了2000万+网络入侵攻击和2亿+ CC \爬虫攻击。