为什么在IPv6的周围会围绕着这么多的原罪?这里就有一个典型的例子,上星期,一位同事发了一封邮件,映入眼帘的就是:IPv6让创建垃圾邮件过滤策略成为噩梦。
黑名单技术过时?
在浏览过其它信息后,我发现大家似乎都同意:“新的IPv6协议会让垃圾邮件过滤工作变得更加复杂”以及“IPv6会让黑名单技术变得过时?”的观点,这真是一条爆炸性的新闻。真相就是IPv6拥有的可用地址空间过于巨大,我估计可能导致黑名单技术无法有效工作。
我不得不选择投入这一浪潮中。我马上行动起来,向认识的专家们发送了询问邮件,请他们对这一观点进行分析:
由于IPv6拥有的地址空间非常巨大,所以将会导致黑名单技术变得过时了?
阿努普·戈什(Invincea):对于垃圾邮件发送者和恶意站点来说,包含大量网络地址的IPv6空间确实提供了更多可以存放的位置。但是,现有的黑名单技术已知的垃圾邮件发送者和恶意站点不会受到影响。黑名单技术的实际效果与网络地址空间的大小没有直接关系。
在被确认属于恶意网站时,相关网络IP地址就会被加入到黑名单中。只有在域名被加入到黑名单中,而对应的网络IP地址又已经改变,才会出现问题。
乔治·毛内(NoScript):从理论上来看,黑名单技术一直是安全保护领域中最弱小的环节。更多的地址空间只是让这一问题的固有缺陷变得愈发明显。但这算不上新闻。举例来说,在这篇古老的社论中防火墙之父马克·拉努姆就进行过说明。
在目前,我认为利用统计学方法来识别垃圾电子邮件,举例来说,贝叶斯过滤器,才是唯一真正可行的解决方案。
乔·克莱因(IPv6安全研究员):对于IPv6协议来说,在很早以前与垃圾邮件列表相关的问题就获得了解决。在IPv4下,目前很多非IPv6模式的黑名单服务商的做法是直接阻止一个单独的网络IP地址。而在IPv6网络中,每一位家庭用户都可以获得一个单独的/64地址;在地址中的前64位描述了用户所在的特定网络,而后面的部分就是用户使用的本地网络。对于黑名单来说,所有要做的事情就是阻止网络或者地址中的前64位。
在我举办的IPv6黑客论坛中,这一信息已经被讲述了超过一年的时间。
约翰尼斯·乌尔里克(美国系统网络安全协会互联网风暴中心):在部署IPv6的时间,黑名单问题也需要被考虑到。在IPv4中,大部分黑名单技术都是采用了阻止单个网络IP地址的方式。在IPv6中,这样的做法没有什么实际效果。
在IPv6中,地址被分为两部分:第一部分也就是前半段描述的是所在子网的情况。第二部分也就是后半段记录的是子网中单独主机(接口)的情况。使用者可以选择子网内的任意地址,而某些操作系统在重新启动时为了保证隐私安全,会随机选择对应的接口身份标识。
这里的“第二部分”长度为64位,可以容许出现40亿种组合(整个IPv4互联网地址才有32位长或者说40亿的地址数量)。
因此,我认为黑名单技术将需要选择阻止子网。这样的话,不论垃圾邮件发送者怎么变换使用的网络IP地址,也逃不出黑名单的掌心。对于IPv6来说,幸运的是可以控制子网规模(/64类属于规模最小的,而通常会分配给公司机构使用的是/42类)。这可能会带来一些附带伤害,但也许是让黑名单技术继续发挥作用的唯一解决方案。
另一方面来看:在IPv4网络中,黑名单技术的真正作用也不大。也许最终我们将会觉得清除垃圾邮件发送者比使用黑名单更容易实现。
卡梅伦·施毛赫(EdgeWave):在我看来,在几年前黑名单和白名单技术就已经过时了。之所以说它们没有什么效果,是因为与垃圾邮件发送者进行枪打出头鸟模式的战斗是非常困难的;并且列表还经常会出现误报(FP)的情况,实在是没有什么值得继续利用的理由。
红色神鹰开发的EdgeWave并没有采用来自第三方的黑名单或者其它任何补充信息。我们就是部署了可以找出由垃圾邮件发送者使用的网络IP地址的技术。对网络IP地址进行阻止的效果非常好,效率也很高,但如果降低误报率是首要任务的话,它就不属于关键技术了。
在我们的记录中(可以追溯到五年前),大约22%%的分类信息是与网络IP地址规则匹配的(不一定是唯一来源)。但在过去的一年里,这一数字已经下降到6%。使用率下降得如此之大的主要原因是垃圾邮件发送者已经变得善于盗用他人的资源和声誉,可以利用这种更有效的办法来完成他们的肮脏工作。
如果普通邮件也使用这些路径的话,就不可能阻止伪装在其中的垃圾邮件。因为,在很多情况下。仅仅依靠单一参数不可能获得足够的信息;所以,为了确保作出的判定更加有效,就必须使用更先进的技术。
卡斯勒:由于垃圾邮件和恶意软件过滤属于EdgeWave业务的重要组成部分,我决定向卡梅伦多问几个问题。
我们现在是否需要担心这一问题?
简短的答复:我个人是不担心这一问题。我们公司已经基本放弃了类似的名单技术。看起来担忧中的很大一部分似乎针对的是新地址空间的极限规模。不过,从我看到的针对这一问题的报道感觉,很多人心照不宣地认为垃圾邮件发送者会以某种方式在地址空间内随机进出的。
当然,证明这一过程的实际极限比确认垃圾邮件发送者对信息进行分发的过程还困难。如同其它的所有事情一样,垃圾邮件发送者也遵循阻力最小原则。
并且,这也不是什么新把戏。各种各样的垃圾邮件发送者对于地址空间的使用已经驾轻就熟了,他们不仅会降低发送频率,并且会采用我称之为“网络IP地址轮换”的技术来防止同一地址的频繁使用,从而消除很容易变成黑名单关注对象之类情况的出现。
对于垃圾邮件来说,最有效的处理方法不是关注它的实际来源,而是针对其短时间内的高频率进行控制。
另一件事情就是IPv6的部署将要持续很多年。从“先阻止再提问”的邮件管理员那里,我没有看到在迁移到IPv6连接时出现过什么问题。这可能和目前已经投入使用的IPv6连接对于未知资源有力的管理方式,或者只有获得认可才容许连接的情况有关。
对于早期应用来说,这是我可以想到的最佳解决方案。在提供的解决方案中,我们相信可以安全可靠地过滤到不需要的电子邮件而不带来附带损害的最佳做法就是采用包括多层防御、行为分析、多尺度系统以及人机操纵环的实时分析在内的整体处理模式。仅仅使用网络IP地址黑名单作为主要过滤解决方案已经属于过时的情况了。
你认为在IPv6部署中还会出现什么问题?
我个人认为,在部署过程中域名系统、路由和不同种类的安全系统将有可能出现一些问题。但这些问题都是意料之中的。
我觉得,更有趣的影响可能将会是所有一切都开始在线。这么大的地址空间加上嵌入式计算的普及以及带宽价格的持续降低将是整个过渡进程中更为有趣的部分。
最后的思考
好了,文章结束的地方和我预想的不一样。看来IPv6的黑名单话题仅仅是一场炒作。更加确切的说法就是,它已经过时了。我的专家朋友又一次击破了谣言。
分享到:
相关推荐
### IPv4/IPv6过渡技术详解 随着网络体系结构的演变和宽带技术的快速发展,下一代网络(NGN)成为不可避免的趋势。下一代网络旨在提供更广泛的业务范围,支持实时多媒体服务、移动性,缩短服务推向市场的时间,并且...
隧道技术是将IPv6的数据包封装在IPv4包内进行传输,使IPv6流量能在IPv4网络中路由。常见的隧道技术包括6to4、ISATAP和GRE(通用路由封装)隧道。6to4利用公网的IPv4地址创建临时的IPv6隧道,ISATAP用于内部网络,而...
# 为什么需要IPv6????地址资源不足 ????IPv4技术不能够与时俱进????IPv6相对于IPv4的改进????IPv6的改进# IPv6地址类型 ????单播地址 ????组播地址 ????任播地址# 过渡技术 ????IPv6不可能立刻替代IPv4,因此在相当...
3. IPv6 over MPLS:通过MPLS(多协议标签交换)技术来部署IPv6,可以有效管理和优化IPv6流量,提高网络效率。 4. 移动网络的IPv6策略:针对移动C网,可能需要制定特定的IPv6引入策略,如在移动终端和基站上支持IPv6...
在IT领域,IPv6是互联网协议的最新版本,旨在解决IPv4地址耗尽的问题,并提供更高效、安全的网络通信。...对于Windows用户来说,配置和测试这些服务是一项必要的技术任务,以确保邮件服务的稳定性和高效性。
该客户端是支持ipv6与ipv6的邮件客户端,可以根据需要进行相应的设置。
### IPv6环境下可信任电子邮件系统的设计与实现 #### 一、引言 随着互联网的快速发展,电子邮件成为人们日常生活...未来,随着IPv6的普及和技术的进步,可信任电子邮件系统将在保障信息安全方面发挥更加重要的作用。
IPv6最大的应用亮点在于海量地址、无状态自动配置和移动IPv6的特性,因此IPv6的应用主要有以下几方面: 视频监控 IPv6带来地址的极大丰富,大量部署网络摄像头成为可能,且可方便地进行管理和控制。通过对IPv6...
IPv6和NDP(邻居发现协议)过渡技术是为了解决IPv4地址枯竭的问题而引入的。IPv4地址空间的局限性在于其地址数量有限,约为42亿,且在早期分配时并未遵循连续性子网的原则,导致全球公网路由汇总后的数量仍然庞大,...
《H3C认证IPv6技术高级工程师(H3CSE-IPv6)》是华三通信技术有限公司(简称H3C)推出的一本针对IPv6技术的权威教材,旨在培养具备高级IPv6网络技术能力的专业人才。该教材是参加H3CSE-IPv6认证考试的必备参考资料,...
IPv4与IPv6业务-IPv6基础技术介绍.pdf
IPv6在技术特性上与IPv4有显著区别,它提供了几乎无限的地址空间,改进了包头格式,增强了安全性,并引入了新的功能,如移动性和服务质量(QoS)控制。 1. **IPv6基础协议**: IPv6的基础协议主要涉及地址结构、...
9. **过渡技术**:为了平滑过渡到IPv6,存在多种技术,如双栈(Dual Stack)、隧道技术(Tunneling)、翻译技术(Translation)等,帮助IPv4和IPv6网络共存并逐步替换。 10. **应用兼容性**:尽管IPv6提供了海量...
提供的压缩文件“IPV6-过渡技术(双栈技术)”很可能包含详细的配置示例、拓扑图和命令指南,这些对于理解和实施华为路由器的IPv6双栈技术至关重要。通过解压并详细阅读这些资料,用户能够深入理解如何在实际网络...
1. 双栈技术是最早被提出并使用的过渡技术之一,它允许节点同时支持IPv4和IPv6两种协议栈,使节点能够在相同的网络层面上同时处理IPv4和IPv6的数据包。双栈技术的网络设备需要安装两套完整的协议栈,一套用于IPv4,...
第二部分详细说明IPv6的基本特征和高级特征,然后解释使用Cisco IOS软件技术进行设计、应用、配置和路由IPv6网络。第三部分讲述主要的整合和共存机制,并描述使用不同的策略,在当前的IPv4基础设施上整合IPv6。这...
ipv6 技术基础 ipv6格式 ipv6过渡技术 ipv6路由技术 ipv6域名系统
IPv6 之 ISATAP 隧道技术详解 IPv6 之 ISATAP 隧道技术详解是 IPv6 过渡机制之一,旨在帮助 IPv4 网络逐步迁移到 IPv6 网络。ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)是一种非常容易部署和使用...