“失控”的 IPv6：观察 IPv6 网络环境安全现状(3)

在发现类似的安全事件之后，404积极防御实验室的安全研究员结合自身丰富的一线业务安全经验，第一时间对这类漏洞产生的原因进行了分析。经研究，上述黑产团伙所利用的漏洞是一种IPv6代理服务器域名未验证漏洞。由于代理服务器未对被代理链接进行域名合法性验证，导致任意外域链接可通过代理服务器被成功访问。

为验证这一漏洞的存在，在IPv6环境下使用curl命令经由某个具有漏洞的代理请求自己搭建的站点，可以看到来自IPv6代理的响应中出现了站点首页的内容“ipv6 test”。

IPv6代理滥用POC

值得说明的是，这类漏洞与受害站点源站本身没有直接关系，而是由IPv6改造服务提供商直接造成的。

为了解决IPv6“天窗问题”，即在IPv6页面中请求内嵌IPv4外链时遇到的响应缓慢或无法访问的状况，服务提供商往往会架设IPv6代理网关对这些IPv4外链进行代理。如果代理网关在设计中忽视了域名验证这一关键环节，就会导致恶意滥用事件的发生。

从本质上讲，能够通过代理发起任意请求也可以看作一种特殊的服务端请求伪造漏洞（SSRF）。我们选取了一个有漏洞的IPv6代理服务进行验证：先在一个VPS上的80端口开启 HTTP Web服务，从浏览器里通过IPv6代理访问VPS的域名，可以看到，Web服务的访问日志中出现了一条来自该代理服务器IP地址 180.*.*.28的请求记录。

SSRF漏洞POC

尽管这一类漏洞的原理不是十分复杂，它的危害性还是较为严重的。如果政府部门或高等院校的网站域名指向了违法违禁的内容页面，甚至被利用进行相关内容的传播，会对单位网站的声誉造成不良影响。另一方面，代理服务器如果缺少访问限制，很可能会被大量的外来的请求耗尽带宽资源和计算资源，正常服务就会受到影响。更为严重的是，由于SSRF漏洞的存在，黑客可能会利用漏洞网关对外部站点发起网络攻击，利用代理本身的IP地址伪造自己的身份，让网站管理员无法溯源。

当前市面上的IPv6代理网关主要使用以下两种方式对被代理域名进行验证。

由网站管理员人工维护一个域名白名单。IPv6在进行代理服务之前会检查被代理域名是否处于当前的白名单中，对于不在名单内的域名，网关会返回403状态码禁止访问。

在代理链接中添加一段签名字符串。例如：“”，其中“ed93c2”就是将被代理域名“”和密钥拼接后一并进行哈希函数计算得到的哈希值（部分）。代理网关在收到请求后会首先重复这个哈希计算过程，如果计算后的得到签名与代理链接中提供的签名不一致，则会拒绝本次代理请求。由于外部人员不知道代理网关使用的密钥，也就无法通过伪造签名来伪造代理请求。

由IPv4向IPv6的升级过程中，新生的威胁一定会不可避免的涌现出来，而DDoS、CC、SQL注入、网站后门等在传统IPv4网络中屡见不鲜的恶意攻击手段也同样时刻威胁着IPv6的网络应用服务。

在网络安全领域，防护工作是一个具有“木桶效应”的命题，在线业务的安全可靠程度永远取决于木桶上最短的那一块木板。甲方单位在选取IPv6改造服务时，一定要考虑到相关服务的攻击防范能力，不仅要快速合规，也要防患于为然。