IPv6 能带来什么样的改变，地址数量、精确定位、安全?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

There is no place like ::1

这是一个创建于 2571 天前的主题，其中的信息可能已经有所发展或是发生改变。

1、解决 IP 地址“不够”问题？

2、精确定位，某一时刻 IP 和设备一对一绑定？

3、设备直接暴露在公网带的安全问题？

其实我更担心的是设备安全问题，以前手机处于移动网络之下，基本上无需担心外界的网络攻击，而现在，手机获取 IPv6 地址之后，攻击者极有可能直接发起点对点的攻击。

家用设备也是类似的情况，以前有大内网保护，或者至少有路由器 NAT 保护，现在直接暴露在公网，哪些老旧的系统，极有可能被入侵（不要说没有攻击价值，大部分都是批量扫描的）

有人可能会说，ipv6 地址太多，无法全网扫描，但理论上来说，这种情况通过技术也是可以解决的，哪怕在未来。

IPv6

地址

设备

攻击

22 条回复 2018-12-05 23:13:54 +08:00

yexm0

2018-12-03 11:55:34 +08:00 via Android

外国搞 ipv6 那么久也没见有出新闻说不安全

goodryb

2018-12-03 11:57:36 +08:00

@yexm0 #1 ipv6 上，似乎国内进度不比国际慢吧，为什么会有这样的错觉？

nolo

2018-12-03 11:58:20 +08:00 via Android

这个问题的本质是设备安全，与上不上 ipv6 无关。

labnotok

2018-12-03 11:58:35 +08:00 via Android

大内网怎么就成保护了呢？
真想黑你 NAT 算什么？

wannacry 才多久就忘了？
缺乏基本安全措施地以为自己安全才是最大的问题

说 v6 不安全，
这种论调就仿佛说 NAT 是为你好、GFW 是为你好似的，

斯德哥尔摩？

yexm0

2018-12-03 12:05:18 +08:00 via Android

@goodryb 不看看人家美国 t-mobile 都搞纯 v6 网多少年了，有新闻说 v6 不好的吗？
另外中国教育网 ipv6 那么久了你看有出过什么事不？
你真当国家的教授个个都 SB 不先去"参考国外经验"就无脑下命令强推 v6?

steveshi

2018-12-03 12:05:52 +08:00 via iPhone

NAT 现在居然成了保护…… 666

yidinghe

2018-12-03 12:10:34 +08:00

最大的改变就是为物联网打下基础。

goodryb

2018-12-03 12:14:34 +08:00

@nolo #3
@steveshi #6

似乎看问题都有点绝对呀，NAT 不算保护？对于最常见肉鸡扫描，如果家庭宽带是分配的内网，至少从网络层面能防止很大一部分攻击

@labnotok #4 我描述的场景是暴露在公网和不暴露在公网两种场景的对比，和 wannacry 这种系统层面的漏洞没关系，“ NAT 是为你好、GFW 是为你好似的” NAT 和 GFW 不是一类东西，不要扯淡

@yexm0 #5 麻烦分清楚国外和美国是不同的范围，教育网 IPV6 相对于全国来说，仍然是小范围。

zhouyut001

2018-12-03 12:16:46 +08:00

怎么这群人都比专家教授厉害？难道哪些老教授都是白痴？

ho121

2018-12-03 12:18:25 +08:00 via Android

ipv6 也不一定就暴露在公网

goodryb

2018-12-03 12:36:05 +08:00

@ho121 #10 恩，这个有了解过，ipv6 也有内网地址段，但就目前来看，移动端似乎给到的倒是公网地址，VPS 上可以 ping 通
@zhouyut001 #9 敌军还是友军？

lshero

2018-12-03 12:36:55 +08:00

暴露在公网下的 modem。利用弱口令获取用户名密码，在互联星空盗刷 QB 的漏洞才过去 15 年不到。现在的人居然都忘得干干净净了

@goodryb
设备暴露在公网上的问题主要还是看路由器和防火墙的默认策略，但是很多人通常习惯关闭防火墙。
目前情况看一些公司上堡垒机，审计系统，各种 VPN 隔离基本是为了给懒得设置防火墙策略的行为擦屁股
好在 IPV6 地址足够多，扫描起来成本也挺大的。

12101111

2018-12-03 12:47:24 +08:00 via Android

保护联网设备的永远是防火墙而不是 NAT，没有 NAT 尤其是双重 NAT，很多使用 UDP 或者 p2p 的程序就能很好的使用了。想要隐私请用 Tor，IPv4+NAT 也不能确保隐私

xenme

2018-12-03 13:02:04 +08:00 via iPhone

楼主也没提到 NAT 设计用途是保护。
但 NAT 的隔离，至少减少了攻击面，是有保护作用的毋庸置疑。

就像很多人提到防火墙、堡垒机、设置物理网闸等等，隔离对于安全是有意义的。

goodryb

2018-12-03 13:21:19 +08:00

@lshero #12 的确是这样
@12101111 #13 NAT 的确给一些应用带来了不便。家庭用户估计懂得利用防火墙的比较少了。
@xenme #14 是这个意思

autulin

2018-12-03 17:12:50 +08:00 via iPhone

楼主觉得防火墙是干嘛的，就算“局域网”都是 ipv6 公网地址，在这个“局域网”出口用防火墙档外网请求不是简简单单，nat 只是地址转换间接起到了阻挡的作用

Shura

2018-12-03 17:23:56 +08:00

楼主你知道有种叫做“防火墙”的东西吗？如果你没有自己折腾的话，现在流行的操作系统默认都是开启防火墙的。

goodryb

2018-12-04 09:27:50 +08:00

@autulin #16
@Shura #17
我知道，但是有多少人不知道

另外发这个帖子也是讨论以下，各抒己见，这个反问句让我很不舒服

eamo

2018-12-05 22:26:28 +08:00

ipv6 的那么多位地址以及地址分配模式都有很多的学问。

cwbsw

2018-12-05 22:36:34 +08:00

一堆人在那问为什么我有了 IPV6 但从外面还是 ping 不通连不上……因为被默认开启的防火墙拦下了。

真正的小白用户普通用户真不用你操心，他们通常都会得到很好的保护。而至于那些半懂不懂的半桶水，比如坚持 XP 一万年不动摇，千方百计拒绝安全更新、拒不升级系统，各种姿势关闭 defender 的，恕我直言，这帮人就欠被勒索病毒教育。

cwbsw

2018-12-05 22:42:38 +08:00

不知道楼主有没有子女，对他们来说什么才是安全？

真正的安全应该是培养教育他们处理问题应付危机的能力，而不是万事都由自己代劳。

goodryb

2018-12-05 23:13:54 +08:00

@cwbsw #21 和子女没啥关系，别扯远了，就事论事