為應(yīng)對傳統(tǒng)SLAAC地址的保密性問題，IETF提出了RFC 4941“IPv6自動配置無狀態(tài)地址的保密性擴(kuò)展”;它通常稱為“臨時地址”。RFC 4941標(biāo)準(zhǔn)化的方案主要通過以下方式實(shí)現(xiàn)：

• 臨時地址是使用隨機(jī)IID不斷重復(fù)生成的IPv6地址。

• 這些臨時地址包含傳統(tǒng)的SLAAC地址。也就是說，實(shí)現(xiàn)RFC 4941的節(jié)點(diǎn)不僅包含臨時地址，也包含傳統(tǒng)(固定的)SLAAC地址。

• 臨時地址將用于外出連接，而傳統(tǒng)的SLAAC地址用于進(jìn)入連接。也就是說，只有當(dāng)需要地址不會時，才能使用傳統(tǒng)的SLAAC地址。

但是，臨時地址也有許多缺點(diǎn)。它們也無法避免地址掃描攻擊，它們并不能完全對抗主機(jī)跟蹤，而且通常會增加網(wǎng)絡(luò)操作復(fù)雜性。而且，在使用傳統(tǒng)SLAAS地址的時候會同時使用臨時地址(而不是替換)，所以臨時地址幾乎無法抵抗地址掃描攻擊。

對于主機(jī)跟蹤，臨時地址不能徹底解決這些問題。例如，假設(shè)有一個攻擊者知道受攻擊節(jié)點(diǎn)的傳統(tǒng)SLAAC地址所使用IID，那么這個攻擊者也就知道了所攻擊節(jié)點(diǎn)可能連接的目標(biāo)網(wǎng)絡(luò)。在這種情況下，攻擊者就可以利用網(wǎng)絡(luò)前綴和所攻擊節(jié)點(diǎn)使用的不變IID，主動讓受攻擊的節(jié)點(diǎn)連接各個目標(biāo)網(wǎng)絡(luò)。

這里的關(guān)鍵概念是，只要IID在網(wǎng)絡(luò)保持不變，攻擊者就可能利用它發(fā)起主機(jī)跟蹤攻擊。啟用臨時地址只能對抗被動主機(jī)跟蹤攻擊(例如，通過連接攻擊者所操控服務(wù)器的受攻擊節(jié)點(diǎn)發(fā)起的攻擊)。然而，主動主機(jī)跟蹤攻擊(攻擊者向目標(biāo)發(fā)送偵測數(shù)據(jù)包)仍然無法避免。

對抗主動主機(jī)跟蹤

SI6 Networks的IPv6工具套件scan6工具是一個專門用于發(fā)起主動IPv6主機(jī)跟蹤的IPv6地址掃描工具。它提供了許多選項，可以指定攻擊節(jié)點(diǎn)可能連接的網(wǎng)絡(luò)和所使用的固定接口ID。

例如，假設(shè)有一個攻擊者知道一個傳統(tǒng)SLAAC地址為a00:27ff:fe89:7878的節(jié)點(diǎn)IID，那么這個節(jié)點(diǎn)可能只能連接網(wǎng)絡(luò)2001:db8:1::/64和2001:db8:2::/64。這時，攻擊者就可以用scan6執(zhí)行以下命令：

# sudo scan6 -i eth0 -d 2001:db8:1::/64 -d 2001:db8:2::/64 -W a00:27ff:fe89:7878 -l -z 60 -t -v

這樣scan6就可以每隔60秒鐘攻擊IPv6地址2001:db8:1::a00:27ff:fe89:7878和 2001:db8:2::a00:27ff:fe89:7878。正如之前所提到的，即使目標(biāo)節(jié)點(diǎn)使用臨時地址，這種攻擊也可能生效，因?yàn)榕R時地址也包含傳統(tǒng)SLAAC地址。

scan6工具還可以從各個文件獲取目標(biāo)IID和目標(biāo)網(wǎng)絡(luò)前綴。例如，這個工具可以執(zhí)行以下命令：

# sudo scan6 -i eth0 -m PREFIXES-TXT -w IIDS.TXT -l -z 60 -t -v

在這種情況中，scan6工具將從文件PREFIXES.TXT獲取目標(biāo)IPv6前綴，從文件IIDS.TXT獲取目標(biāo)節(jié)點(diǎn)的IID。

可能的解決方法

顯然，臨時地址可以對抗關(guān)聯(lián)一個網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)活動，因?yàn)樗鼈儠屵h(yuǎn)程攻擊者很難將許多通信實(shí)例關(guān)聯(lián)到同一個節(jié)點(diǎn)。

完全消除主機(jī)跟蹤攻擊則要求禁止節(jié)點(diǎn)使用在多個網(wǎng)絡(luò)中保持不變的IID。有一篇IETF提案“一種通過IPv6無狀態(tài)自動配置(SLAAC)生成固定加強(qiáng)保密地址的方法”專門處理這個問題。它包括：

• 產(chǎn)生的IPv6地址將在網(wǎng)絡(luò)中保持不變(例如，在連接同一個網(wǎng)絡(luò)時，主機(jī)總能獲得相同的地址)，所以網(wǎng)絡(luò)操作不會受到負(fù)面影響。

• 當(dāng)主機(jī)從一個網(wǎng)絡(luò)切換到另一個網(wǎng)絡(luò)時，它的IPv6地址會發(fā)生變化(從而對抗主機(jī)跟蹤攻擊)。

這個標(biāo)準(zhǔn)預(yù)計將在今年年底完成。雖然有許多供應(yīng)商表示有意支持這種方法，但是這種方法仍然需要一定時間才能廣泛部署，解決IPv6尋址安全和保密問題。