我们都知道现行版本的IP协议是IPv4协议，但由于最开始设计的时候没有考虑到互联网发展如此迅速，导致网络IP地址即将枯竭不够用了，于是推出IPv6协议用于代替IPv4协议，IPv6协议号称可以为全世界的每一粒沙子分配一个IP地址，完全不用再担心网络IP地址不够用了。从去年年底，国家也在大力推进IPv6协议，但随着IPv6时代的到来，IPv6网络下的攻击也开始出现。就在今年年初，Neustar宣称受到了IPv6DDoS攻击，这是首个对外公开的IPv6 DDoS攻击事件。

由于IPv4协议已经历十多年的发展，在IPv4下的防御系统已经非常成熟，但并不能直接用于IPv6协议的防护，需要全链路重构支持IPv6。IPv6协议的某一些新特性有可能被不法分子利用发起DDoS攻击：

1、IPv6新增NS/NA/RS/RA，可能会被用于DoS或DDoS攻击；

2、IPv6的NextHeader新特性可能被黑客用于发起DoS攻击，比如Type0路由头漏洞，通过精心制造的数据包，可以让一个报文在两台有漏洞的服务器之间“弹来弹去”，让链路带宽耗尽，也可以绕过源地址限制，让合法的IP反弹报文；

3、IPv6支持无状态自动配置，同时子网下可能存在非常多可使用的IP地址，攻击者可以便利的发起随机源DDoS攻击；

4、IPv6采用端到端的分片重组机制，如果服务器存在漏洞，可能会被精心伪造的分片包DoS攻击。

---

而且由于IPv6协议可以提供海量的网络IP地址，一个IDC就可能申请到非常大的可用地址块，这对IPv4协议下的传统防御算法简直就是噩梦，而且这几年智能物联网设备的大量增加且安全性不高，导致攻击者可以轻松获得海量僵尸网络，用来发起ddos攻击。

面对即将到来的IPv6协议，企业如何做好DDOS防御？

1、虽然IPv4网络已经非常成熟，但到了IPv6网络，现有的很多企业网络、服务器网络的大部分都需要更换设备和重新开发系统，才能支持IPv6网络以及IPv6网络下的安全防护；

2、由于IPv6的网络IP地址是IPv4网络IP地址的2的96次方倍，系统需要更强大的处理性能才能支持海量的IP的安全防御。

3、以前的传统DDOS防御算法和防御模式都应该做好升级的准备，适应IPv6的各种新特性和新挑战。