早在多年前，IPv6就在日本普及了，今年通過IPv6日的活動，更加促進了國內(nèi)對于IPv6應用的認識。然而，IPv6的安全性卻給人亦正亦邪的感覺。為什么在IPv6的周圍會圍繞著這么多的原罪?這里就有一個典型的例子，上星期，一位同事發(fā)了一封郵件，映入眼簾的就是：IPv6讓創(chuàng)建垃圾郵件過濾策略成為噩夢。

黑名單技術過時？

在瀏覽過其它信息后，我發(fā)現(xiàn)大家似乎都同意：“新的IPv6協(xié)議會讓垃圾郵件過濾工作變得更加復雜”以及“IPv6會讓黑名單技術變得過時?”的觀點，這真是一條爆炸性的新聞。真相就是IPv6擁有的可用地址空間過于巨大，我估計可能導致黑名單技術無法有效工作。

我不得不選擇投入這一浪潮中。我馬上行動起來，向認識的專家們發(fā)送了詢問郵件，請他們對這一觀點進行分析：

由于IPv6擁有的地址空間非常巨大，所以將會導致黑名單技術變得過時了?

阿努普·戈什(Invincea)：對于垃圾郵件發(fā)送者和惡意站點來說，包含大量網(wǎng)絡地址的IPv6空間確實提供了更多可以存放的位置。但是，現(xiàn)有的黑名單技術已知的垃圾郵件發(fā)送者和惡意站點不會受到影響。黑名單技術的實際效果與網(wǎng)絡地址空間的大小沒有直接關系。

在被確認屬于惡意網(wǎng)站時，相關網(wǎng)絡IP地址就會被加入到黑名單中。只有在域名被加入到黑名單中，而對應的網(wǎng)絡IP地址又已經(jīng)改變，才會出現(xiàn)問題。

喬治·毛內(nèi)(NoScript)：從理論上來看，黑名單技術一直是安全保護領域中最弱小的環(huán)節(jié)。更多的地址空間只是讓這一問題的固有缺陷變得愈發(fā)明顯。但這算不上新聞。舉例來說，在這篇古老的社論中防火墻之父馬克·拉努姆就進行過說明。

在目前，我認為利用統(tǒng)計學方法來識別垃圾電子郵件，舉例來說，貝葉斯過濾器，才是唯一真正可行的解決方案。

喬·克萊因(IPv6安全研究員)：對于IPv6協(xié)議來說，在很早以前與垃圾郵件列表相關的問題就獲得了解決。在IPv4下，目前很多非IPv6模式的黑名單服務商的做法是直接阻止一個單獨的網(wǎng)絡IP地址。而在IPv6網(wǎng)絡中，每一位家庭用戶都可以獲得一個單獨的/64地址;在地址中的前64位描述了用戶所在的特定網(wǎng)絡，而后面的部分就是用戶使用的本地網(wǎng)絡。對于黑名單來說，所有要做的事情就是阻止網(wǎng)絡或者地址中的前64位。

在我舉辦的IPv6黑客論壇中，這一信息已經(jīng)被講述了超過一年的時間。

約翰尼斯·烏爾里克(美國系統(tǒng)網(wǎng)絡安全協(xié)會互聯(lián)網(wǎng)風暴中心)：在部署IPv6的時間，黑名單問題也需要被考慮到。在IPv4中，大部分黑名單技術都是采用了阻止單個網(wǎng)絡IP地址的方式。在IPv6中，這樣的做法沒有什么實際效果。

在IPv6中，地址被分為兩部分：第一部分也就是前半段描述的是所在子網(wǎng)的情況。第二部分也就是后半段記錄的是子網(wǎng)中單獨主機(接口)的情況。使用者可以選擇子網(wǎng)內(nèi)的任意地址，而某些操作系統(tǒng)在重新啟動時為了保證隱私安全，會隨機選擇對應的接口身份標識。

這里的“第二部分”長度為64位，可以容許出現(xiàn)40億種組合(整個IPv4互聯(lián)網(wǎng)地址才有32位長或者說40億的地址數(shù)量)。

因此，我認為黑名單技術將需要選擇阻止子網(wǎng)。這樣的話，不論垃圾郵件發(fā)送者怎么變換使用的網(wǎng)絡IP地址，也逃不出黑名單的掌心。對于IPv6來說，幸運的是可以控制子網(wǎng)規(guī)模(/64類屬于規(guī)模最小的，而通常會分配給公司機構使用的是/42類)。這可能會帶來一些附帶傷害，但也許是讓黑名單技術繼續(xù)發(fā)揮作用的唯一解決方案。

另一方面來看：在IPv4網(wǎng)絡中，黑名單技術的真正作用也不大。也許最終我們將會覺得清除垃圾郵件發(fā)送者比使用黑名單更容易實現(xiàn)。

卡梅倫·施毛赫(EdgeWave)：在我看來，在幾年前黑名單和白名單技術就已經(jīng)過時了。之所以說它們沒有什么效果，是因為與垃圾郵件發(fā)送者進行槍打出頭鳥模式的戰(zhàn)斗是非常困難的;并且列表還經(jīng)常會出現(xiàn)誤報(FP)的情況，實在是沒有什么值得繼續(xù)利用的理由。

紅色神鷹開發(fā)的EdgeWave并沒有采用來自第三方的黑名單或者其它任何補充信息。我們就是部署了可以找出由垃圾郵件發(fā)送者使用的網(wǎng)絡IP地址的技術。對網(wǎng)絡IP地址進行阻止的效果非常好，效率也很高，但如果降低誤報率是首要任務的話，它就不屬于關鍵技術了。

在我們的記錄中(可以追溯到五年前)，大約22%%的分類信息是與網(wǎng)絡IP地址規(guī)則匹配的(不一定是唯一來源)。但在過去的一年里，這一數(shù)字已經(jīng)下降到6%。使用率下降得如此之大的主要原因是垃圾郵件發(fā)送者已經(jīng)變得善于盜用他人的資源和聲譽，可以利用這種更有效的辦法來完成他們的骯臟工作。

如果普通郵件也使用這些路徑的話，就不可能阻止偽裝在其中的垃圾郵件。因為，在很多情況下。僅僅依靠單一參數(shù)不可能獲得足夠的信息;所以，為了確保作出的判定更加有效，就必須使用更先進的技術。

卡斯勒：由于垃圾郵件和惡意軟件過濾屬于EdgeWave業(yè)務的重要組成部分，我決定向卡梅倫多問幾個問題。

我們現(xiàn)在是否需要擔心這一問題?

簡短的答復：我個人是不擔心這一問題。我們公司已經(jīng)基本放棄了類似的名單技術。看起來擔憂中的很大一部分似乎針對的是新地址空間的極限規(guī)模。不過，從我看到的針對這一問題的報道感覺，很多人心照不宣地認為垃圾郵件發(fā)送者會以某種方式在地址空間內(nèi)隨機進出的。

當然，證明這一過程的實際極限比確認垃圾郵件發(fā)送者對信息進行分發(fā)的過程還困難。如同其它的所有事情一樣，垃圾郵件發(fā)送者也遵循阻力最小原則。

并且，這也不是什么新把戲。各種各樣的垃圾郵件發(fā)送者對于地址空間的使用已經(jīng)駕輕就熟了，他們不僅會降低發(fā)送頻率，并且會采用我稱之為“網(wǎng)絡IP地址輪換”的技術來防止同一地址的頻繁使用，從而消除很容易變成黑名單關注對象之類情況的出現(xiàn)。

對于垃圾郵件來說，最有效的處理方法不是關注它的實際來源，而是針對其短時間內(nèi)的高頻率進行控制。

另一件事情就是IPv6的部署將要持續(xù)很多年。從“先阻止再提問”的郵件管理員那里，我沒有看到在遷移到IPv6連接時出現(xiàn)過什么問題。這可能和目前已經(jīng)投入使用的IPv6連接對于未知資源有力的管理方式，或者只有獲得認可才容許連接的情況有關。

對于早期應用來說，這是我可以想到的最佳解決方案。在提供的解決方案中，我們相信可以安全可靠地過濾到不需要的電子郵件而不帶來附帶損害的最佳做法就是采用包括多層防御、行為分析、多尺度系統(tǒng)以及人機操縱環(huán)的實時分析在內(nèi)的整體處理模式。僅僅使用網(wǎng)絡IP地址黑名單作為主要過濾解決方案已經(jīng)屬于過時的情況了。

你認為在IPv6部署中還會出現(xiàn)什么問題?

我個人認為，在部署過程中域名系統(tǒng)、路由和不同種類的安全系統(tǒng)將有可能出現(xiàn)一些問題。但這些問題都是意料之中的。

我覺得，更有趣的影響可能將會是所有一切都開始在線。這么大的地址空間加上嵌入式計算的普及以及帶寬價格的持續(xù)降低將是整個過渡進程中更為有趣的部分。

最后的思考

好了，文章結束的地方和我預想的不一樣。看來IPv6的黑名單話題僅僅是一場炒作。更加確切的說法就是，它已經(jīng)過時了。我的專家朋友又一次擊破了謠言。