[正文内容]

IPv4 正在不堪重负

Abstract, futuristic cyberspace with a hacked array of binary data

对于所有没有剩余 IPv4 地址可分配给客户的互联网接入提供商来说,CGNAT 是一份天赐之礼。 但同时,它对警察部门和安全工具来说是一个严重的阻碍。 曾经可以假设一个 IP 地址与单个客户相关联,但现在它可以与数千个客户相关联。 因此,许多基于 IP 的技术和方法不再正常工作。

CGNAT

近年来,主要的接入提供商已经大规模地转向运营商级 NAT (CGNATLink opens in new tab)。 在 CGNAT 中,多个 NAT 层叠加在一起,以便让大量用户可以通过少量的公共 IPv4 地址访问互联网。 CGNAT 的技术名称 – NAT444 – 暗示了该技术的工作方式:与传统的 NAT (NAT44) 一样,最终用户被分配了一个来自 RFC 1918Link opens in new tab 中定义的私有系列的不可路由地址。 但是,虽然用户调制解调器的上行链路端曾经有一个“真实”的公共 IPv4 地址,但现在有一个由接入提供商运营的中间网络。 在 RFC 6598Link opens in new tab 中,IANA 发布了地址块 100.64.0.0/10 专门用于实现这一点。 该块可供所有接入提供商使用,因此专门用于本地路由。 中间网络不仅包括最终用户的路由器或 CPE(两侧都有私有地址),还包括 CPE 路由器通过其访问互联网本身的 CGNAT 网关。 尽管出于性能原因,各个地址空间之间地址转换的过程并非完全随机 – CGNAT 网关通常将静态外部端口系列分配给下级 NAT44 路由器 – 但 CGNAT 的出现使得外部人员更难以将特定的地址-端口组合(连接)链接到下级网络上的单个用户。 建立这样的链接需要提供商结合在两个不同的 NAT 层上进行的转换步骤。

安全问题

尽管 IPv4 现在已经不堪重负,但 CGNAT 的出现进一步推迟了旧系统的消亡。 这带来了显著的缺点。 除了通过使用户 无法从互联网访问 来限制应用程序(导致难以建立点对点连接 [1, 2])之外,CGNAT 还会带来安全问题。 原因在于,识别、过滤和配置传统上都是基于 IP 地址,而不是基于地址-端口组合。 一个实际的结果是,政府机构发现更难以识别特定 IPv4 地址背后的犯罪分子。 根据 EuropolLink opens in new tab 的说法,接入提供商不再能够履行其法律义务,提供与给定连接相关联的帐户持有者的详细信息。 因为在某些情况下,单个 IPv4 地址由数千个用户共享。 因此,该机构表示,调查通常涉及检查和窃听比实际需要更多的人的连接。

干扰

与 CGNAT 相关的安全问题的另一个例子来自游戏世界。 似乎狂热的游戏玩家有时甚至会 订购 DDoS 攻击来消灭对手。 然而,通过列入黑名单来解决此类做法的努力在新兴经济体(如巴西)受到挫败,因为 IPv4 地址极其稀缺,因为将单个地址列入黑名单可能会禁用 ISP 的整个网络。 类似的“解析问题”影响了黑名单/白名单和信誉管理系统的整个范围,因为几乎所有此类工具都使用 IP 地址作为主要标识符。 因此,单个用户或受感染设备(DDoS 攻击、垃圾邮件、扫描等)的恶意活动可能导致共享该个人 IP 地址的大量用户都被阻止。 相反,多个用户从同一共享 IP 地址访问在线服务可能会被误认为是攻击,从而促使反垃圾邮件/滥用系统拒绝所有访问。 最后,考虑 OpenDNS 过滤服务。 OpenDNS 仪表板允许您为您用于发送 DNS 查询的 IP 地址设置过滤器。 但是,如果您是共享 IPv4 地址的多个用户之一,则各种配置很容易相互干扰。 原因是 DNS 解析器无法区分共享该公共地址的用户。 因此,例如,您可能会在您的仪表板上看到其他用户的查询,并且您的活动可能会干扰他们的服务访问。

政府干预

显然,IPv4 现在已经接近尾声。 尽管有许多令人信服的 技术和经济原因 加速向 IPv6 的过渡,但我们预计最终将是安全考虑因素说服政府进行干预。 在欧盟,欧盟委员会的网络安全战略可能是一个重要因素。 在一份题为“韧性、威慑和防御:为欧盟建设强大的网络安全'”的文件中,委员会解释了欧盟如何希望促进 IPv6 的采用。 最终目标是每个 IP 地址对应一个用户,以方便警察和安全部门的调查活动。 委员会将使用采购政策、研究和项目资金以及盟约来实现其目标。 在荷兰,经济事务部目前正在寻找方法来激发该国 迟缓的 IPv6 迁移