|
5月12日清晨一个名叫WannaCry(想哭,最新中文名称“香菇”)的蠕虫病毒在全球互联网爆发,受害者遍及全球。病毒程序执行后,对用户计算机上的文档加密,向被害人勒索比特币赎金。 很快,这个红色图片火遍了互联网。 国内、国外的各家安全公司也纷纷发布了病毒分析报告。 思科的报告:http://mp.weixin.qq.com/s/0nHhSYPNIUJk2LT-badUCQ 各家安全公司的测试表明,此次Wannacry勒索病毒是由NSA泄漏的“永恒之蓝”黑客软件传播的。 “永恒之蓝”可远程攻击Windows的445端口(文件共享),如果Windows系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”侦查到互联网上的IP地址后,就能进入电脑里执行任意代码,植入勒索病毒等恶意程序。 朋友圈里面登了一张图,深入浅出、浅显易懂地做了WannaCry病毒入侵全过程的介绍。 最可怕的是,在局域网里面,只要病毒软件侵入了一台电脑,就会自动侦查局域网里面的所有电脑,如果发现445端口未关闭,就会自动连接,注入病毒程序。 由于国内以前曾多次出现过利用445端口传播的蠕虫病毒,所以部分运营商对家庭宽带用户封掉了445端口。但是专网用户则没有这么幸运。部分高校网络、公安网络、加油站网络、医院网络的计算机,不幸受到了WannaCry病毒感染,应用程序和文件被病毒软件加密,造成业务中断。 虽然有各种各样的分析,但是大家全都忽视了一点:病毒是在IPv4网络上传播的。 如果在纯IPv6网络上,WannaCry病毒会是怎样呢? 现在,让我们假设有一个纯IPv6-only网络,每台计算机只能分配到IPv6地址。(IPv6-only网络不能分配IPv4地址) 。 假设,这个IPv6-only网络里面有10000台计算机,网管工程师为DHCPv6配置了一个/64的IPv6地址池,对这10000台计算机采用 “平均间隔” 的方式分配IPv6地址。(也即每间隔一个固定的数量,分配一个IPv6地址,10000台计算机正好从头到尾把/64的IPv6地址池占满)。 假设,整个网络10000台计算机的455端口均未做防护,WannaCry病毒可以轻易注入并感染任何一台计算机。 假设,黑客只用了0.01秒钟,就在互联网上扫描到了第00001号计算机,成功注入WannaCry病毒完成感染。之后,病毒立即在00001号计算机运行,开始进行内网扫描,试图向内网的其它计算机注入病毒。 假设,00001号计算机的功能很强大,一秒钟可以扫描1000000个(一百万)真实的IPv6地址,只要侦查到00002号计算机,就能成功注入病毒。 故事的过程是这样的: 1秒钟,扫描了100万个IP地址。(1×10的6次方) 1分钟,扫描了6000万个IP地址。(6×10的7次方) 1小时,扫描了36亿个IP地址。(3.6×10的9次方) 1整天,扫描了864亿个IP地址。(8.64×10的10次方) 1整年,扫描了315360亿个IP地址(3.1536×10的15次方) ... 于是,经过了 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 漫长的... 58年7个月20天 被病毒感染的00001号计算机终于侦查到了00002号计算机的IPv6地址,并于0.01秒内瞬间完成了病毒注入,成功攻占了00002号计算机。 之后,00001号和00002号计算机开始协同侦查,寻找网内其它计算机,并成功地在29年3个月25天之后,发现了00003号计算机并注入病毒。 ...... 介绍一下IPv4地址和IPv6的地址: IPv4地址的格式是:X..X..X..X。 X的数值是0到255,所以IPv4地址就是从0.0.0.0到255.255.255.255。 每个X的长度是256位数,也就是2的8次方,所以计算一下,X..X..X..X格式的IPv4地址数量共有大约43亿个。 IPv6地址的格式是: XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX X的数值是:0123456789ABCDEF,共16个数,2的4次方。 一个XXXX段的地址,IP地址是从0000到FFFF,共有2的16次方,也就是65536个IP地址。 两个XXXX段的地址,IP地址是从0000:0000到FFFF:FFFF,共有2的32次方,也就是43亿个IP地址。 IPv6地址共有8个XXXX 地址段,或者4个XXXX:XXXX地址段,所以IPv6地址的数量共有: (43亿 x 43亿 x 43亿 x 43亿=3.4 x10的38次方)个真实的IP地址。 这就是差距。 那么,/64的IPv6地址段有多少个真实IP地址呢? 答案是:43亿 x 43亿 = 1.849 x 10的19次方个IP地址。 所以,假如00001号计算机每秒扫描100万个IP地址,一年可以扫描315360亿个IP地址(3.1536×10的15次方),那么扫描到00002号计算机的时间就在58年之后。 反过来看,全球IPv4地址只有43亿个,假如让00001号计算机以每秒扫描100万个真实IP地址的速度进行全球IP地址侦查,只需4300秒,也就是71.7分钟,即可把全球IPv4地址全部扫描一遍。 所以你现在可以理解了吧,为什么计算机病毒总是:轰一下全球爆发了,又轰一下全球爆发了,双叒叕TMD轰一下全球爆发了。 因此,从IPv6地址规模巨大的角度来说,纯IPv6网络比IPv4网络更安全。 假如,高校校园网、公安网络、加油站网络等等,是一个纯IPv6的网络,那么,黑客如果采用传统的IP地址侦查技术,扫描侦查在网计算机并注入病毒,那么他一定会从风华正茂,熬到白发苍苍,直到衰老而死。 再说一个数字: 2017年,美国的IPv6普及率已经达到21%。Comcast、AT&T两大运营商的IPv6部署率均已经超过40%。 大家猜猜中国的IPv6普及率是多少? ... ... ... 不足1%,大约 0.7%。 工业和信息化部在2016年12月18日发布了“工信部规[2016]424号文件”《信息通信行业发展规划(2016-2020年)》,里面明确指出国家在下一代互联网IPv6的建设发展计划:
这次WannaCry病毒爆发事件,既是一次危机,也是一次契机。它提醒我们,网络安全极其重要,网络攻击的威力,甚至远远大于恐怖袭击。 IPv4网络越来越不安全了。 中国网络是时候开始全面向IPv6网络升级了。 欢迎阅读以下【IPv6头跳】原创 【IPv6头跳】微软Xbox推荐用户使用IPv6获得最佳体验 【IPv6头跳】微软首席网络工程师:我们正在部署IPv6-only 打个广告:需要IPv6,找老赵。 |
|
|
来自: HAPPI0naire > 《IT》
