很多人都同意:“新的IPv6协议会让垃圾邮件过滤工作变得更加复杂”以及“IPv6会让黑名单技术变得过时?”的观点,这真是一条爆炸性的新闻。真相就是IPv6拥有的可用地址空间过于巨大,我估计可能导致黑名单技术无法有效工作。
我不得不选择投入这一浪潮中。我马上行动起来,向认识的专家们发送了询问邮件,请他们对这一观点进行分析:
由于IPv6拥有的地址空间非常巨大,将会导致黑名单技术过时了?
阿努普·戈什(Invincea):对于垃圾邮件发送者和恶意站点来说,包含大量网络地址的IPv6空间确实提供了更多可以存放的位置。但是,现有的黑名单技术已知的垃圾邮件发送者和恶意站点不会受到影响。黑名单技术的实际效果与网络地址空间的大小没有直接关系。
在被确认属于恶意网站时,相关网络IP地址就会被加入到黑名单中。只有在域名被加入到黑名单中,而对应的网络IP地址又已经改变,才会出现问题。
乔治·毛内(NoScript):从理论上来看,黑名单技术一直是安全保护领域中最弱的环节。更多的地址空间只是让这一问题的固有缺陷变得愈发明显。但这算不上新闻。举例来说,古老的社论中防火墙之父马克·拉努姆就进行过说明。
在目前,我认为利用统计学方法来识别垃圾电子邮件,比如,贝叶斯过滤器,才是唯一真正可行的解决方案。
乔·克莱因(IPv6安全研究员):对于IPv6协议来说,在很早以前与垃圾邮件列表相关的问题就解决了。在IPv4下,目前很多非IPv6模式的黑名单服务商的做法是直接阻止一个单独的网络IP地址。而在IPv6网络中,每一位家庭用户都可以获得一个单独的/64地址;在地址中的前64位描述了用户所在的特定网络,而后面的部分就是用户使用的本地网络。对于黑名单来说,所有要做的事情就是阻止网络或者地址中的前64位。
约翰尼斯·乌尔里克(美国系统网络安全协会互联网风暴中心):在部署IPv6的时间,黑名单问题也需要被考虑到。在IPv4中,大部分黑名单技术都是采用了阻止单个网络IP地址的方式。在IPv6中,这样的做法没有什么实际效果。
在IPv6中,地址被分为两部分:第一部分也就是前半段描述的是所在子网的情况。第二部分也就是后半段记录的是子网中单独主机(接口)的情况。使用者可以选择子网内的任意地址,而某些操作系统在重新启动时为了保证隐私安全,会随机选择对应的接口身份标识。
这里的“第二部分”长度为64位,可以容许出现40亿种组合(整个IPv4互联网地址才有32位长或者说40亿的地址数量)。
因此,我认为黑名单技术将需要选择阻止子网。这样的话,不论垃圾邮件发送者怎么变换使用的网络IP地址,也逃不出黑名单的掌心。对于IPv6来说,幸运的是可以控制子网规模(/64类属于规模最小的,而通常会分配给公司机构使用的是/42类)。这可能会带来一些附带伤害,但也许是让黑名单技术继续发挥作用的唯一解决方案。
另一方面来看:在IPv4网络中,黑名单技术的真正作用也不大。也许最终我们将会觉得清除垃圾邮件发送者比使用黑名单更容易实现。
卡梅伦·施毛赫(EdgeWave):在我看来,在几年前黑名单和白名单技术就已经过时了。之所以说它们没有什么效果,是因为与垃圾邮件发送者进行枪打出头鸟模式的战斗是非常困难的;并且列表还经常会出现误报(FP)的情况,实在是没有什么值得继续利用的理由。
红色神鹰开发的EdgeWave并没有采用来自第三方的黑名单或者其它任何补充信息。我们就是部署了可以找出由垃圾邮件发送者使用的网络IP地址的技术。对网络IP地址进行阻止的效果非常好,效率也很高,但如果降低误报率是首要任务的话,它就不属于关键技术了。
在我们的记录中(可以追溯到五年前),大约22%%的分类信息是与网络IP地址规则匹配的(不一定是唯一来源)。但在过去的一年里,这一数字已经下降到6%。使用率下降得如此之大的主要原因是垃圾邮件发送者已经变得善于盗用他人的资源和声誉,可以利用这种更有效的办法来完成他们的肮脏工作。
如果普通邮件也使用这些路径的话,就不可能阻止伪装在其中的垃圾邮件。因为,在很多情况下。仅仅依靠单一参数不可能获得足够的信息;所以,为了确保作出的判定更加有效,就必须使用更先进的技术。
卡斯勒:由于垃圾邮件和恶意软件过滤属于EdgeWave业务的重要组成部分,我决定向卡梅伦多问几个问题。
我们现在是否需要担心这一问题?
简短的答复:我个人是不担心这一问题。我们公司已经基本放弃了类似的名单技术。看起来担忧中的很大一部分似乎针对的是新地址空间的极限规模。不过,从我看到的针对这一问题的报道感觉,很多人心照不宣地认为垃圾邮件发送者会以某种方式在地址空间内随机进出的。
当然,证明这一过程的实际极限比确认垃圾邮件发送者对信息进行分发的过程还困难。如同其它的所有事情一样,垃圾邮件发送者也遵循阻力最小原则。
并且,这也不是什么新把戏。各种各样的垃圾邮件发送者对于地址空间的使用已经驾轻就熟了,他们不仅会降低发送频率,并且会采用我称之为“网络IP地址轮换”的技术来防止同一地址的频繁使用,从而消除很容易变成黑名单关注对象之类情况的出现。
对于垃圾邮件来说,最有效的处理方法不是关注它的实际来源,而是针对其短时间内的高频率进行控制。
另一件事情就是IPv6的部署将要持续很多年。从“先阻止再提问”的邮件管理员那里,我没有看到在迁移到IPv6连接时出现过什么问题。这可能和目前已经投入使用的IPv6连接对于未知资源有力的管理方式,或者只有获得认可才容许连接的情况有关。
对于早期应用来说,这是我可以想到的最佳解决方案。在提供的解决方案中,我们相信可以安全可靠地过滤到不需要的电子邮件而不带来附带损害的最佳做法就是采用包括多层防御、行为分析、多尺度系统以及人机操纵环的实时分析在内的整体处理模式。仅仅使用网络IP地址黑名单作为主要过滤解决方案已经属于过时的情况了。
你认为在IPv6部署中还会出现什么问题?
我个人认为,在部署过程中域名系统、路由和不同种类的安全系统将有可能出现一些问题。但这些问题都是意料之中的。
我觉得,更有趣的影响可能将会是所有一切都开始在线。这么大的地址空间加上嵌入式计算的普及以及带宽价格的持续降低将是整个过渡进程中更为有趣的部分。
最后的思考
好了,文章结束的地方和我预想的不一样。看来IPv6的黑名单话题仅仅是一场炒作。更加确切的说法就是,它已经过时了。我的专家朋友又一次击破了谣言。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
IP地址0.0.0.0能做什么?
IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……
-
无视IPv6连接?后果自负!
如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。
-
IPv6扩展报头:是好是坏?
IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。
-
如何避免IPv6“友邻发现”威胁?
IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。