什么是NDP攻击与IPv6扩展头风险？

当全球互联网从IPv4的拥挤街区向IPv6的广阔平原迁徙时，我们似乎都在为那海量的地址空间欢呼。然而，新的疆域往往也意味着新的、未被充分探索的风险。对那些负责网络安全的人来说，IPv6的部署远不止是换个地址那么简单，它更像是在重建一套全新的城市安防体系，而NDP攻击和扩展头滥用，就是这套新体系中两个亟待加固的薄弱环节。

邻居发现协议：IPv6的“社区公告栏”与它的信任危机

在IPv4世界，我们依赖ARP（地址解析协议）来把IP地址“翻译”成网卡地址。IPv6用NDP（邻居发现协议）取代了它。你可以把NDP想象成一个社区的数字公告栏：一台新设备接入网络，会发条消息（邻居请求）问“这个IP是谁的？”；拥有该IP的设备会回应“是我！”（邻居通告）。网络中的路由器也会通过“路由器通告”来告诉大家“我是网关，这是网络前缀”。

问题就出在这个机制过度依赖信任。NDP协议在设计时，默认网络内部是可信环境。于是，攻击者可以轻松伪造并发送大量的“邻居通告”或“路由器通告”消息。

• 伪造网关攻击：攻击者宣称自己才是“真正的”路由器，把整个网段的流量都引向自己的设备，从而进行监听或篡改。
• 地址欺骗与DoS：通过伪造邻居信息，扰乱本地设备的地址缓存，导致合法设备无法通信，或者将发往特定目标的流量劫持到黑洞或不存在的地址。
• 无状态地址自动配置（SLAAC）欺骗：攻击者在路由器通告中提供恶意的网络前缀，诱使客户端配置错误的IPv6地址，导致其网络访问异常或被隔离。

说白了，NDP攻击之所以危险，是因为它在网络最底层、最基础的“认门牌”环节撕开了口子。防御它，通常需要启用诸如RA Guard（路由器通告防护）、SEND（安全邻居发现）等机制，或者在交换机端口上实施严格的绑定策略，但这些配置在复杂的网络环境中往往被忽略。

扩展头：被滥用的“快递附加服务”

如果说NDP是内部管理问题，那么IPv6扩展头风险则更像是对外通信协议本身的“特性滥用”。IPv6扩展头本意是提供灵活的功能扩展，比如路由选择、分片、安全性等，就像快递服务里你可以选择加急、保价、代收货款。

麻烦在于，这些“附加服务”可以被恶意组合或无限叠加。

• 资源耗尽攻击：攻击者构造一个数据包，里面嵌套多层、甚至循环引用的扩展头。处理这样的数据包需要消耗路由器或防火墙大量的CPU和内存进行解析，瞬间的洪泛攻击就能让设备瘫痪。有研究机构曾演示过，利用复杂的扩展头链，能使某些主流防火墙的处理性能下降超过90%。
• 绕过安全策略：一些老旧或配置不当的安全设备，可能只检查基本报头，而忽略扩展头中的内容。攻击者可以将恶意载荷隐藏在扩展头之后，实现“隐形”传输。更狡猾的是利用“目的地选项”扩展头，尝试触发目标主机协议栈的解析漏洞。
• 分片重组攻击的变体：IPv6将分片功能移到了扩展头（分片扩展头）。攻击者可以发送大量无法有效重组的分片，或者构造重叠、异常的分片，消耗目标主机重组缓冲区资源，导致拒绝服务。

面对扩展头风险，最佳实践是在网络边界（如防火墙、入侵防御系统）对IPv6数据包进行规范化处理：限制扩展头的类型、数量和深度，丢弃明显异常或恶意的组合，并对分片流量进行严格管控。这要求安全设备必须具备深度解析IPv6协议栈的能力。

当两者结合：更隐蔽的威胁链

真正让安全专家头疼的，往往是复合攻击。想象一个场景：攻击者先利用NDP欺骗，在一个内部网络节点上取得了“合法”位置。然后，他从这个内部位置，向关键服务器发送精心构造的、带有复杂扩展头链的数据包。由于流量来自“内部”，更容易绕过基于边界的传统防护策略，而扩展头的复杂性则直接冲击服务器的协议栈。

从IPv4到IPv6的过渡，不是一个简单的地址扩容，而是一次协议范式的迁移。NDP和扩展头带来的风险，本质上源于新协议在追求灵活性和效率时，对安全考虑的滞后。这提醒我们，在拥抱IPv6带来的广阔天地时，必须重新审视和构筑从链路层到网络层的每一道防线。毕竟，在全新的数字平原上，旧的篱笆往往圈不住新的狼群。