5月12日清晨一个名叫WannaCry(想哭,最新中文名称“香菇”)的蠕虫病毒在全球互联网爆发,受害者遍及全球。病毒程序执行后,对用户计算机上的文档加密,向被害人勒索比特币赎金。
很快,这个红色图片火遍了互联网。
国内、国外的各家安全公司也纷纷发布了病毒分析报告。
思科的报告:http://mp.weixin.qq.com/s/0nHhSYPNIUJk2LT-badUCQ
各家安全公司的测试表明,此次Wannacry勒索病毒是由NSA泄漏的“永恒之蓝”黑客软件传播的。
“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果Windows系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”侦查到互联网上的IP地址后,就能进入电脑里执行任意代码,植入勒索病毒等恶意程序。
朋友圈里面登了一张图,深入浅出、浅显易懂地做了WannaCry病毒入侵全过程的介绍。
最可怕的是,在局域网里面,只要病毒软件侵入了一台电脑,就会自动侦查局域网里面的所有电脑,如果发现445端口未关闭,就会自动连接,注入病毒程序。
由于国内以前曾多次出现过利用445端口传播的蠕虫病毒,所以部分运营商对家庭宽带用户封掉了445端口。但是专网用户则没有这么幸运。部分高校网络、公安网络、加油站网络、医院网络的计算机,不幸受到了WannaCry病毒感染,应用程序和文件被病毒软件加密,造成业务中断。
虽然有各种各样的分析,但是大家全都忽视了一点:病毒是在IPv4网络上传播的。
如果在纯IPv6网络上,WannaCry病毒会是怎样呢?
现在,让我们假设有一个纯IPv6-only网络,每台计算机只能分配到IPv6地址。(IPv6-only网络不能分配IPv4地址) 。
假设,这个IPv6-only网络里面有10000台计算机,网管工程师为DHCPv6配置了一个/64的IPv6地址池,对这10000台计算机采用 “平均间隔” 的方式分配IPv6地址。(也即每间隔一个固定的数量,分配一个IPv6地址,10000台计算机正好从头到尾把/64的IPv6地址池占满)。
假设,整个网络10000台计算机的455端口均未做防护,WannaCry病毒可以轻易注入并感染任何一台计算机。
假设,黑客只用了0.01秒钟,就在互联网上扫描到了第00001号计算机,成功注入WannaCry病毒完成感染。之后,病毒立即在00001号计算机运行,开始进行内网扫描,试图向内网的其它计算机注入病毒。
假设,00001号计算机的功能很强大,一秒钟可以扫描1000000个(一百万)真实的IPv6地址,只要侦查到00002号计算机,就能成功注入病毒。
故事的过程是这样的:
1秒钟,扫描了100万个IP地址。(1×10的6次方)
1分钟,扫描了6000万个IP地址。(6×10的7次方)
1小时,扫描了36亿个IP地址。(3.6×10的9次方)
1整天,扫描了864亿个IP地址。(8.64×10的10次方)
1整年,扫描了315360亿个IP地址(3.1536×10的15次方)
...
于是,经过了
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
漫长的...
58年7个月20天
被病毒感染的00001号计算机终于侦查到了00002号计算机的IPv6地址,并于0.01秒内瞬间完成了病毒注入,成功攻占了00002号计算机。
之后,00001号和00002号计算机开始协同侦查,寻找网内其它计算机,并成功地在29年3个月25天之后,发现了00003号计算机并注入病毒。
......
介绍一下IPv4地址和IPv6的地址:
IPv4地址的格式是:X..X..X..X。
X的数值是0到255,所以IPv4地址就是从0.0.0.0到255.255.255.255。
每个X的长度是256位数,也就是2的8次方,所以计算一下,X..X..X..X格式的IPv4地址数量共有大约43亿个。
IPv6地址的格式是:
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
X的数值是:0123456789ABCDEF,共16个数,2的4次方。
一个XXXX段的地址,IP地址是从0000到FFFF,共有2的16次方,也就是65536个IP地址。
两个XXXX段的地址,IP地址是从0000:0000到FFFF:FFFF,共有2的32次方,也就是43亿个IP地址。
IPv6地址共有8个XXXX 地址段,或者4个XXXX:XXXX地址段,所以IPv6地址的数量共有:
(43亿 x 43亿 x 43亿 x 43亿=3.4 x10的38次方)个真实的IP地址。
这就是差距。
那么,/64的IPv6地址段有多少个真实IP地址呢?
答案是:43亿 x 43亿 = 1.849 x 10的19次方个IP地址。
所以,假如00001号计算机每秒扫描100万个IP地址,一年可以扫描315360亿个IP地址(3.1536×10的15次方),那么扫描到00002号计算机的时间就在58年之后。
反过来看,全球IPv4地址只有43亿个,假如让00001号计算机以每秒扫描100万个真实IP地址的速度进行全球IP地址侦查,只需4300秒,也就是71.7分钟,即可把全球IPv4地址全部扫描一遍。
所以你现在可以理解了吧,为什么计算机病毒总是:轰一下全球爆发了,又轰一下全球爆发了,双叒叕TMD轰一下全球爆发了。
因此,从IPv6地址规模巨大的角度来说,纯IPv6网络比IPv4网络更安全。
假如,高校校园网、公安网络、加油站网络等等,是一个纯IPv6的网络,那么,黑客如果采用传统的IP地址侦查技术,扫描侦查在网计算机并注入病毒,那么他一定会从风华正茂,熬到白发苍苍,直到衰老而死。
再说一个数字:
2017年,美国的IPv6普及率已经达到21%。Comcast、AT&T两大运营商的IPv6部署率均已经超过40%。
大家猜猜中国的IPv6普及率是多少?
...
...
...
不足1%,大约 0.7%。
工业和信息化部在2016年12月18日发布了“工信部规[2016]424号文件”《信息通信行业发展规划(2016-2020年)》,里面明确指出国家在下一代互联网IPv6的建设发展计划:
国内主要商业网站、教育科研网站和政府网站支持IPv6。
夯实IPv6网络基础设施,完成国内互联网的IPv6升级改造和IPv6国际出入口建设。
支持IPv6应用服务建设,鼓励移动互联网应用基于IPv6进行开发和服务,实现国内主要网站均支持IPv6访问,手机应用排名前100的中文APP 80%支持IPv6。
支持企业在工厂内、外网络技术和互联互通、标识解析、IPv6应用、工业云计算、工业大数据等领域开展创新应用示范。
建设工业互联网标识解析系统、工业互联网IPv6地址资源综合管理平台和网络数据流转管理平台。
强化IP地址、域名等互联网基础资源管理及国际协调,推动IPv6地址申请,合理规划使用IPv6地址。
这次WannaCry病毒爆发事件,既是一次危机,也是一次契机。它提醒我们,网络安全极其重要,网络攻击的威力,甚至远远大于恐怖袭击。
IPv4网络越来越不安全了。
中国网络是时候开始全面向IPv6网络升级了。
欢迎阅读以下【IPv6头跳】原创
【IPv6头跳】微软Xbox推荐用户使用IPv6获得最佳体验
【IPv6头跳】微软首席网络工程师:我们正在部署IPv6-only
打个广告:需要IPv6,找老赵。
联系客服
