Ipv6

文章及资源归档至公众号【AIShareLab】，回复 通信零碎与网络 可获取。一、目标把握路由器的 IPv6 根底配置。把握动态 IPv6 路由的根底配置。了解 IPv6 数据报文的路由过程。 二、拓扑如图 1 所示，三台路由器 R1、R2 和 R3 别离通过相应物理接口进行连贯，其中，R1 及R3 各自下联一个网段，简略起见，此处只体现了这些网段中的两台计算机 PC1 和 PC2，PC1与 PC2 别离应用 R1 及 R3 作为本人的默认网关。其中，路由器 R1、R2 和 R3 举荐应用AR2220 及以上设施。 图1 IPv6 动态路由根底试验拓扑图 三、需要在 R1、R2 及 R3 上实现配置，使得这三台路由器之间可能互相通信。在 R1、R2 及 R3 上实现配置，使得 PC1 与 PC2 所在网段可能互相通信。 四、步骤（1）实现 R1、R2 及 R3 的根底配置在 R1 上实现如下配置, 配置后果如图2所示: <Huawei> system-view[Huawei] sysname R1 [R1] ipv6 [R1] interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0] ipv6 enable [R1-GigabitEthernet0/0/0] ipv6 address fc00:12::1 64[R1-GigabitEthernet0/0/0] quit ...

前言：“在2019年11月25日，咱们终于、终于、终于用完了IPv4地址。”“在2019年11月25日，咱们终于、终于、终于用完了IPv4地址。”负责欧洲、中东与中亚网络位址散发的互联网注册机构RIPE的说法，该机构周一发表，"咱们从可用地址池中残余的最初一个地址中进行了最初的/22 IPv4调配。咱们当初曾经用完了IPv4地址"。这与2018年4月RIPE发表调配其最初一个/8区块的工夫不同。不过在比这更早的六年，RIPE说它曾经用完了IPv4地址。然而2019年，它真的曾经用完了，再也没有新的IPv4地址了。不过IPv4的枯竭早已不是新鲜事了，除了那些已调配应用的IPv4，如果想要从新应用IPv4 "将持续复原......从曾经开业或敞开的组织，或从退回他们不再须要的地址的网络"。 然而，这样的状况须要期待。所以，这也意味着寰球 IPv4 位址正式用完，将来只能回收旧的IPV4重用。然而现在的互联网，咱们仍旧在应用IPV4。工程师们会持续想方法让IPv4为他们服务，而且因为寰球可用 IP 地址的匮乏导致IP地址曾经成为了一种商品，IPv4销售的灰色市场越来越大。每个IP地址在公开市场的售价都在15到25美元之间。 从事IP地址销售的人都从中获益良多，同样的，那些专门从事网络立功与垃圾邮件的也想要未经所有者容许利用那些“休眠”的 IP 地址。住在加利福尼亚的独立平安研究员 Ron Guilmette 自从 2016 年以来，始终在追踪留给非洲的 IP 地址块。这些 IP 地址块以某种形式流转到了基于互联网的营销公司的手中。通过与在南非的记者进行单干，Guilmette 发现了成千上万个 IP 地址被盗。 这些 IP 地址被 AFRINIC 的政策协调人（Policy Coordinator）创建的几家公司售出的。（注：AFRINIC 是世界上五个区域互联网注册管理机构之一，负责解决非洲和印度洋地区的IP地址调配事务） 那么为什么RIPE一直发表咱们曾经用完了IPv4地址？有两个起因：其一，他们在发放IPv4方面的传统角色实际上曾经完结，他们并不齐全分明从这一点上他们该做什么。其二，因为他们置信，指出IPv4稀缺的里程碑会使人们看到曙光，转而应用IPv6。大陆地区按调配单位IPv6地址数与我国减速推广IPv6不同 ,对于IPV6在国外的模式正如RIPE在他们的布告中所指出的那样，不足向IPv6倒退的口头开始减弱了长期以来互联网扩张没有真正限度的观点。"如果没有大规模的IPv6部署，咱们就有可能进入这样一个将来：咱们的互联网增长受到不必要的限度，不是因为不足纯熟的网络工程师、技术设备或投资，而是因为不足独特的网络标识符。"

前言：虚构蜜罐是由一台计算机模仿的零碎，然而能够响应发送给虚构蜜罐的网络流量，明天咱们来浅析一下虚构蜜罐。 蜜罐能够运行任何操作系统和任意数量的服务。蜜罐依据交互水平（Level ofInvolvement）的不同能够分为高交互蜜罐和低交互蜜罐。蜜罐的交互水平是指攻击者与蜜罐相互作用的水平，高交互蜜罐提供给入侵者一个实在的可进行交互的零碎，相同，低交互蜜罐只能够模仿局部零碎的性能。高交互蜜罐和实在零碎一样能够被齐全攻陷，容许入侵者取得零碎齐全的拜访权限，并能够以此为跳板施行进一步的网络攻击。相同的，低交互蜜罐只能模仿局部服务、端口、响应，入侵者不能通过攻打这些服务取得齐全的拜访权限。 蜜罐分为高交互蜜罐、低交互蜜罐 、物理蜜罐 、虚构蜜罐。从实现办法上来分，蜜罐可分为物理蜜罐和虚构蜜罐。物理蜜罐是网络上一台实在的残缺计算机，虚构蜜罐是由一台计算机模仿的零碎，然而能够响应发送给虚构蜜罐的网络流量。明天咱们来浅析一下虚构蜜罐。比照物理蜜罐而言，虚构蜜罐要容易的多。能够在一台计算机上部署数千个蜜罐，代价低廉，简直所有人都能够很容易的应用它们，并且使得其更加容易保护以及较低的物理需要。很多时候咱们会应用VMware或者用户模式的Linux (UML）等来建设虚构蜜罐，这些虚构零碎工具能够在一台物理计算机上运行多个蜜罐零碎及应用程序来收集数据。 虚构蜜罐通常会模拟出实在的操作系统，并将其部属在一台宿主主机上。在虚构零碎中虚构出破绽，产生虚伪的流量，假装不存在的文件地址，存储实在但无意义的文件，对网络中的各种信息进行模仿等，来更好的吸引入侵者的攻打虚构蜜罐。 一是IP地址的空间坑骗。用一台主机就能够实现，利用在一个网卡来调配复数个IP地址，并对每一个IP地址配置独自的MAC地址，能够实现多个主机的虚构。 第二个是仿真网络流量。因为虚构蜜罐在个别状况下不会与其余主机被动进行交互，也就没有任何的网络流量，容易被入侵者依据这一点识破虚构蜜罐。所以产生方针流量当前，能够坑骗入侵者，使入侵者无奈通过对流量的察看来判断虚构蜜罐的存在。 第三个是零碎的动静配置。在失常状态下，一个虚构蜜罐的状态是动态的，没有交互和网络流量，一些有教训的入侵者能够通过观察零碎的状态来判断是否是虚构蜜罐。而零碎的动静配置正是针对这一点，虚构蜜罐的零碎状态会一直的发生变化，会尽可能的模仿一个实在零碎的行为，避免入侵者轻易的就发现虚构蜜罐，导致其失去作用。 第四个是组织信息坑骗。能够在虚构蜜罐里设置一些个人信息，或者存储一些没有意义的虚伪信息、文件等，能够让虚构蜜罐看起来更像是一个有人应用的实在零碎，减少对入侵者的迷惑性。 第五个是端口重定向技术。这种技术能够对地址进行数次转换，区别实在和虚构网络，也能够对罕用端口进行重定向，达到暗藏这些端口的目标。 当多个蜜罐组成网络时称为密网，而一个密网的外围是蜜墙，也就是密网网关。蜜墙次要性能： ①　数据捕获：能够在不被入侵者觉察的状况下，对密网内所有的流动和网络数据信息进行捕获。 ②　数据管制：对进出密网的数据进行流量管制。这样能够在外部蜜罐被攻破当前，确保其所有的流动仍然被限度在蜜网之内。 ③　数据分析：帮忙密网管理者简化捕获数据分析，并能够帮忙计算机和网络取证。 罕用的实现虚构蜜罐的技术次要有VMware、用户模式Linux、Argos、LaBrea、Honeyd等。 （1）VMware技术 VMware公司是老牌的虚拟化软件公司之一，其提供了多种虚拟化软件应答不同的情况。虚拟化软件示意软件能够模仿一个残缺的计算机系统，并且能够在同一个虚拟机上可能运行多个不同的操作系统。上面介绍VMware公司的一些产品，这些VMware产品相互之间的不同点。 理论装置VMware 的物理机器，执行VMware过程的计算机和操作系统实例称为主机（或宿主主机）。运行在虚拟机外部的操作系统被称为客户零碎或客户虚拟机。两种零碎之间的交互是齐全通明的，例如在主机和客户零碎之间，应用 VMware能够共享文件夹、复制粘贴各种文件。 虚构零碎起到一个相似于模拟器的作用，主机的物理CPU和内存资源能够被主机与客户虚拟机共享，但同时客户操作系统也能够从VMware中调配到一套残缺的虚构硬件资源。例如，在多个客户零碎中，一套雷同的虚构硬件资源能够被所有的客户零碎所应用，就像同一配置的多台计算机装置不同的操作系统，而且这些虚构硬件能够在不超过客户虚拟机配置的状况下任意的进行设置，不须要思考实在物理硬件资源，这些硬件资源都能够连至主机零碎。 （2）用户模式Linux 用户模式Linux 是另一种能够用来创立虚构蜜罐的零碎，用法非常简略，然而与VMware相比，次要毛病就是它只能模仿Linux零碎。 UML是一个Linux内核的体系结构端口，零碎内称为接口。Linux内核自身能够作为一个用户过程来运行，理论的Linux内核（主机零碎〉执行另外一个Linux（客户零碎）实例，把它作为一个过程。这个过程与VMware 中的虚拟机相似，每一个UML实例都是一个残缺的虚拟机，与一个实在的计算机简直没什么区别。于是就有了一个简略的办法来实现虚拟机，间接应用UML建设一个虚构蜜罐，取得一个虚构零碎提供的所有长处。在配置或稳定性上，客户零碎不会影响到主机零碎。UML的块设施，也称为磁盘，通常是主机文件系统上的文件，不会影响存储失常数据的本地块设施。 UML作为一个操作系统只能运行在Linux上，所以如果运行Windows 或其余零碎的时候，不能应用这种形式创立蜜罐。看起来只能抉择Linux零碎毛病很重大，但也并非没有益处，应用UML能够不便的创立许多不同的运行Linux的蜜罐。因为UML的块设施是失常的文件，客户零碎应用这一文件（通常称为根文件系统）作为一个残缺的文件系统，能够很容易的把一个UML实例从一台机器上移植到另一台机器上。UML 的另一个选项实用性也很强，可能在写时复制（copy-on-write，COW)模式下应用文件，UML实例在只读模式下应用跟文件系统,把所有的更改写入到一个独自的文件中-COw文件，使得几个蜜罐能够同时应用一个根文件系统，即能够节俭磁盘空间，又能够便于保护治理。 （3）ARGOS 荷兰阿姆斯特丹自在大学的钻研人员开发了一种新型的虚构高交互蜜罐，该工具被称为Argos，可能自动检测零天（zero-day)攻打，也就是尚无补丁的攻打。他们应用一种名为动静污点剖析的技术来监测蜜罐:第一步，标记所有通过网络接管到的数据，通过内存追踪这些标记数据，一旦这些标记数据被应用，影响了执行流程，Argos检测到这些并产生一个攻打的内存痕迹。绝对于其余虚构蜜罐解决方案，Argos不只是执行客户虚拟机，同时还亲密监测蜜罐，试图及时发现攻击者胜利攻陷蜜罐的切入点。 动静污点剖析是Argos技术的外围，这种技术基本在于察看，一个攻击者管制一个给定程序的执行流程，他肯定会是应用某种形式影响它，但不论是何种形式，攻击者都必须向程序发送一个不失常的输出，这样的数据必定会影响执行流，例如，跳转到攻击者提供的数据。 在这一过程中，动静污点剖析发挥作用，一个程序的所有内部输出都被当作污点被标记。在剖析过程中，亲密监督和查看所有净化变量的应用，当一个净化变量通过其余操作失去的后果也被认为受到净化:但如果一个净化变量被赋予一个固定值，则认为该变量不再是受净化变量。这样就能够跟踪内部输出的应用，一旦这种净化输出用于扭转执行流，就能够被检测进去。对Argos 来说，它产生的信息转储蕴含引起失常执行流偏离的相干信息。这个办法对检测网络攻击灵敏度很高，而且咱们检测攻打无需任何先验常识。当一个攻打产生时，咱们能够准确地检测到，通过剖析确定导致该事件的起因。 （4）LaBrea 由Tom Liston 创作的LaBrea，因引入了一个tarpit概念而闻名。tarpit是一种服务，作用是通过使TCP连贯十分迟缓或齐全进行它们的过程，试图减缓垃圾邮件发送者发送速度甚至是蠕虫的传播速度，尽管 tarpit并不能减缓更高级的蠕虫流传，然而，对于程序操作的简略蠕虫tarpit具备良好的作用。 在网络上运行LaBrea时，它会发现闲暇的IP地址，并代替它们应答连贯。一旦连贯被建设起来，LaBrea会通过在TCP协定中采纳技巧而尽可能长时间地黏住发送者，这样建设的连贯会进入到一种不能再获得任何停顿的状态。迁延连贯的起因很简略，垃圾邮件或病毒发送者在服务器上每多维持一个连贯，就缩小了向真正的主机发送垃圾邮件的可用资源。 为了检测一个IP地址是否可用，LaBrea利用ARP协定。每当路由器试图向一个IP地址交付一个数据包时，它首先须要找到相应的MAC地址，如果没有主机监听这一IP地址，ARP不会取得应答。 例如:12:20:40.439476 arp who-has 192.168.1.123 tell 192.168.1.2 因为ARP在整个网络上进行播送，LaBrca 监督来自路由器的ARP申请，如果网络中没有主机相应IP地址192.168.1.123，LaBrea就会发送本人的应答: 12:20:42.356431 arp reply 192.168.1.123 is-at 00:3c:2f:1e:52:7a 当初路由器收到了一个MAC地址，就会把这个数据包以及后去的数据包发送给LaBrea 主机。但当一个主机重新启动,它可能会应用一个曾经被LaBrea占用的IP地址，不过重启的主机会发送一个无需应答的ARP申请，告诉网络上的所有人新的IP地址和MAC的绑定，那么LaBrea将会放弃该IP地址。LaBrea承受网络上所有闲暇的IP地址的TCP连贯，当它收到一个SYN包，它就会通过实现TCP 三次握于建设一个连贯，而后迁延这个连贯。LaBrea反对两种加快连贯传输速度的办法: 窗口调节:LaBrea承受一个新的连贯，但会颁布一个十分小的接管窗口。接管窗口批示发送者，每个数据包不能发送大于窗口容许长度的数据。当采纳窗口调节时，连贯依然在持续，但当一个1000字节长度的包被要求以10个字节长度位单位进行传输，显然传输工夫会变得十分漫长，速率会变的十分迟缓。 长久捕获:LaBrea 颁布一个TCP接管窗口的大小为0，批示发送者在持续发送数据前期待。发送者周期地回访，发送窗口探测数据包，以确定接管窗口是否再次关上，这种状态能够始终继续上来。 当垃圾邮件发送者试图通过一个La Brea 蜜罐发送电子邮件时，SMTP事务将不产生或者产生很小的过程，一个哑垃圾邮件发送者将放弃该连贯，节约网络资源。最终，垃圾邮件发送者一旦发现和 La Brea会话没有获得停顿，它可能走掉。 ...

写在开篇近日，工信部印发了对于贯彻落实《推动IPv6规模部署行动计划》的告诉，额。。。不好意思，跑题了！其实也没有跑题，本篇就是想要讲跟IPV6无关的货色。当初很多最新版的组件都默认反对IPV6了，比方Nginx、PHP、MySQL等等。那么本篇专门解说一下Oracle 19C如何开启对IPV6的反对，从装置到配置、到IPV6监听的配置，一文打尽。 对于IPV6的基础知识，笔者后续会找工夫，专门输入一篇文章分享给大家。 前戏热身Oracle OUI 静默装置要点概述 Oracle OUI 静默装置，即 Oracle OUI Silent Installations，之所以能实现静默，是因为底层通过三个 response files 指定了一些必须的配置项的具体设置，管理员能够通过批改这三个 response file，针对本人的状况进行定制配置，从而实现静默装置。这三个 response files，阐明如下：$ORACLE_HOME/install/response/db_install.rsp: 静默式装置或降级 oracle 二进制包时应用；$ORACLE_HOME/assistants/dbca/dbca.rsp: 静默式装置、配置、删除数据库实例时应用；$ORACLE_HOME/assistants/netca/netca.rsp: 静默式配置 oracle 数据库的网络监听时应用；在执行静默装置前，最好备份这三个文件。最低硬件配置内存至多8G: grep MemTotal /proc/meminfoSWAP分区至多8G: grep SwapTotal /proc/meminfo磁盘空间至多10g，其中/tmp目录下空间至多2g: df -h下载相干安装包preinstall rpm 包下载链接：https://yum.oracle.com/repo/O...zip 安装包的下载链接：https://www.oracle.com/databa...操作系统的初始化工作配置 /etc/hosts 和 /etc/hostname；配置 selinux 为permissive或disabled：波及文件/etc/selinux/config 和命令 setenforce Permissive敞开防火墙：systemctl stop/disalbe firewalld进入主题执行装置前主动配置下载对应版本的 preinstall rpm包（该rpm 包能够用来在正式装置前执行一些必要的配置）； ># yum localinstall oracle-database-preinstall-19c-1.0-1.el7.x86_64.rpm 该步骤主动在操作系统上创立了oracle零碎用户： ># id oracleuid=54321(oracle) gid=54321(oinstall) groups=54321(oinstall),54322(dba),54323(oper),54324(backupdba),54325(dgdba),54326(kmdba),54330(racdba)筹备对立装置的门路 ># mkdir /opt/u01># mkdir /opt/u02># ln -s /opt/u01 /># ln -s /opt/u02 /创立oracle运行时必须的目录并赋权 ...

作者：吴灵晓(盖优) 演进路线 阶段一（2020年末）本阶段实现线上所有服务的IPv6革新，全面反对IPv6双栈的拜访反对；融入阿里云的IPv6生态体系，内网环境全面反对IPv4/IPv6双栈；晋升用户端侧IPv6流量占比，IPv6流量占比不低于总量的40%。 管：全面完成优酷主站广域网、团体级数据中心外围网络、互联网进口IPv6网络革新，IPv6在多地区多运营商开明。汰换无奈通过降级反对IPv6的外围路由器，交换机。建设CDN专属资源池，全副选用反对IPv4/IPv6的CDN节点。引入IPv6-only的专线链路，适时升高IPv6接入老本；云：全面完成企业互联网域名服务器IPv6革新，反对AAAA记录和IPv6域名解析申请，次要外围业务域名全副配置A及AAAA记录。应用阿里云HTTPDNS服务，反对挪动端的IPv4/IPv6双栈及IPv6-only环境下的域名解析能力。优酷相干的服务及接口全面上云，新增的ECS，CDN等资源全副选用反对IPv6区域的资源产品；端：各手机端利用APP以及web浏览器端全副反对IPv4/IPv6双栈及IPv6-only环境下的网络通信能力。尝试引入用户性能体验疏导计划，让用户能够直观地体验到IPv6带来的收益。端侧测试 IPv6流量占比不低于总量的40%；平安：全面完成优酷互联网进口平安防护系统的IPv6革新，利用内的平安防护插件全面反对IPv6环境，确保整体平安防护能力不降落。建设IPv6下独立的监控体系，笼罩根底监控及利用监控，具备和IPv4雷同的监控能力。阶段二（2021-2022年）本阶段全面反对IPv6-only的拜访反对；全副融入阿里云的IPv6-only生态体系，内网环境全面反对IPv6-only双栈；IPv6双栈+only比例不低于80%， IPv6流量占比不低于总量的60%。 管：全面完成主站机房及CDN节点机房的IPv6进口革新，包含所有边疆以及热门海内节点。IPv6流量全面跑在专用链路上，全面实现IPv6下的流量收益能力；云：全面完成企业互联网域名服务器IPv6革新，反对AAAA记录和IPv6域名解析申请，所有业务域名全副配置A及AAAA记录。优酷相干的服务及接口全副应用IPv6环境的资源产品，外部网络环境全副切换到IPv4/IPv6双栈模式；端：全端全站反对IPv6-only拜访，用于体验无差异化。用户产品体验设计上全面偏向IPv6，疏导用户汰换老设施老终端。IPv6双栈用户比例不低于80%，并逐渐疏导IPv6-only模式；平安：进一步强化IPv6的网络安全能力，全面晋升防护等级，及时发现并解决IPv6环境下衍生出的新业务状态的平安挑战。对边缘计算、物联网、车联网、云游戏等新畛域，具备全网同等级别的平安保障能力。阶段三（2023-2025年）本阶段全面完成所有机房及CDN节点的革新，全副反对IPv6-only的拜访；IPv6-only比例不低于80%， IPv6流量占比不低于总量的80%。 管：全面完成IPv6-only革新；云：全副应用云上产品，所有产品都反对IPv6-only；端：IPv6-only比例不低于80%，淘汰双栈模式。对有余20%的IPv4用户提供最小功能集的降级服务，激励降级到IPv6-only；平安：进一步强化IPv6-only场景下的平安防护、安全监管、劫难备份与复原等能力，晋升IPv6环境下娱乐网、物联网、车联网、云计算、云游戏、VR/AI智能等畛域平安保障能力。施行指南网络机房互联网进口建设革新核心机房IPv6互联网进口 追随阿里团体整体节奏，外围服务所在的核心机房全副实现互联网出的革新，反对IPv6。在五大城网进口所在地的核心机房，全副齐全IPv6革新。优先选用BGP对接形式，不便互联网进口域内域外路由协定的统一规划。提前做好IPv6降费提速筹备，优先调度IPv6流量，进步IPv6流量令牌优先级，在等同环境下优先路由。 建设革新CDN节点机房IPv6互联网进口 由阿里云进行兼顾平安革新地区与工夫节点，业务同步做好按地区引流工作。 革新降级骨干网VIP+LVS 替换不反对通过降级反对IPv6的老旧设施，包含大量的外围路由器，交换机及负载平衡设施。对互联网进口局部的硬件防火墙、入侵检测设施等平安防护设施进行更新，不反对更新进行替换。优化路由配置，路由配置及缓存应用配比，使革新后的IPv4网络性能不降落的同时，IPv6网络性能略优于IPv4。各平安防护能力达到与IPv4进口等同或者优于IPv4环境下的防护能力。 革新降级应用服务测试环境 通过隧道形式买通生产机房与测试机房之间的IPv6链路，降级企业跳板机代理服务器反对IPv6，反对IPv6环境下登录测试环境满足业务需要。 革新企业园区网络VPN零碎 携同阿里企业智能网团队进行IT办公网络的革新，接入IPv6互联网进口，降级园区内路由器交换机以及VPN设施。降级VPN客户端，反对IPv6环境下的用户近程登录，欠缺近程接入环境IPv6平安防护策略，强化IPv6平安防护能力。 域名解析DNS/HTTPDNS及回落业务域名网络双栈设计及开启 DNS外围降级：对业务域名开启多CNAME能力。业务域名别离配置IPv4-only及IPv6双栈的CNAME域名，具备权重调节能力。能够按地区按运营商自在地管制IPv4及IPv6双栈折解析比例。对走localdns的PC/H5端进行IPv6的灰度流量管制，实现IPv4协定和IPv6协定共存。IPv6->IPv4的回落能力由浏览器提供，局部过旧的浏览器不反对疾速回落能力。 HTTPDNS外围降级：HTTPDNS服务自身部署在IPv6环境，具备IPv6互联网进口，提供IPv6 VIP及域名AAAA解析保障。同时，降级HTTPDNS服务自身，能够依据申请客户端的网络状态，以及用户申请参数，对申请的域名下发AAAA解析记录，确保客户端运行在IPv6环境中，能够失常解析到业务域名的AAAA记录。 HTTPDNS的疾速回落：HTTPDNS在获取到客户端反对IPv6时，会把域名的AAAA记录及A记录同时下发给客户端。当客户端建联IPv6不胜利时，会同时开始建设IPv4连贯，以确保用户体验无影响。 同时，针对一些非凡的业务域名，例如：没有实现PC端降级以及对降级产生的提早无奈容忍。能够去掉权威DNS中业务域名的AAAA记录，将AAAA记录只配置在HTTPDNS中，能够满足客户端走IPv6，PC端走IPv4，既满足了IPv6的需要又能够让PC业务无损。 动静IPv6比例控制能力 IPv6建设初期，建连成功率低于IPv4，RT也高于IPv4，导致业务无奈整体切换到IPv6。同时，曾经切过去的局部，也可能因为网络变更影响网络品质，须要长期敞开IPv6。这些切换操作，如果都由运维同学手动操作的话，那么像优酷这样有几十上百个域名的，实现一次操作须要花上1-2天的工夫，时率上不可承受。因为须要建设一套蕴含DNS以及HTTPDNS的域名切换零碎，能够批量切换域名及HTTPDNS的配置，做到PC和挪动端的业务同步。同时，切换时要具备弹性能力，IPv6从100%降到0%，不能一下子切掉，须要90%-80%-70%----0%执行，确保不会给网络设备和服务器以及网络进口带来跳变。同时，须要获取业务成功率的监控数据，如果切换过程中，成功率呈现上涨的话，零碎可能停止切换或者主动回滚到上一级比例，发出报警让运维同学染指排查。 网络品质数据获取设计客户端埋点上报反对IPv6 在手机客户端以及PC端中，通常会应用埋点技术将端侧运行数据及谬误状况，上报至采集服务器。大部分的数据上报中，并不会被动将客户端的IPv4及IPv6都带上，导致服务端并没有牢靠的数据起源去剖析IPv6下的业务状况。所以，须要革新采集服务端，反对和客户端进行IPv6建连，确保在IPv6双栈及IPv6-only环境下埋点数据能够失常上报。同时，在app启动，用户鉴权，网络变动等场景产生时，被动从服务端的应答后果中取到客户端的进口IP，并把这些信息存储在本地缓存中，在埋点上报时带上IP地址。这样采集端就能够收集到客户端的实在进口IP，如果的双栈的话，还能够同时收集到IPv4,IPv6地址并主动关联。从根本上解决了双栈环境时，服务端无奈同时获取IPv4,IPv6的问题，有助于网络品质数据分析。 资源管理、运维零碎革新实现IPv4,IPv6资源辨别治理能力随着IPv6深刻革新及政策反对，对应用IPv6环境的资源设施，流量带宽，调度引流等，将呈现区别于IPv4环境的应用场景和计量计费规定。缓缓地IPv6将会在某些利用场景上呈现老本上的劣势，而现有的资源管理零碎上新建网络管理、利用性能治理、认证服务器、DNS/DHCP等撑持零碎举荐采纳IPv6单栈建设，存量撑持零碎举荐进行双栈化革新，具备对IPv6设施、利用或用户的基于机器学习、常识图谱、神经网络等AI加持的智能运维、终端辨认、利用辨认、智能调优、智能漫游、大数据安全剖析等治理能力，待网元设施、利用或用户实现IPv6单栈革新后，撑持零碎需同步实现IPv6单栈切换。 实现IPv6环境独立运维能力革新并开启运维零碎双栈协定，使零碎具备在IPv6网络环境下对双栈服务器、网络设备、利用容器、监控采集、数据库缓存中间件、配置近程推送及用户数据的治理能力。对于临时不反对IPv6的零碎及设施，提供NAT地址转换、降级IPv4等形式，来进行治理，待革新实现上线后，逐渐开启IPv6能力。 利用与服务接口服务及PC端页面新建利用 新建利用的部署，选用反对IPv6的主站机房资源或者阿里云地区，机房进口到负载平衡应用双栈规范。 Web容器环境：选用反对IPv6协定的最新版本Tengine，装置toa模块，反对透传IPv6头信息至应用服务。开发环境及OS零碎：利用的开发编译选用反对IPv6协定的操作系统，如Windows server 2003以上版本、MAC OS 10当前，以及Linux零碎的CentOS 7或者Alios 7U等。测试环境：办公网环境与测试机房通过IPv6专线买通，办公网提供IPv6的无线/有线接入点，同时保留了原来的IPv4接入点。开发同学能够接入IPv6接入点进行日常开发和办公事务处理，须要拜访不反对IPv6的公网服务时，能够切换到IPv4网络环境。业务场景1 IP地址库：应用IP地址库服务对用户归属地进行定位判断解决的，须要降级到最新版本的IP地址库数据服务，并具备定期降级能力。确保IPv6地区归属判断的准确性。业务场景2 IP地址格局对立：因为IPv6地址能够略写的起因，导致间接按字符串进行判断的话，会把有略写和无略写的IPv6判断成不是一个IP地址，从而导致业务解决呈现偏差。同时，局部浏览器申请会主动略写IPv6地址，JAVA网络包,CURL等，不会被动略写IPv6地址，这会增长服务端解决的复杂性，所以须要前置一个公共解决，将所有的IPv6地址都通过公共解决进行标准化，对立业务解决逻辑，缩小业务间不统一问题。业务场景3 IP地址保留：个别服务端日志落库，用户信息落库等惯例解决中，会把用户IP保留到数据库等存储中，对于严格限度数据类型和长度的数据库，须要根据存储型号进行定义，原来的IPv4只须要32位字符串或者长整型数据就能够保留，而IPv6须要扩充到128位，同时长整型也存不下，须要高64位和低64位拆分存储等形式进行解决。业务场景3 接口传递：某些应用http get形式将多个用户IP通过参数模式传递时，须要留神get的1024B的下限，原来传递IPv6时10个用户一起传递没有问题，但当初改用IPv6时10个用户的IP长度就会超过get下限，须要改用post或者调低下限。业务场景4 存在IP地址的hardcopy：不能把上下游调用接口的IP地址间接写在代码中或者配置文件中，因为上下游实现IPv6革新的工夫并不完全一致，上线工夫也不统一，会导致呈现线上故障。须要全副改为域名形式调用。客户端IP进口地址的获得形式：在双栈环境中，同一申请，你只能从申请头部中获取到IPv4 IPv6地址中的一个，不可能两个都获取。如果心愿同时获取IPv4 或者IPv6地址，那么只能抉择反复申请，或者是通过参数将客户端地址传上来。须要扩大申请字段，将v4,v6分成两个字段提交，同时服务端也须要做接管革新解决。日志剖析逻辑：家喻户晓，为了不便日志剖析和拆解，所有的业务日志都会定义一个对立的格局，日志输了的各个字段之间对立应用||等分隔符分隔或者按字段长度固定。应用分隔符的，须要思考到不能再应用:了，因为IPv6中带了这个符号。应用固定长度分隔的，也须要思考到对IP地址不能再固定32位长度了，要调整到128位，同时要向下兼容IPv4，IPv4也要补齐到128位。第三方库的更新：选用反对IPv6协定的第三方SDK版本，如果三方库不再更新反对IPv6，那就须要寻找置换计划。平安部署环境：接入层平安控件，限流插件，ACL白名单插件等利用平安服务应反对IPv6协定。降级能力：须要从业务逻辑上原生思考IPv6网络不可用时，如何降级至IPv4来持续提供服务。存量利用革新 存量利用可进行代码IPv6重构开发或双栈反对接口开发。对于不反对IPv6革新或者临时无奈革新的，须要独自划定小集群区域，来提供IPv4-only的服务能力。 接入层革新：制订IPv6降级打算，申请IPv6的VIP，将负载平衡的RS指向新的IPv6接入层，确保IPv4与IPv6的流量隔离。根底镜像降级：原业务应用过旧，版本过低的OS镜像打包时，须要降级到最新反对IPv6的根底镜像，并用最新的OS进行编辑打包。业务零碎革新：根据上述新建利用的业务场景梳理内容，对存量业务逻辑进行排查，存在上述场景的须要进行业务代码的重构，业务逻辑的批改，使存量业务满足IPv6环境下运行需要。替换Web容器环境：降级最新版本Tengine，降级最新toa模块，反对透传IPv6头信息至应用服务。降级开发环境及OS零碎：利用的开发编译选用反对IPv6协定的操作系统，如Windows server 2003以上版本、MAC OS 10当前，以及Linux零碎的CentOS 7或者Alios 7U等。进行IPv6测试环境下的回归测试 存量利用个别都通过严格的IPv4环境下测试，但不能保障在IPv6下肯定是没有问题。所以须要在IPv6的测试环境下，对存量利用以及新建利用进行回归测试。包含对所有有改变性能点的全量测试，以及没有改变但属于外围性能点的覆盖性测试。 验收 利用革新实现后，进行线上灰度验收，依照国家网站/利用IPv6降级革新验收督查指标相干要求进行测试验证，在域名IPv6反对度、页面IPv6可达性、业务IPv6反对度、利用服务质量、IPv6平安防护等方面发展测试。 挪动终端及APPWindows/mac端IKU利用 接入HTTPDNS服务，在客户端集成HTTPDNS服务SDK包，IKU利用具备手机挪动客户端雷同的IPv6引流灰度能力。替换IKU利用端中的网络包，具备IPv6的网络通信能力。开发在IPv6弱网条件下的降级能力，在用户能够承受的延迟时间内，切换到IPv4通信，保障用户体验无损。逐渐敞开低OS版本的应用许可，敞开低版本利用的上线应用，推动用户端进行OS或者设施的降级，进步IPv6使用率。 安卓/Iphone/Ipad 手机客户端 这块占比最大，同时用户设施类型也是最丰盛的，须要通过一直的版本更新，来升高旧版本的占有率，达到晋升IPv6使用率的指标。 终端IPv6反对度评估：将装置优酷APP的终端依照机型，OS版本，性能， IPv6下通信能力分类。对新上市机型进行逐台验证，别离进行IPv6反对度评估。客户端APP根底套件降级：根底网络包NetworkSDK等团体二方包进行降级，实现反对IPv6的协定栈解析以及根底降级能力。应用第三方网络库的，例如：libcurl，须要降级到最新版本，同时通过业务逻辑补救上缺失的主动降级能力。降级IP地址：局部APP中集成有小型的IP地址库，因为数据包大小的问题，基本上小型IP库都没有蕴含IPv6的数据。须要从新评估IP库数据包大小与APP整体包大小的关系，如果集成反对IPv6 IP库数据包过大的话，那须要通过服务端判断的形式来代替本地的IP库。端侧埋点服务的革新：埋点的失常上报，是整体评估IPv6下业务可用性和用户体验一致性保障的前提。特地是在弱网、断网、降级回落的状况下，数据能够失常上报。IPv6 下埋点是否正确检测出网络环境的变动，网络切换导致的RT变动等，须要依据业务逻辑和用户操作场景，进行埋点的革新。大屏OTT端 ...

腾讯平安又双叒叕获奖！ 10月12日，由网信办、广电总局领导，推动IPv6规模部署专家委员会主办的“2021中国IPv6翻新倒退大会”举办。 会上，腾讯云“IPv6网络自适应检测阻断平安经营体系”入选互联网协议第六版（IPv6）规模部署和利用优良案例。 作为网络强国建设的根底撑持，IPv6对社会倒退具备重要意义。据理解，我国IPv6网络基础设施规模寰球当先，已申请的IPv6地址资源位居寰球第一。 但随着IPv6流量的持续增长，新的平安危险随之而来。攻击者对大规模代理IP池，特地是秒拨IP的滥用，导致很多传统平安进攻计划逐步生效，相应的误报和漏报也在迅速增长。 针对IPv6网络安全经营挑战和技术创新的需要，腾讯云提出了“IPv6网络自适应检测阻断平安经营体系”案例。依靠腾讯天幕PaaS的平安算力算法能力和自适应平安经营技术体系，该计划可面向不同的IPv6网络应用环境疾速构建平安经营平台，应答新期间的平安经营挑战。 会上，腾讯平安平台部总监、资深平安专家甘祥分享了腾讯云平安IPv6网络防护的具体实际。围绕IPv6等新技术利用的动静倒退，腾讯天幕PaaS继续加强底层平安算力算法能力，帮忙业务应答海量数据并发和简单策略解决，实现毫秒级的低延时解决能力，并在腾讯云平安生态能力建设和攻防反抗中继续施展效益。 (图为腾讯平安平台部总监、资深平安专家甘祥) 其中，面对秒拨IP对传统进攻模式带来的新挑战，基于腾讯天幕PaaS，腾讯云平安可能冲破传统黑白名单维度的IP危险阻断的局限性，实现针对指纹特色维度的智能自动识别和打击，帮忙企业客户有效应对IPv6时代的平安挑战。 目前，“IPv6网络自适应检测阻断平安经营体系”计划已在智慧城市平安经营、金融行业平安危险监管以及政企机构平安经营等场景中实现利用。 作为最早部署IPv6平安能力的云厂商之一，腾讯云凭借天幕PaaS的IPv6平安威逼管控能力及翻新实际，取得了“IPv6最佳实际奖”、“IPv6 Ready先锋奖”等多项行业权威奖项。同时，天幕平安算力平台还通过了“IPv6 Ready Logo测试认证”，是行业内设施最快通过IPv6 Ready 5.0新标准的产品。

随着进入三伏天开始，杭州就像忽然被丢上了炭火炉，没有空调的低温厕所，彻底断绝了二狗子带薪摸鱼的高兴。深感失望的二狗子只能苦楚地把本人的摸鱼地点改成了空调大开的零食角。“哎，真的很不喜爱零食角，它会让我变胖。”二狗子一边凡尔赛着一边关上了手机，迎面而来是一则对于工信部、网信办印发《IPv6流量晋升三年专项行动计划（2021-2023年）》的音讯。 这个告诉，简而言之是要鼎力推动我国的 IPv6 规模化部署。要晓得截至 2020 年 11 月，我国 IPv6 沉闷用户数已达 4.35 亿，IPv6 地址调配也曾经是世界第一。这个 IPv6 到底有什么魔力值得咱们这么大力推广？二狗子决定好好理解一下。 什么是 IPv6其实看到 IPv6 这个名字，二狗子就有了一个大胆的假如，毕竟 IP 地址（简称为“IP”）是 Internet Protocol，也就是互联网协议的外围组成部分。它是外部或内部网络中的设施（例如计算机，Web 服务器或打印机等）的惟一可辨认地址。 既然 IPv6 名里带 IP ，那想来必定和 IP 地址脱不了干系。 二狗子关上百度输出 IPv6，果不其然度娘通知二狗子， IPv6 的全称是 Internet Protocol version 6，是互联网协议第六版，是用于代替 IPv4 的下一代 IP 协定。 什么？不会有人不晓得 IPv4 是什么吧？不会吧？不会吧？ 别打了别打了，二狗子这就给各位看官老爷好好阐明。 劳苦功高的 IPv4IPv4，全称为 Internet Protocol version 4，作用是为每一个网络和每一台主机调配一个 IP。IP 地址是一个 32 位的二进制数，算下来有 2^32 个地址。这个数量乍一看下来十分多，然而其实早在 2019 年 11 月 26 日负责英国、欧洲、中东和局部中亚地区互联网资源分配的欧洲网络协调核心（RIPE NCC）就发表 IPv4 地址曾经耗尽了。 ...

事件是酱紫的。那天上午，轻轻松松实现了一个新性能的开发，本来打算着混到中午吃个饭，美美的午个觉，下午跑跑测试，摸摸鱼，划划水，欢快的一天就过来了。正当我在为我的完满打算骄傲不已的时候，微信群闪过一条音讯，有人艾特我。特么的！！！这个时候！竟然有人艾特我！！！过后我就不乐意了。指名道姓的艾特我，指定没坏事。划开手机一看，果然，生产出事变了。而且看起来事件还比拟紧急重大。我给大家简略形容一下事件的通过。咱们（咳咳，请把"们"字去掉，说的就是你，别想甩锅）开发了一个能够采集宿主机硬件指标的这么一个性能。其中有一项是获取IPV6的地址，而后这个IPV6地址获取的时候出问题了，原本不应该获取fe80结尾的地址（fe80结尾的地址相似于IPV4的192.168,是局域网的地址，这个是应该pass掉的），却获取成了一串乌七八糟的数字。过后的状况是这样的。客户提交了降级单，他们也怕出问题，就先降级了两千台设施，并打算当天早晨降级残余的两万多台。而后到了快中午的时候，发现这两千台中，有那么一百台的样子，获取的地址不对。如果嫌我说的啰嗦的话，请我师爷来翻译翻译。简略来说，就是客户中午的时候发现了程序有问题，然而因为早晨要降级所有生产环境，所以下午必须给他们搞定。不能耽搁他们早晨的降级。此诚危急存亡之秋也。什么状况啊？劳资特么一脸懵逼啊！没方法啊，谁让咱是吃这碗饭的呢？于是乎，简略拾掇一下，连午觉都不顾上了，背上我的蓝色小书包，坐上公交车，间接奔赴客户现场。过后我心里是一点底都没有，这问题咱也没碰到过啊，于是脑中疾速过了一遍过后的代码逻辑，看看能不能找到能够甩锅的中央。嗯，测试！肯定是测试没测好！带着问题就上线了！于是乎：人家很明确的通知我，测试没有发现问题。这就难堪了。公司环境没有发现问题，pit环境也没有发现问题（备注：该pit环境是客户提供的一套有限靠近生产环境的机器）。也就是说，这个问题仿佛是生产环境独有的。这特么就扯了。。。这都什么鬼啊？没方法了，去现场看吧。通过了简短而简单的客户园区入场手续后，终于来到了生产机房。客户找出两台有问题的机器，说，你调试吧！而后也不论我，忙他本人的工作去了。生产的机器，如果玩过的大家都应该理解，客户不让做的事件千万别做，千万别想着删库跑路，而后坐船去新加坡，越南，柬埔寨。特地是我过后拿到的是root权限。客户更是慎之又慎，就连重启程序都得通过他们批准。危险的命令想都不要想。那还调试个鸡儿啊。但这个时候我可不能怂啊，老夫一世英名是否保住，就看在此一举了。首先我给客户强调，这个问题百年难得一遇，必定不是那么好解决的，今天下午就算能找到根因，回去还要批改代码，测试，早晨降级预计有点来不及。打了这个预防针，客户也晓得问题辣手，就有心里筹备了。说，你先查起因吧，切实难解决的话今晚就暂缓降级，周五之前能搞定就行。这样我就放心大胆的搞了。先说一下咱们这个程序获取IPV6的逻辑。咱们这个程序是用C语言开发的，为了反对跨平台，咱们引入了一个叫sigar的第三方库。这个sigar库是专门用来获取机器硬件指标的，而且对不同的平台操作系统都有实现。在Linux下，获取IPV6的逻辑是读取/proc/net/if_net6的配置文件。这个文件的第一项就是IPV6的地址。简略来说，获取ipv6的地址，就是读取文件中指定字符串的内容的实现。听起来剁么简略的事件。就这破逻辑，还能出啥问题？sigar库里这段逻辑在 src/os/linux/linux_sigar.c 中的sigar_net_interface_ipv6_config_get函数中。当然咱们做了一些调整，最终的样子是这样的： while (fscanf(fp, "%32s %02x %02x %02x %02x %16s\n", addr, &idx, &prefix, &scope, &flags, ifname) != EOF) { if (strEQ(name, ifname) && addr != strstr(addr, "fe80")) { status = SIGAR_OK; break; } }说一下/proc/net/if_net6这个文件，这个文件里寄存的是接口和单播地址。其外部格局如下：|addr(32位)| addr（32位）if_index（个别2位十六进制数字）prefix（个别2位十六进制数字）scope（个别2位十六进制数字）flags（个别2位十六进制数字）ifname（16位）ipv6地址接口ID前缀长度地址适用范围标记位网卡名称这样一看，下面的代码解析，仿佛没有什么问题嘛。但，等等，这都是什么鬼？我嗅到了一丝立功的气味，尽管说不上哪里不对，但我感觉这里会有问题。第二位，也就是if_index，为啥呈现了这么多三位的？一个三位的字符串，却用%02x，这是会出问题的呀。可是，为什么会呈现3位的呢？咱也不晓得啊。没方法，祭出百度吧！然鹅，一上百度，是这个样子的：家喻户晓，大天朝的技术文章，百分之八十被号称吃(C)屎(S)都(D)难(N)的某网站给劫持了，只有一搜寻，千篇一律的进去的都是该网站的链接，而且内容反复率之高，含金量之低，令人咋舌。既然度娘不助我，我就只能寻求谷嫂的帮忙了。可是！完犊子了，这可咋办？我突然想到我一个高中同学发小是做海内竞价的，本人守业当了老板，咱要不去试试白嫖一波？嗯。。。弄起来还是挺麻烦的，但好歹是弄到了。谷歌一游，大多数也只是通知你if_net6文件是啥含意的，没有通知我这个if_index到底应该有几位。而后我在if.h头文件里发现了这个if_index的定义： struct if_nameindex { unsigned int if_index; /* 1, 2, ... */ char *if_name; /* null terminated name: "eth0", ... */ };int类型，实践上能够有8位啊，汗~得，不论了。为了验证我这一猜测是对的，的确是if_index有三位导致的，我让测试的共事在pit环境找if_net6文件中有三位的测试，很快： 而后就是欢快的批改代码的过程了。咱也不论有的没的，搞什么位数啊，代码一旦hard code了，下次有变动还是得出问题，不如一把搞定： while (fscanf(fp, "%s %s %s %s %s %s\n", addr, idx, prefix, scope, flags, ifname) != EOF) { if (strEQ(name, ifname) && addr != strstr(addr, "fe80")) { status = SIGAR_OK; break; } }事实上，fscanf函数解决这种带固定宽度的解析时，如果字符串有三位，但只解析了两位，并不会把第三位抛弃，而是把第三位挤到了下一个域。举个例子。上图中第二条记录，if_index为321，依照上述代码逻辑解决时，会将32当做if_index,剩下的1当做prefix，40当做scope，20位flags，80为ifname， veth1ffa1a8原本是网卡名，它会将其认为是第二条的ipv6地址，导致前面的全副错位。嗯。。。接下来就是把代码改好，从新公布补丁，让客户更新测试。尽管过程是波折的，但后果是好的。至此，故事整齐段落，惋惜了了我的午觉啊。 ...

本文由朱益盛、杨晖、傅啸分享，来自IBM Developer社区，原题“应用 Java 开发兼容 IPv6 的网络应用程序”，本次收录时有改变。 1、引言前几天，有个群友跟我探讨用 MobileIMSDK 写的IM服务端想反对IPv6的问题。因为众所周之的起因，IPv4早就不够用，当初国内从国家层面都在大力推广IPv6的遍及，所以包含事业单位、国企在内，当初搞信息化倡议，都要思考IPv6的反对。 我突然感觉这个问题很难答复，因为对于一般的网络通信程序开发者来说，目前真正的IPv6的开发和测试环境并不容易失去，所以想要真正说分明Java对于IPv6地反对状况，只能借助系统的材料和网贴，可能并不残缺和筹备。 实践上，Java对IPv6的反对对于程序员来说都是通明的，简直不须要代码层面的解决。但它到底是怎么反对的？反对到什么水平？对JDK版本有什么要求？对操作系统有什么要求？等等，我认为还是有必要具体钻研理解一下。 本文将用通俗易懂的文字，来解说Java对IPv6的反对现状，包含关的技术原理、能够应用的API、以及一些能够运行的演示代码片段等，心愿能让你更直观的理解Java对于IPv6的反对状况。 浏览提醒：限于篇幅，本文假如你已理解IPv6技术是什么，如您对它无所不知，倡议先浏览文言式入门文章：《一文读懂什么是IPv6》。 （本文同步公布于：http://www.52im.net/thread-3236-1-1.html） 2、举荐材料《IPv6技术详解：基本概念、利用现状、技术实际（上篇）》《IPv6技术详解：基本概念、利用现状、技术实际（下篇）》3、技术背景目前咱们应用的是第二代互联网 IPv4 技术，它的最大问题是网络地址资源无限，从实践上讲，能够编址 1600 万个网络、40 亿台主机。但采纳 A、B、C 三类编址形式后，可用的网络地址和主机地址的数目大打折扣，以至目前的 IP 地址近乎枯竭。网络地址有余，重大地制约了寰球互联网的利用和倒退。 ▲ 本图援用自《网络编程懒人入门(十一)：一文读懂什么是IPv6》 一方面是地址资源数量的限度，另一方面是随着电子技术及网络技术的倒退，计算机网络将进入人们的日常生活，可能身边的每一样货色都须要连入寰球因特网。在这种网络空间匮乏的环境下，IPv6 应运而生。它的产生岂但解决了网络地址资源数量的问题，同时也为除电脑外的设施连入互联网在数量限度上扫清了阻碍。 如果说 IPv4 实现的只是人机对话，那么 IPv6 则扩大到任意事物之间的对话，它不仅能够为人类服务，还将服务于泛滥硬件设施，如家用电器、传感器、近程照相机、汽车等，它将是无时不在，无处不在的深刻社会每个角落的真正的宽带网，它所带来的经济效益也将十分微小。 当然，IPv6 并非美中不足、一劳永逸，不可能解决所有问题。IPv6 只能在倒退中不断完善，也不可能在一夜之间产生，过渡须要工夫和老本，但从长远看，IPv6 有利于互联网的继续和短暂倒退。目前，国内互联网组织曾经决定成立两个专门工作组，制订相应的国际标准。 4、Java 对 IPv6 的反对随着 IPv6 越来越受到业界的器重，Java 从 1.4 版开始反对 Linux 和 Solaris 平台上的 IPv6。1.5 版起又退出了 Windows 平台上的反对。 绝对于 C++，Java 很好得封装了 IPv4 和 IPv6 的变动局部，遗留代码都能够原生反对 IPv6，而不必随底层具体实现的变动而变动。 那么 Java 是如何来反对 IPv6 的呢？ ...

在万物互联迈进的时代趋势下，以IPv6为代表的下一代互联网技术应运而生。然而，IPv4向IPv6网络的升级演进是一个长期、持续的过程，IPv6部署应用过程中的网络安全风险尚未完全显现。 近年来，我国各政府部门立足自身职责分工，在政策方面出台相关政策文件，同步强化各行业领域IPv6发展和安全工作部署；各行各业也开始纷纷进行IPv6的研究和演进。2019年11月，腾讯和中国移动、中国信通院、华为的联合项目《移动互联网IPv6技术攻关及规模应用》荣获一等奖大奖。 针对IPv6发展趋势及网络安全动向，腾讯安全平台部天幕团队联合安全专家咨询中心、云鼎实验室、数据安全部，从IPv6安全通用、IPv6安全性评估、First-Hop安全、配置防火墙和安全架构四方面展开，对IPv6 新环境下的常见安全问题进行梳理，期望为企业客户带来实用性的参考和帮助。 Q0：IPv6是什么？ 答：IPv6是第六代互联网协议。第四代互联网IPv4经历了移动互联网快速发展，为视频、游戏、支付提供服务。但随着产业互联网的发展，IPv4不再能满足世界上暴增的网络需求，IPv6应运而生。通俗地讲，IPv6的地址数量可以为全世界的每一粒沙子编上一个IP地址。而IP地址，就是我们在互联网上的“门牌号”。 Q1：IPv6协议是否比IPv4协议更安全？ 答：IPv6除了具有地址资源丰富、精准对应、信息溯源等特点外， IPv6 地址之间传输数据将经过加密，信息不再被轻易窃听、劫持，因此总体而言，安全性将是IPv6的一个重要特性。但由于IPv6增加的复杂性会导致攻击载体数量增加，让不法黑客能够执行不同类型攻击的可能性增多。所以从协议方面来看，IPv6将要面临更多的安全风险。 Q2：在部署的安全性来看， IPv6与IPv4哪一方更安全？ 答：从部署安全性的角度来看，IPv6与IPv4要通过以下四个维度来进行比较： 协议规范成熟度：网络安全协议相关的漏洞都是经过安全研究人员长期观察中发现并进行修补的。IPv4协议已经经历了安全工作人员长期的维护和修补，现阶段较IPv6的协议规范更为成熟、稳定。实现的成熟度：目前来看，IPv6缺乏适当的建议来防止漏洞的实现方法，其协议设计还有待完善。对协议的信心/经验：相较于已经成熟的IPv4网络环境，网络安全工程师还需要一段时间来积累对抗IPv6新环境下网络安全威胁的经验。安全设备和工具的支持：尽管安全设备和工具经过改进后能够对IPv4和IPv6同时进行有效支持，但IPv6部署应用过程中的网络安全风险尚未完全显现，安全设备和工具在特性和性能方面还存在不足。Q3：使用IPv4网络的用户，需要对针对IPv6进行安全部署吗？ 答：需要。自从2017年11月底国家《推进互联网协议第六版（IPv6）规模部署行动计划》以来，各运营商都已经可以为用户安装原生的IPv6宽带网络了。因此用户所使用的网络很有可能是双栈接入，即能和IPv4、IPv6两种网络进行通信。 如果攻击者在用户的网络上启用了全局IPv6连接，那么用户网络中的节点可能会无意中将原本用于本地流量的IPv6节点用于非本地流量，为攻击者提供机会。 Q4：用户是否需要增加IPv6互联网安全协议（IPSec）的使用量？ 答：现在IPv6的IPSec都是默认关闭的，用户也不需要自行增加IPSec的使用量。以前的IPv6规范要求所有节点包括对IPSec的支持，而且IPv6网络能够使用本地IPSec的预期能力，可能会导致IPSec的使用变得广泛并影响网络传输速率。 Q5：用户可以使用哪些工具来评估自己的网络和设备？ 答：可以使用SI6 Networks' IPv6 Toolkit、The Hacker's Choice IPv6 Attack Toolkit、Chiron这三个免费开源的IPv6工具包。 Q6：IPv6的网络地址可以被扫描到吗？ 答：通常情况下不行，因为标准的IPv6子网是/64s，用户端设备的网络地址随机分布在一个非常大的地址空间之中，无法进行全局扫描。 但是在基础设施节点（如路由器、服务器等）通常使用可预测的地址且客户节点（笔记本电脑、工作站等）通常使用随机地址时，可以使用“定向”地址扫描轻松地发现基础设施节点，再通过扫描工具针对特定的地址模式来获取用户端设备的网络地址。 Q7：IPv6网络中，可以进行网络探测吗？ 答：如果目标是局域网，可以使用多播探测和多播DNS查询这两种技术进行网络探测；如果目标是远程网络，则可以使用Pattern-based address scans、DNS zone transfers、DNS reverse mappings、Certificate transparency framework、Search engines这些技术来实现网络探测的目的。 Q8：在IPv6中有可能执行主机跟踪攻击吗？ 答：视情况而定。主机跟踪是指当主机跨网络移动时，网络活动的相关性。传统的SLAAC地址需要节点将它们的MAC地址嵌入到IPv6标识接口中，从而使IPv6主机跟踪非常微弱。临时地址通过提供可用于(类似于客户端)对外通信的随机地址来缓解部分问题，而稳定隐私地址取代了传统的SLAAC地址，从而消除了问题。 随着时间的推移，实施已经朝着临时地址和稳定隐私地址的方向发展。但是，应该检查您的操作系统是否支持这些标准。 Q9：是否应该为服务器设置不可预知的地址？ 答：管理员在分析每个网络场景的相关权衡和便利后，可以为一些重要的服务器设置不可预知的地址，因为在设置不可预知的地址后，攻击者将很难“针对给定前缀中的所有服务器“。 Q10：如何应对基于DNS反向映射的网络探测行为？ 答：可以仅为需要的系统如邮件传输代理配置DNS反向映射，也可以通过配置通配符反向映射，以便反向映射的每个可能的域名都包含有效的PTR记录。 Q11：IPv6网络环境中是否存在地址解析和自动配置攻击？ 答：IPv6的邻居发现协议（NDP）组合IPv4中的ARP、ICMP路由器发现和ICMP重定向等协议，并对它们作了改进。作为IPv6的基础性协议，NDP还提供了前缀发现、邻居不可达检测、地址解析、重复地址监测、地址自动配置等功能。 所以IPv6网络环境中的NDP和自动配置攻击相当于来自IPv4的基于ARP和DHCP的攻击，如果用户的IPv4网络中存在遭受ARP/DHCP攻击的威胁，那么也必须重视IPv6网络中NDP和自动配置攻击所带来的安全威胁。 用户可以通过RA-Guard和DHCPv6-Shield/DHCPv6-Guard这两种方法来应对IPv6网络中NDP和自动配置攻击所造成安全隐患。 Q12：在地址记录方面，SLAAC和DHCPv6有什么区别? 答：使用SLAAC进行地址配置时，由于地址是“自动配置”的，所以没有IPv6地址的集中日志。 当DHCPv6被应用于地址配置时，服务器通常维护一个IPv6地址租约日志。一旦主机被入侵并检测到IPv6地址租约日志的维护行为时，不法分子很容易通过受感染节点来发起恶意攻击。 同时，DHCPv6也不会阻止主机自行配置地址（即不通过DHCPv6请求地址），所以DHCPv6日志应该只在节点与网络合作的情况下使用。 Q13：可以用RA-Guard和DHCPv6-Guard/Shield防御自动配置攻击吗？ 答：视情况而定。这些机制的实现很多可以通过IPv6扩展报头轻松绕过。在某些情况下，可以通过丢弃包含“未确定传送”的数据包来减少规避。 Q14：用户应该在网络上部署安全邻居发现（SeND）吗？ 答：不建议部署，因为目前几乎没有支持SeND的主机操作系统。 Q15：什么是邻居缓存耗尽（NCE）攻击，如何减轻这种攻击？ 答：NCE可能导致目标设备变得无响应、崩溃或重新启动。NCE攻击的目标是在邻居缓存中创建任意数量的条目，这样就不可能再创建新的合法条目，从而导致拒绝服务。NCE也可能是地址扫描远程网络的副作用，其中最后一跳路由器为每个目标地址创建一个条目，从而最终耗尽邻居缓存。 缓解NCE可以限制处于不完整状态的邻居缓存条目数量。或是在受到点对点连接节点的NCE攻击时，通过为点对点链接使用长前缀(例如/127s)来强制人为限制相邻缓存中的最大条目数。 Q16：IPv6网络的逐步普及，会推动以网络为中心的安全范式向以主机为中心的安全范式的转变吗? 答：不会。IPv4网络的安全模式也不并是完全的“以网络为中心”，而是同时基于主机的防火墙和基于网络的防火墙。未来IPv6网络很可能会遵循之前的混合模式。 ...

简介最近在看TCP/IP详解，在IPv6这一块对映射地址和兼容地址概念有点模糊，查找资料后进行一些总结。 正文ipv4映射地址：即ipv4映射的ipv6地址。如ipv6地址::ffff:10.0.0.1可以表示ipv4地址 10.0.0.1。此类型的地址用于将IPV4节点表示为IPV6节点。允许IPV6应用程序直接与IPV4应用程序通信。 ipv4兼容地址：即ipv4兼容的ipv6地址。如::0102:f001相当于地址::1.2.240.1。兼容地址与映射地址不同，兼容地址只是用类似ipv4地址的方式书写成ipv6格式或由软件处理给人看上去和ipv6兼容的样子。这种是用于ipv4和ipv6之间的过渡计划，现在已经不再需要(过渡已经完成)。这种主要在路由器上使用，ipv4的地址必须是全球唯一的ipv4单播地址，用于代表ipv4节点的ipv6地址。 引用https://www.cnblogs.com/lsgxe...https://www.zhihu.com/questio...

现在是 9102 年，有一个严重的问题，困扰着资深宅男二狗子。那就是偶像团体没新名了。今年开始，偶像团体 XKB48 已经在无法取更多的新名字了，排列组合的所有方式都已经经过了历史长河的洗礼，除非偶像们的人数从 48 改变，不然今年开始都得叫“XXKB48”。 除了偶像名字不够用了，二狗子还发现用于粉丝网站的服务器公网 IP，也不够了。虽然现在已经是 9102 年，二狗子还是喜欢用 IPv4，用爱发电的粉丝网站，一定要用吉利的数字才行，可二狗子在找到一篇 2019 年的文章后，毫不犹豫的选择了 IPv6。 文章标题很直白，《IPv6 优于 IPv4 的十大功能》。下面来看看文章中具体说了些什么吧。 更大的 IP 地址空间需要连接到 Internet 的每台计算机或在线设备都需要全球唯一的 IP 地址。IPv4 使用 32 位作为 IP 地址长度，允许大约 40 亿个唯一 IP 地址。当 IPv4 在 20 世纪 70 年代被引入并作为互联网协议被接受时，他们没有预见到互联网的普及程度。因此当时的人们坚信这 40 亿个地址足以应对未来的互联网环境。 今天，地球人口约为 66 亿，而互联网的人口仅为 13 亿，甚至不到全世界人口的 22％。很明显，在不久的将来会有越来越多的人连接到互联网。此外，随着通过 IP 融合通信技术（如数据，音频，视频和语音）的巨大进步，互联网的发展和扩展仍有巨大的空间。网络地址转换（NAT）等方法用于在唯一的全局IP地址和多个私有 IP 地址之间进行转换。例如，与每个用户具有唯一全球 IP 地址的情况相比，具有拨号服务的人在十个用户之间共享一个调制解调器，从而节省了大约 90％ 的地址。此外，甚至企业用户也采用相同的方法让许多计算机共享一个地址，从而节省地址。然而，这在网络硬件和软件中带来了额外的复杂性。 而 IPv6 使用 128 位用于 IPv6 地址长度，允许 3.402823669 × 10³个唯一地址。要了解所涉及的规模，可以将整个 IPv4 空间视为一台经典 iPhone 4 大小，那么 IPv6 空间将是地球的大小。从这些数字可以看出，使用 IPv6 后，可以为每个人提供数十亿个地址，并确保必须连接到 Internet 的任何设备都具有唯一的 IP 地址。 ...

在介绍 IPv4 到 IPv6 过渡技术之前，我们先来简单了解一下 IPv4 和 IPv6。什么是 IPv4？IPv4 全称为 Internet Protocol version 4，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，IP 地址是一个 32 位的二进制数，算下来其实也只有 2^32 个地址，这些地址中有分为 A、B、C、D、E 5 类，而比较常用的只有 B 类 和 C 类，这两类地址算起来数量就更加有限，在加上现在互联网迅猛的发展，在 2011 年 2 月 3 日 IANA 中 IPv4 地址池已全部耗尽，这就严重制约了互联网的发展。而对于 IPv6 来说，是用于替代 IPv4 的下一代 IP 协议，IPv6 地址长度是 128 位，长度是 IPv4 地址的 4 倍，IPv6 具体有多少地址呢？IPv6 128 位的地址长度可以提供 3.402823669 × 10³ 个地址，小编的数学不好，算不出来到底有多少，就借用一句话来形容，IPv6 可以为全世界每一粒沙子分配一个地址。这要是分配的是 GirlFriend 那该多好啊，这样工程师就能构建更厉害的技术，小编也能拥有一个 GF 了。 IPv4 VS IPv6除了充沛的 IP 地址数量，IPv6 相比 IPv4 还有其他诸多的优势。 ...

IPv4地址已接近枯竭，被誉为下一代互联网技术的IPv6成为新的“全球互联网门牌号”，它可以让地球上的每一粒沙子都拥有地址。12月6日，阿里云宣布为企业提供全栈IPv6解决方案，加速推进中国下一代互联网应用。作为国内首个全面支持IPv6的云厂商，过去5个月，阿里云DNS的IPv6日查询量增长了600倍，目前，核心产品已全面支持。当下，各国都在加速推进下一代互联网的部署，今年5月，工信部发布了推进互联网协议第六版（IPv6）规模部署行动计划，IPv6改造已迫在眉睫。阿里巴巴2017年开始投入IPv6技术的研发与应用，并率先实现了大规模应用。其中，优酷、淘宝、天猫以及高德地图等多个用户量过亿的应用已开花结果，实现了IPv6的落地。现在，所有企业都可以通过阿里云获得这一能力。“我们希望通过阿里云向客户、合作伙伴分享向IPv6迁移的技术与经验，共同构建中国的IPv6生态，推动中国互联网加速迈向下一代互联网。” 阿里巴巴集团CTO、阿里云智能总裁张建锋表示。IPv6的改造是一项庞大的系统工程，如果用传统方式，需要对服务器、网络以及应用进行全方位的升级，不仅技术挑战大，而且周期长。阿里云提供了国内最完整的IPv6解决方案，可帮助企业最短几分钟完成业务系统的升级，同时保障业务的连续性。阿里云国内数十个IDC已支持IPv6。阿里云核心产品如ECS、VPC、OSS等均已支持IPv6自研技术Netframe拥有400G级IPv6转发能力。AliBGP实现跨厂商路由协议对接，解决了多厂商兼容性问题。AliGuard可以提供T级抗攻击能力。据了解，阿里云IPv6全栈解决方案已服务超过200个行业场景，涵盖零售、金融、制造、广电传媒等行业。新浪微博通过阿里云完成了IPv6公网访问业务的升级改造，未来将通过无NAT的IPv6源地址更精准地描绘用户画像，为用户提供千人千面的定制化服务；长江电力基于IPv6网站解决方案，实现了互联网网站和应用系统的双栈访问，为终端用户提供了更流畅的网络体验。阿里云智能研发总经理蒋江伟（花名：小邪）表示，“阿里云将与运营商、设备商、应用软件厂商深入合作，共同构建IPv6生态，加速推进中国IPv6的规模部署。”本文作者：阿里云头条阅读原文本文为云栖社区原创内容，未经允许不得转载。