2021年，分布式云成为云计算领域关注的热点。经过一年时间的探索与沉淀，分布式云开始从理论走向实践，诸多云计算头部企业夯实分布式基础设施建设、优化分布式资源调度、开发分布式应用，为构建分布式云打下了坚实的基础。

12月15日，以“引领分布式云变革 助力湾区数字经济”为主题的全球分布式云大会在深圳隆重召开，本届大会由全球分布式云联盟、深圳科技交流服务中心、深圳市通信学会、众视Tech联合主办。组委会携手阿里云、腾讯云、Google Cloud、华为云、蚂蚁集团、浪潮云、金山云等海内外顶尖云计算团队和分布式云先锋企业，为粤港澳大湾区数字经济发展注入分布式云动力，更将中国分布式云计算发展推上全新高度！

在16日下午举办的分布式安全存储论坛上，华为 AntiDDoS产品研发总监 杨莉发表了题为《IPv6+云时代DDoS挑战与对策》的精彩演讲。

文章插图

随着互联网业务向云迁移，DDoS攻击因简单、低廉及难防御成为云基础设施最大威胁。从IPv4时代来看，DDoS攻击呈现出强度持续攀升趋势，T级攻击时代到来。今年六七月份，全国多个机房遭受到了T级攻击，华为记录的某个机房最多一天遭受了9次T级攻击；甚至网络层CC的攻击强度也提升至50G-100G。第二个趋势是攻击复杂度持续攀升， 扫断叠加脉冲，对云基础设施构成了巨大威胁。IPv6网络时代，DDoS对云的威胁会持续加剧，云抗D技术必须有更大的变更，才能应对IPv6时代的DDoS威胁。

俗话说“道高一尺魔高一丈”，抗D技术永远是跟随攻击被动发展。总的来说，利益趋势下，网络环境和互联网业务发展变化促使DDoS攻击形态发生变化，为了防住攻击，防御技术需要随之变革。

当前网络环境最大变化自然是IPv4向IPv6演进。

从协议安全性角度看，IPv6相比IPv4在DDoS上没有任何改观，IPv4面临的攻击IPv6几乎都存在。2018年，CERNET北美网络节点遭受了IPv6 Memcached反射；2021年国内IPv6网络层和应用层攻击频发，可以说，IPv4网络向IPv6网络发展过程中，IPv4出现过的网络层DDoS攻击和应用层DDoS攻击，IPv6网络照单全收。

IPv6的发展需要经历一个漫长的过程，虽然大多数国家运营商IPv6网络已经建设完毕，但互联网业务依然处于以IPv4为主的时代，所以IPv4和IPv6会处于长期共存状态，双栈共存时期的DDoS攻击也有新的形态。首先是双栈攻击，一个业务既有IPv4地址又有IPv6地址，两者会同时遭受攻击；其次，双栈攻击时期，IPv6的数据会通过IPv4隧道转发，而DDoS攻击会隐藏在隧道中，形成IP6over4隧道攻击。

IPv6协议在IPv4协议基础上演进，因IPv6协议自身特点引入了一些新型的DDoS。首先IPv6的报文头引入了扩展字段，增加了灵活性，但也因此引入了利用特殊构筑的IPv6扩展头发起的扩展头攻击。其次，基于ICMPv6的邻居发现协议（Neighbor Discovery Protocol），发起的NDP flood。

总结来说，IPv6时代有三类威胁形态，第一类是IPv4、IPv6共有的DDoS攻击形态，第二类是IPv4向IPv6过渡时期的DDoS攻击形态，第三类是针对IPv6协议的攻击形态。

针对这三类攻击，从防御角度讲，主要要做到双栈防御；针对IP6over4流量，一般来说直接做限速即可，因为运营商IPv6网络建设已经非常完善，不应该出现IP6over4流量，尤其是国内各种云已经不存在IP6over4流量，如果的确有这类特殊场景，建议把隧道做白名单管理，其它隧道流量直接做限速；对IPv6流量则默认提供报文头合法性检查，以及NDP流量限速。

• 华为|别不信！魅族如今处境，雷军早有预料，小米也早已体验
• 华为|问界M5风光无限，赛力斯SF5暗自神伤，华为或许低估了造车这事？
• 40K：Battle|VR动作射击游戏「Warhammer 40K：Battle Sister」即将登陆Steam
• Games|Beat Games透露VR音游「Beat Saber」全新音乐方块类型
• 华为鸿蒙系统|华为偷偷上架新机，鸿蒙系统+5000mAh大电池，仅售1399元
• 5G|关于5G，华为赢了
• 华为|华为任正非最新信件曝光：春天很快就会到来！
• 5G|华为利用5G毫米波发现园区入侵者，这让美国5G联盟情何以堪
• ios|华为迎来新里程碑，在新领域旗开得胜！
• 打脸！华为在美国，用专利把英特尔、苹果、微软、高通打败了