对比ipv6和ipv4威胁：网络侦查在ipv4中很简单——使用whois 查dns，ping，端口、应用扫描等。

        在ipv6的环境不同，子网中地址很多，通常为2的6次方个，相当费力。扫描几乎不可能。

        IPv6中如何找到攻击目标？

        1.每个网络中有一个公共的dns.可以通过dns找到攻击的目标。

        2.IPv6非常依赖dns。

        3.IPv6地址很长，不好设置。

        4.路由器应该知道本网段所有活跃的机器的地址。

        5.IPv6很提供很多组播地址。可以利用做攻击帮助点 ff05：：2，ff05：：1：3等。可以ping整个网段中所有的组播公共地址，如所有的网络设备都加入该组。

        6.rfc3041：IPv6私密性扩展。不断变换地址。给网络管理和追踪调查带来不便。

        防侦查的有效措施：慎重使用IPv6私密性扩展。如果和外网通讯，允许使用私密性扩展，如果和内网通讯不允许使用。

        在防火墙过滤掉一部分不需要的icmp信息。

        从应用层加强安全性，补丁。

        非法访问：IPv4环境的非法访问，用acl.区别基础是IP源、目的地址和端口。

        在IPv6依然是使用网络三层和四层信息界定合法和非法。因为有IPv6私密性扩展，禁止非常困难，为了保证内网的acl有效性，尽量禁止IPv6私密性扩展。

        IPv6的可疑地址和未使用的地址是不一样的，大多数地址都未被定义，在IPv6下可以使用允许2001：：/16 2002：：/16，3fe：：/16之外的，在内外口处过滤掉。

       icmpv4和icmpv6对比，icmpv6有更好的即插即用性。包含icmpv4的所用功能，还包括dhcp，igmp，移动IP功能，过滤时要注意。

微信公众号

TechTarget

官方微博

TechTarget中国