使用双协议的SIEMs规避

攻击者和防御者现在都在一个双协议的世界中操作，这是一个事实。随着IPv6的加入，攻击者正在学习新的技巧，而防御者将需要预测并防范那些新的攻击。攻击者将尝试单独使用IPv4和IPv6或同时使用IPv4和IPv6。我们可以预测，攻击将结合使用IPv4和IPv6，使攻击者能够避免被当前的保护机制检测到。

攻击者在使用时通常使用特定的方法恶意软件传播和命令和控制网络的开发。然而，攻击者进行有针对性的攻击时使用不同的标准方法。攻击者开始侦察，探索和扫描，开发，维护访问，覆盖了轨道，并利用获得扩大到其他系统。当攻击者正在执行侦察，它们可以只着眼于目标的IPv4地址。然而，当目标是通过IPv6传输连接一个熟练的攻击者会承认。如果被害人只使用IPv4，然后他们才能到达过一个协议，但如果受害者是在两个到达，那么“受攻击面”，有效地增加了一倍。攻击者将执行的可达性测试和扫描在IPv4和IPv6，从而加倍他们的工作量。无论攻击者和捍卫者现在必须做的一切两次;一旦IPv4和一次使用IPv6。每一个活动的是，攻击者进行将使用IPv4和IPv6，以确定是否一个协议是小于其它强化。然后，攻击者会利用最弱的两个连接协议。

攻击者和防御者使用的许多IPv6安全工具都支持IPv6。Nmap安全扫描器6.0已IPv6支持很多年了。原路返回（自发布4之前）已IPv6的能力,可以使用Miredo或简单的6in4隧道技术隧道。Metasploit的支持IPv6目标多年和快速7Nexpose还具有IPv6漏洞扫描能力。站得住脚的Nessus 3.2具有IPv6功能，主要是由于的Nmap的IPv6功能。QualysGuard扫描器6.11和它的FreeScan服务支持ipv6。当然，IPv6安全从业者知道黑客的选择（THC）的IPv6攻击工具包,SI6网络IPv6工具包和IPv6的能力Scapy包各具特色库。有迹象表明，正在成为IPv6的许多其他安全工具。

但是，安全系统的列表能够深度包检测（DPI）以IPv4和IPv6特征奇偶是令人惊讶的短，而不是作为迅速增长。有一些工具，这些工具能够解析IPv6数据包和IPv6包封装在IPv4包。许多IPS系统甚至可以扩展到更大的范围10Gbps的交通检查。思科的IPS系统之前就有IPv6支持6.2版。安全洋葱，由Doug伯克斯创建的IDS和NSM工具一个优秀的开源分布，具有IPv6的检测能力。一些主要的Web应用程序防火墙（WAFS）现在支持IPv6。

攻击者必须使用IPv4和使用IPv6攻击的一些部分的双协议服务器上执行的应用层攻击的一些部分的能力。这可能混淆入侵防御系统，因为它不能够确定这两个攻击有关。这种情况就更糟糕了，如果你的IPS甚至没有看IPv6数据包。更可能的是，IPS会简单地检查每一个连接的独立寻找包相匹配的签名或触发异常检测阈值。

也有一些IPv6的能力安全信息管理器(SIMs),安全事件管理（SEM）以及由此组合安全信息和事件管理(siem)。例如,Splunk的4.3版本或更高版本有IPv6支持和ArcSight网络配置管理器(NCM)自2007年5月起就有了IPv6的能力。还有几个其他的SIEMs产品有基本的IPv6支持。

这种类型的双协议攻击还可以避免SIEMs的相关性。SIEMs不能识别攻击者的IPv4地址与攻击者的IPv6地址相关联。关联引擎无法确定攻击者的源IPv4地址和IPv6地址是否是同一台计算机。如果一个攻击者用IPv4破坏了一个系统，然后使用IPv6传播到其他系统，SIEMs不会确定这两个活动是同一次攻击的一部分。SIEMs甚至无法确定受损服务器的IPv4地址是否配置在同一台服务器上，该服务器拥有用于对其他系统进行二次攻击的IPv6地址。

那么，SIEMs如何确定双协议攻击来自同一源?一种方法是使用某种形式的元数据或其他时域通用性来确定同一个攻击者组合使用两种协议来制定攻击。SIEMs可以尝试不同的技术来追溯源头。例如，SIEMs可以对IPv4和IPv6地址执行whois或DNS查询，并查看它们是否为相同的组织或FQDN。SIEMs可以使用IPv4和IPv6对源进行跟踪，看看路径是否一致。SIEMs可能能够使用某种类型的启发式来关联IPv4和IPv6活动。Splunk的国防部长Monzy Merza已经这么做了编写和提交关于使用元特征检测威胁的话题。然而，防御者在默认情况下将IPv4和IPv6相关功能内置到他们的保护系统中还需要一段时间。

声望系统也有IPv4地址和IPv6地址进行关联着同样的挑战。通过引入CGN / LSN系统，IPv4声誉过滤也许用不了多久了这个世界。许多用于检测信誉过滤系统的垃圾邮件或者托管恶意软件的网站不具备IPv6能力。声誉数据库将需要能够关联一个托管恶意软件的系统的IPv4地址和IPv6地址，或者产生恶意流量的系统。然而，他们还没有做到。

攻击者正在学习IPv6安全与IT专业人员和IPv6部署在互联网上的速度相同。会有一些攻击者或防御者在竞争中领先于对手，并具有竞争优势。尽管IPv4和IPv6在很多方面很相似，但IPv6有一些细微的差别需要安全行业加以考虑。最佳实践是预见这些挑战，并在部署之前创建保护措施。然而，IPv6现在已经在互联网和许多组织的互联网上实现了网络边缘。这种情况导致机会攻击，迫使守军制定战略，以保护他们的组织。

斯科特