SRv6网络演进面临的挑战

一、网络设备支持IPv6

二、SRv6网络如何兼容现网设备

三、SRv6网络面临的安全挑战

• 窃听
  ：若报文未采用加密等手段，则入侵者可能在报文经过的设备上截获传送的数据，并通过多次窃取和分析，找到信息的规律和格式，进而获取传输信息的内容，造成信息的泄露。

• 报文篡改
  ：入侵者掌握了信息的格式和规律后，通过一定的技术手段和方法，在信息传递的途中对信息进行篡改，然后再发向目的节点，进行欺骗或攻击。

• 仿冒
  ：由于掌握了数据格式篡改的方法，攻击者可以冒充合法用户，主动发送假冒信息或者主动获取信息，从而欺骗远端用户，非法窃取信息或攻击网络。

• 回放攻击
  ：通过非法截获报文，过一段时间再重新发送该报文来造成攻击。比如截获携带登录账号密码的报文，过一段时间再回放报文，完成登录。

• DDoS攻击
  ：一个或多个攻击者不断发送攻击报文，使得被攻击目标不停地为其需求提供服务，从而耗尽被攻击者的资源，使其无法为其他用户提供服务的攻击类型。

• 恶意报文攻击
  ：攻击者发送具有攻击性的可执行代码或报文，直接攻击目标主机。

• 远程网络发现
  ：主要是基于已有的Tracing技术获取最短路径转发的沿途节点信息，再通过在RH0中插入指定的节点地址，让报文按照指定的路径转发，继续探明其他网络节点，不断遍历，最终获得全网拓扑。

• 绕过防火墙
  ：利用防火墙只基于五元组匹配的策略漏洞来绕过防火墙。比如防火墙丢包规则中丢弃源地址为节点A、目的地址为节点D的报文，只需要向RH0中插入节点B的地址，使得报文先以节点B为目的地址通过防火墙，再在节点B更换目的地址为节点D，这样就绕过了防火墙。

• DoS攻击
  ：由于RH0不限制插入重复的地址，所以如果往路由扩展报文头中插入多组重复的SID，就可以让数据在网络中来回转发，从而实现放大攻击，最终耗尽设备资源实现DoS攻击。比如RH0中插入了50组节点A的地址和节点B的地址，就可以在节点A和节点B之间创造50倍的攻击流量。