IPv6頭信息鏈結(jié)構(gòu)的靈活性優(yōu)于IPv4，因為它不限制數(shù)據(jù)包可以包含的數(shù)量。然而，這種靈活性也是有代價的。

任何需要獲取上層信息（如TCP端口號）的系統(tǒng)，都需要處理整個IPv6頭信息鏈。而且，由于當(dāng)前的協(xié)議標(biāo)準(zhǔn)支持任意數(shù)量的擴展頭，包括同一種擴展頭的多個實例，因此它會對防火墻等設(shè)備造成多種影響：

防火墻需要解析多個擴展頭，才能夠執(zhí)行深度數(shù)據(jù)包檢測（DPI），它可能會降低WAN性能，引發(fā)拒絕服務(wù)（DoS）攻擊，或者防火墻被繞過。

組合擴展頭和分片可能妨礙數(shù)據(jù)包檢測

正如前面介紹的，由于當(dāng)前的協(xié)議規(guī)范支持任意數(shù)量的擴展頭，包括同一種擴展頭類型的多個實例，因此防火墻必須能夠細(xì)致地處理包括異常的多IPv6擴展頭信息的數(shù)據(jù)包。而這可能被一些攻擊者利用，他們可能故意在數(shù)據(jù)包中加入大量的擴展頭，使防火墻在處理上述數(shù)據(jù)包時浪費過多資源。最終，這可能會引起防火墻性能下降，或者造成防火墻本身出現(xiàn)DoS問題。此外，有一些性能不佳的防火墻在應(yīng)用過濾策略時，可能無法處理整個IPv6頭信息鏈，從而可能讓一些攻擊者利用擴展頭威脅相應(yīng)的防火墻。

IPv6分片也可能被惡意利用，方法與IPv4的類似。例如，為了破壞防火墻的過濾策略，攻擊者可能會發(fā)送一些重疊的分片，從而影響目標(biāo)主機的分片重組過程。在IPv6中，這個問題更為嚴(yán)重，因為多個IPv6擴展頭和分片的組合可能產(chǎn)生一些錯誤分片，盡管它們的數(shù)據(jù)包大小是“正常的”，但是它們丟失了一些實施過濾策略通常需要的基本信息，如TCP端口號。即，數(shù)據(jù)包的第一個分片可能包含很多IPv6選項，以致上層協(xié)議頭可能屬于另一個分片，而不是第一個分片。

【編輯推薦】

1. 下一代防火墻熱潮退后的冷思考
2. 下一代防火墻與統(tǒng)一威脅管理的對比
3. IPv6防火墻安全：新協(xié)議帶來的問題
4. IPv6無法解決全部安全問題