2022年12月14日，CIS 2022 網絡安全創新大會「多維時空」線上元宇宙直播專場如期舉行。來自深信服創新研究院的安全專家吳鶴意、安全工程師楊曉鵬在該專場分別為線上上萬觀眾帶來了關于IPv6的研究議題《How to DOS Millions of mobile devices&websites？》以及關于云原生安全掃描工具研發思路的研究議題《CNST：一款無損化的新型容器安全檢測工具》，共同探討網絡安全技術的新趨勢。

2022年，數字化浪潮已經到來，新賽道、新技術、新模式層出不窮，網絡安全形勢日益嚴峻，數據泄露、勒索攻擊頻頻發生，網絡攻擊威脅籠罩全球。在此背景下，CIS 2022網絡安全創新大會廣邀網絡安全行業領軍人物、意見領袖、技術大拿、安全專家齊聚一堂，共話網絡安全行業新趨勢、新技術和新對策。

接下來，上干貨，為大家簡單梳理來自深信服創新研究院2名安全專家、工程師的議題分享：

How to DOS Millions of mobile devices&websites？

影響數以億計設備與網站的IPv6安全思考

隨著互聯網協議第6版（IPv6）的大規模部署，來自IPv6網絡的正常訪問流量持續增長。整個上半年，IPv6網絡應用程序的日均訪問量超過2900萬，IPv6流量約占總流量的0.33%。

每天監測的獨立IPv6地址數量呈溫和上升趨勢，根據2021年1月份互聯網服務提供商的最新統計，擁有IPv6地址的網站超過149萬個。

而涉及如此多設備和網站的IPv6網絡的安全性如何？創新研究院使用kali2021中thc-ipv6工具包中的denial6工具，對手機和網站兩個不同的目標使用了7種攻擊方法進行測試（該測試是在獲取攻擊測試許可前提下進行），攻擊效果都相當顯著。

IPv6漏洞在中國互聯網服務提供商中廣泛存在，影響著數以億計的設備和網站。這不禁讓人發出思考：在IPv6安全研究發展10多年后，我們的IPv6網絡仍然如此脆弱，使用常見攻擊模式就可以取得如此效果，我們的網絡安全還在走老路嗎？IPv6 ready != IPv6 security，未來，針對IPv6的防御、分析和應急將成為網絡防守方的一大課題。創新研究院針對下一代網絡安全（ipv6，物理層設備指紋）等技術將會持續探索。

CNST：一款無損化的新型容器安全檢測工具

云原生安全掃描工具的研發思路

隨著企業上云日益普遍，云原生安全越來越成為網絡安全的重要組成。根據某針對k8s的空間測繪報告，國內77%的集群受到CVE-2021-25741、CVE-2021-25735、 CVE-2018-1002105的影響，而如今支持掃描k8s Nday和內核Nday的工具非常少，云原生安全態勢不容樂觀。

因此創新研究院在CNST（Cloud Native Security Tool）工具中不僅開發了基于規則匹配的Pod掃描，而且針對Node內核與K8S及其Runtime Nday開發出了深度檢測功能：以真實的、無損的PoC模擬漏洞復現來獲取真實的漏洞狀態，力求覆蓋全面風險的掃描，且減少誤報漏報，幫助集群收縮攻擊面。

從架構上看，CNST在K8S場景支持三大模塊：Pod檢測模塊、Node檢測模塊、K8S及其運行時Nday檢測模塊。

不僅支持K8S場景，CNST還對純Docker場景進行了適配。純Docker場景的檢測同樣支持三個模塊：容器配置檢測、內核檢測、docker軟件檢測。

從檢測思路上，CNST分為非深度檢測，即使用規則匹配的形式，以及深度檢測，即使用真實、無損PoC，驗證漏洞。

最后安全效果上，在內部20+靶場環境的測試中，CNST兩種檢測方式檢測率均達到了100%，深度檢測實現了0誤報。

在與國內某知名開源紅隊工具和國外某知名開源云原生工具的橫向對比中，也可以看到CNST是一款全自動的一鍵掃描檢測、自動生成詳細報告、完全無損、無痕、檢測速度快、資源占用少的容器安全檢測工具。

運維、開發等人員能夠借助這款工具進行風險掃描，減少風險；滲透人員能借助這款工具在被授權的滲透測試中，掃描整體風險，快速梳理出攻擊點。

深信服千里目安全技術中心-創新研究院一直致力于安全和云計算領域的核心技術前沿研究，推動技術創新變革與落地，擁有安全和云計算領域500+ 專利，實現攻擊和檢測技術的相互賦能，并及時把能力輸入到業務線中，實現自身產品的迭代優化。未來，深信服千里目安全技術中心也將不斷提高專業技術造詣，深度洞察網絡安全威脅，持續為網絡安全賦能。