IPv6 安全性
所有 Apple 操作系统都支持 IPv6,为保护用户的隐私和网络堆栈的稳定性实施了多种机制。使用无状态地址自动配置 (SLAAC) 时,所有接口的 IPv6 地址的生成方式既可以帮助防止跨网络跟踪设备,同时可在网络未发生改变时确保地址的稳定性,从而提供良好的用户体验。自 RFC 3972 起,地址生成算法基于加密生成地址,并通过特定于接口的修饰符进行增强,以保证同一网络上甚至不同的接口最终都具有不同的地址。此外,创建的临时地址的首选生命周期为 24 小时,默认用于任何新连接。为了与 iOS 14、iPadOS 14 和 watchOS 7 中引入的“私有无线局域网地址”功能保持一致,将为设备加入的每个无线局域网生成唯一的本地链接地址。网络的 SSID 将合并为地址生成的附加元素,类似于自 RFC 7217 之后的 Network_ID 参数。iOS 14、iPadOS 14 和 watchOS 7 使用此方法。
为了防止基于 IPv6 扩展标头和分段的攻击,Apple 设备实施了 RFC 6980、RFC 7112 和 RFC 8021 中指定的保护措施。与其他措施相比,这些措施可以阻止仅可在第二个分段中发现上层标头(如下所示)时发生的攻击,而这种攻击可能导致无状态数据包过滤等安全性控制执行混乱。
此外,为帮助确保 Apple 操作系统中 IPv6 堆栈的可靠性,Apple 设备对与 IPv6 相关的数据结构强制实施各种限制,如每个接口的前缀数。
感谢您的反馈。