IPv6 安全性
所有 Apple 作業系統皆支援 IPv6 並導入數種機制,以保護使用者的隱私與網路堆疊的穩定性。使用「無狀態位址自動設定」(SLAAC)時,會產生所有介面的 IPv6 位址,其方式可協助防止跨網路裝置追蹤,同時藉由確保網路沒有變動時的位址穩定性來提供絕佳使用者體驗。位址產生演算法是根據 RFC 3972 的加密編譯產生位址,並藉由介面專屬的修飾元增強,以保證即使相同網路上有不同介面,最終將具有不同的位址。此外,所建立的臨時位址其偏好存留期為 24 小時,在預設情況下,這些臨時位址會用於任何新的連線。配合 iOS 14、iPadOS 14 和 watchOS 7 推出的專用 Wi-Fi 位址功能,系統會為裝置加入的每個 Wi-Fi 網路產生一個不重複的連結本機位址。網路的 SSID 會合併作為產生位址的額外元素,類似 RFC 7217 的 Network_ID 參數。此方式會用於 iOS 14、iPadOS 14 和 watchOS 7。
為了防止 IPv6 延伸標題和分段相關的攻擊,Apple 裝置導入了 RFC 6980、RFC 7112 和 RFC 8021 中指定的保護措施。這些措施尤其可阻止攻擊,在攻擊中僅可在第二個片段中可以找到上層標題(如下所示),其反過來可能導致對安全控制(如無狀態封包過濾器)產生模糊空間。
此外,為了協助確保 Apple 作業系統的 IPv6 堆疊的可靠性,Apple 裝置對與 IPv6 相關的資料結構強制執行了各種限制,例如各介面的前置碼數字。
感謝您的寶貴意見。