思科最近向企业网管们发出警告，旗下某些网络设备在处理IPv6包时存在漏洞，该漏洞的影响范围还不仅限于思科自家的产品。

IPv6邻居发现漏洞安全预警

这是个有关IPv6邻居发现包的漏洞，思科发布的安全预警对此进行了详细的解释。

该漏洞可能会导致远程未授权DoS攻击的产生——黑客可以发送恶意的IPv6邻居发现包，至存在漏洞的设备。由于这些设备“低效的处理逻辑”，在处理这样的IPv6邻居包之后，设备会停止再接收IPv6流量，导致DoS。

邻居发现协议（NDP）实际上是IPv6的一个关键协议，这也算得上相较IPv4的一个进步。如果用IPv4的思维来看，IPv6的邻居发现协议组合了IPv4的ARP、ICMP路由器发现、ICMP重定向等协议，所以其功能还是比较多样的——比如它替代了ARP协议，实现IP地址和Mac地址的对应关系。在IPv4时代是没有这种较为统一的解决方案的。

随着IPv6的广泛使用，恶意节点导致各种各样的攻击，邻居发现协议的安全性原本就很受人们关注。按照思科所说，这次发现的漏洞（CVE-2016-1409）存在于使用了思科IOS、IOS XR、IOS XE、以及NX-OS软件的设备上，只要这些设备配置了全局IPv6地址，在处理传入的流量时，漏洞就能被利用。

更悲剧的是，这个漏洞的影响范围不仅是思科自家的产品，按照思科所说，其他厂商可能也遭到了波及。

漏洞影响和缓解方案

Switchzilla警告说：

“这个漏洞并不是思科独有的，所有在处理过程或者硬件中，无法在前期就丢弃这类数据包的IPv6处理设备，都会受到该漏洞的影响。”

思科表示，未来会在自家的产品中修复该漏洞。同时，他们也建议企业管理员在使用存在该漏洞的设备时，严格控制网络中的外来IPv6流量：

“应该将IPv6邻居发现包仅限在本地，并在网络的边界位置丢弃这些包，这么做会有助于保护企业内的基础设施。在网络边界位置丢弃这些可能产生问题的数据包，是目前普遍可行的解决方案。

或者如果有可能的话，我们可以对IPv6邻居做静态配置，并在边界设备上拒绝所有的IPv6邻居发现包，暂时遏制这个漏洞。”

目前，思科还没有针对该漏洞还放出补丁。