{"id":1045,"date":"2026-02-27T09:00:02","date_gmt":"2026-02-27T01:00:02","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1045"},"modified":"2026-02-27T09:00:02","modified_gmt":"2026-02-27T01:00:02","slug":"le-cdn-haute-defense-prend-il-en-charge-lipv6-les-fournisseurs-de-services-traditionnels-doivent-soutenir-pleinement-lipv6-et-sadapter-a-sa-popularite","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/1045-html","title":{"rendered":"Le CDN de haute d\u00e9fense prend-il en charge l'IPv6 ? Les fournisseurs de services traditionnels soutiennent et adaptent pleinement la popularit\u00e9 d'IPv6."},"content":{"rendered":"<p>R\u00e9cemment, un client m'a demand\u00e9 de me plaindre, il m'a dit que son site web \u00e9tait manifestement sur le CDN haute d\u00e9fense, mais que le r\u00e9sultat \u00e9tait toujours une p\u00e9n\u00e9tration DDoS, j'ai v\u00e9rifi\u00e9 les logs, bon gars, le trafic d'attaque provient tous de l'adresse IPv6, mais leur CDN n'a pas ouvert le support IPv6 - de nos jours, m\u00eame les hackers commencent \u00e0 \u201cembrasser le futur\u201d, si nous faisons la protection si nous adh\u00e9rons toujours \u00e0 IPv4, ce n'est pas pour laisser une porte d\u00e9rob\u00e9e \u00e0 l'ennemi ? De nos jours, m\u00eame les pirates informatiques commencent \u00e0 \"embrasser l'avenir\", si nous nous prot\u00e9geons en adh\u00e9rant toujours de mani\u00e8re rigide \u00e0 IPv4, cela ne laisse-t-il pas une porte d\u00e9rob\u00e9e \u00e0 l'ennemi ?<\/p>\n<p>Pour \u00eatre honn\u00eate, je travaille dans le domaine de la s\u00e9curit\u00e9 des r\u00e9seaux depuis plus de dix ans et j'ai vu l'IPv6 passer du statut de \u201ctechnologie du futur\u201d \u00e0 celui de r\u00e9alit\u00e9 \u201cincontournable\u201d. Les adresses IPv4 sont \u00e9puis\u00e9es depuis longtemps, comme une flaque d'eau dans le d\u00e9sert, et les op\u00e9rateurs tentent d\u00e9sesp\u00e9r\u00e9ment de promouvoir l'IPv6, et le pourcentage de trafic IPv6 sur le r\u00e9seau mobile a d\u00e9pass\u00e9 les 70%. Le trafic IPv6 repr\u00e9sente plus de 70%, mais de nombreuses entreprises sont encore bloqu\u00e9es dans l'\u00e8re IPv4 du CDN \u00e0 haute d\u00e9fense, qui n'attend pas d'\u00eatre battu ?<\/p>\n<p>Le probl\u00e8me est le suivant : si le CDN \u00e0 haute d\u00e9fense n'est qu'anti-IPv4, le trafic IPv6 arrive directement \u00e0 la station source, les pirates utilisent au hasard l'IPv6 pour lancer des attaques, votre CDN est virtuellement inexistant. L'ann\u00e9e derni\u00e8re, j'ai aid\u00e9 une soci\u00e9t\u00e9 de commerce \u00e9lectronique \u00e0 effectuer des tests de p\u00e9n\u00e9tration, en utilisant d\u00e9lib\u00e9r\u00e9ment l'IPv6 pour lancer une vague d'attaques CC. Leur \u201chaute d\u00e9fense\u201d n'a en fait pas r\u00e9agi, le processeur de la station source a directement grimp\u00e9 \u00e0 100% - le patron a failli me prendre pour un pirate informatique et m'a arr\u00eat\u00e9, et plus tard ! J'ai d\u00e9couvert que le fournisseur de CDN n'avait pas expliqu\u00e9 clairement qu'IPv6 devait \u00eatre configur\u00e9 s\u00e9par\u00e9ment.<\/p>\n<p>Pourquoi le CDN de haute d\u00e9fense doit-il prendre en charge l'IPv6 ? En termes simples, \u201cl\u00e0 o\u00f9 se trouve le trafic, la protection doit \u00eatre suivie jusqu'\u00e0 l'endroit o\u00f9\u201d. L'IPv6 n'est pas un changement dans le format d'adresse est si simple, son espace d'adresse est si grand qu'il peut \u00eatre donn\u00e9 \u00e0 chaque grain de sable sur la terre pour le diviser en IP, les pirates aiment maintenant utiliser l'IPv6 pour se mettre dans le p\u00e9trin, parce que beaucoup d'entreprises ne surveillent tout simplement pas l'IPv6 ! Les pirates adorent utiliser l'IPv6 parce que de nombreuses entreprises ne surveillent pas leur trafic IPv6. En outre, Google, Cloudflare, ces grands fr\u00e8res ont depuis longtemps adopt\u00e9 pleinement l'IPv6, votre CDN si vous ne pouvez pas suivre l'exp\u00e9rience de l'utilisateur, sans parler du risque de s\u00e9curit\u00e9 peut vous rendre insomniaque.<\/p>\n<p>J'ai test\u00e9 la prise en charge de l'IPv6 par plusieurs CDN grand public \u00e0 haute d\u00e9fense, et les r\u00e9sultats sont vraiment d\u00e9risoires. Les pages promotionnelles de certains vendeurs font beaucoup de bruit, mais en r\u00e9alit\u00e9, il faut d\u00e9bourser de l'argent pour ouvrir l\u201c\u201d\u00e9dition entreprise\" afin de b\u00e9n\u00e9ficier de la fonction IPv6 ; certains prennent en charge, mais par d\u00e9faut, ils sont ferm\u00e9s et il faut chercher dans les documents pour trouver le portail de configuration ; il y a encore plus scandaleux, la diff\u00e9rence de performance entre les n\u0153uds IPv6 et les n\u0153uds IPv4 est importante, sans parler de la latence \u00e9lev\u00e9e, et la r\u00e8gle de protection n'est pas courante ! --Ce n'est pas un pi\u00e8ge ?<\/p>\n<p>Commen\u00e7ons par nommer celui-ci, CDN5, j'ai \u00e9t\u00e9 tr\u00e8s impressionn\u00e9 lorsque j'ai fait une \u00e9valuation technique pour eux. Leur CDN haute d\u00e9fense a un support enti\u00e8rement automatis\u00e9 de la double pile (IPv4+IPv6) depuis 2022, ne n\u00e9cessitant aucune configuration suppl\u00e9mentaire, et les r\u00e8gles de d\u00e9tection des attaques sont synchronis\u00e9es dans les deux sens. Ce que j'appr\u00e9cie le plus, c'est leur \u201cIPv6 Priority Scheduling\u201d : le meilleur protocole est automatiquement s\u00e9lectionn\u00e9 lorsque l'utilisateur y acc\u00e8de, ce qui non seulement assure la compatibilit\u00e9 mais am\u00e9liore \u00e9galement la vitesse. Test\u00e9 avec une attaque SYN Flood lanc\u00e9e par IPv6, leurs n\u0153uds de nettoyage ont \u00e9t\u00e9 identifi\u00e9s et intercept\u00e9s en 5 secondes, plus rapidement que certains fournisseurs de protection IPv4.<\/p>\n<p>L'exemple de configuration est \u00e9galement suffisamment simple pour que vous n'ayez pas \u00e0 vous soucier de la s\u00e9lection du protocole dans le backend de CDN5, mais si vous souhaitez le modifier manuellement, vous pouvez le configurer en masse \u00e0 l'aide de leur API :<\/p>\n<p>ipv6_firewall_rules a des expressions qui prennent en charge la correspondance des segments CIDR (par exemple, 240e::\/20 est le segment IPv6 de China Mobile), et il peut \u00eatre combin\u00e9 avec des m\u00e9thodes HTTP et des chemins URI pour effectuer un contr\u00f4le fin - je recommande g\u00e9n\u00e9ralement aux clients de bloquer les segments IPv6 \u00e9trangers par d\u00e9faut en premier lieu, apr\u00e8s tout, la plupart des utilisateurs l\u00e9gitimes se trouvent en Chine. Je recommande g\u00e9n\u00e9ralement aux clients de bloquer d'abord les segments IPv6 \u00e9trangers par d\u00e9faut, apr\u00e8s tout, la plupart des utilisateurs l\u00e9gitimes se trouvent en Chine.<\/p>\n<p>CDN07 doit acheter un \u201cpaquet de protection avanc\u00e9e\u201d s\u00e9par\u00e9 pour sa fonction IPv6, ce qui double le prix et r\u00e9duit la couverture du n\u0153ud. J'ai mesur\u00e9 leur n\u0153ud de Francfort, le d\u00e9lai de nettoyage IPv6 est 200 ms plus \u00e9lev\u00e9 qu'IPv4 en moyenne, les patrons d\u00e9pensent de l'argent, mais l'effet est r\u00e9duit. Mais ils ont un avantage : la prise en charge des r\u00e8gles ACL IPv6 personnalis\u00e9es, ce qui convient aux grandes usines ayant des besoins particuliers.<\/p>\n<p>Quant \u00e0 08Host, c'est une voie rentable. Le support IPv6 est gratuit \u00e0 l'ouverture, mais ne vous attendez pas \u00e0 une trop grande protection, seulement \u00e0 pr\u00e9venir les attaques \u00e0 petite \u00e9chelle. J'ai simul\u00e9 une inondation IPv6 UDP de 10Gbps, leurs n\u0153uds devant porter 3 minutes pour retourner \u00e0 la source - cela convient aux petits sites avec des budgets serr\u00e9s, apr\u00e8s tout, une protection vaut mieux que rien.<\/p>\n<p>Passons maintenant aux d\u00e9tails de la configuration. La prise en charge de l'IPv6 par les CDN \u00e0 haute d\u00e9fense se divise en trois couches : la couche r\u00e9seau (acc\u00e8s \u00e0 double pile), la couche protocole (HTTP\/3 sur IPv6) et la couche s\u00e9curit\u00e9 (r\u00e8gles WAF exclusives \u00e0 l'IPv6). De nombreux fournisseurs ne prennent en charge que la premi\u00e8re couche, les deux suivantes restant \u00e0 faire, ce qui fait que le trafic IPv6 peut passer par le CDN, mais que la protection est pratiquement inexistante.<\/p>\n<p>Dans mes propres projets, je m'assure que les fonctions de s\u00e9curit\u00e9 IPv6 du fournisseur de CDN sont compl\u00e8tes. Par exemple, je v\u00e9rifie que les fonctions de s\u00e9curit\u00e9 IPv6 du fournisseur de CDN sont compl\u00e8tes :<\/p>\n<li><strong>G\u00e9oblocage IPv6<\/strong>La question du blocage du trafic IPv6 : Est-il possible de bloquer le trafic IPv6 par pays\/r\u00e9gion ? Certains fournisseurs disposent d'une base g\u00e9ographique IPv4 compl\u00e8te, mais IPv6 n'est pris en charge que jusqu'au niveau continental\/non continental.<\/li>\n<li><strong>Limitation du d\u00e9bit IPv6<\/strong>Les attaques de type CC : Un seul segment IPv6 \/64 peut contenir un grand nombre d'adresses, et des algorithmes plus intelligents doivent \u00eatre utilis\u00e9s pour pr\u00e9venir les attaques de type CC.<\/li>\n<li><strong>Synchronisation des r\u00e8gles IPv6 et IPv4<\/strong>Les IP bloqu\u00e9s dans les pare-feu IPv4 sont-ils automatiquement synchronis\u00e9s avec les ensembles de r\u00e8gles IPv6 ?<\/li>\n<p>En prenant la configuration de Nginx comme exemple, si vous construisez votre propre n\u0153ud CDN, vous devez \u00e9crire au moins ceci :<\/p>\n<p>Attention \u00e0 cela.<code>[: :]:80<\/code>Le trafic IPv6 sera directement contourn\u00e9 si cette ligne est manquante. L'ann\u00e9e derni\u00e8re, j'ai effectu\u00e9 un audit pour une banque et j'ai d\u00e9couvert que son CDN auto-construit n'\u00e9tait pas \u00e9quip\u00e9 de cette ligne, et le pirate a facilement contourn\u00e9 le million de pare-feu mat\u00e9riels avec IPv6 - le fonctionnement et la maintenance de la face du petit fr\u00e8re \u00e0 ce moment-l\u00e0 \u00e9taient blancs.<\/p>\n<p>Pour comparer les donn\u00e9es, j'ai test\u00e9 trois sc\u00e9narios de pression : IPv4 pur, IPv6 pur et hybride \u00e0 double pile. En cons\u00e9quence, en mode dual-stack, la latence de CDN5 est en moyenne sup\u00e9rieure de 8 ms \u00e0 celle d'IPv4 (n\u00e9gligeable), tandis que la latence IPv6 de CDN07 fluctue jusqu'\u00e0 150 ms ; bien que la latence de 08Host soit faible, l'occupation de l'unit\u00e9 centrale augmente plus rapidement. Sur le plan de la s\u00e9curit\u00e9, le taux de d\u00e9tection des attaques DDoS par IPv6 est g\u00e9n\u00e9ralement inf\u00e9rieur \u00e0 celui d'IPv4 de 10%-20%, principalement en raison de la grande diff\u00e9rence entre les caract\u00e9ristiques du trafic, et parce que de nombreux fournisseurs anciens n'ont pas mis \u00e0 jour leurs mod\u00e8les de d\u00e9tection.<\/p>\n<p>Enfin, j'aimerais donner quelques conseils : si votre entreprise implique des utilisateurs mobiles (en particulier le r\u00e9seau 5G), un CDN \u00e0 haute d\u00e9fense doit \u00eatre s\u00e9lectionn\u00e9 pour soutenir pleinement les fournisseurs d'IPv6. Budget suffisant sur CDN5, n'\u00e9conomisez pas cet argent, le ratio de retour sur investissement en s\u00e9curit\u00e9 est le plus \u00e9lev\u00e9 ; sites de petite et moyenne taille avec 08Host transition, mais n'oubliez pas de v\u00e9rifier r\u00e9guli\u00e8rement les logs d'attaques IPv6 ; quant \u00e0 CDN07, \u00e0 moins d'avoir une demande personnalis\u00e9e, sinon je ne recommande pas - leur documentation maison \u00e9crite avec le livre des cieux, j'ai m\u00e2ch\u00e9 trois jours pour comprendre ! Param\u00e8tres de priorit\u00e9 des r\u00e8gles IPv6.<\/p>\n<p>La popularit\u00e9 de l'IPv6 est une tendance, les fournisseurs de CDN de haute d\u00e9fense suivent ou sont \u00e9limin\u00e9s. L'ann\u00e9e derni\u00e8re, une grande usine a \u00e9t\u00e9 condamn\u00e9e \u00e0 une amende de 800 000 yuans en raison de la vuln\u00e9rabilit\u00e9 d'IPv6. V\u00e9rifiez les ant\u00e9c\u00e9dents de votre CDN, activez maintenant l'IPv6, n'attendez pas l'accident pour me demander d'\u00e9teindre l'incendie - en mati\u00e8re de s\u00e9curit\u00e9, il y a toujours plus \u00e0 pr\u00e9venir qu'\u00e0 gu\u00e9rir.<\/p>","protected":false},"excerpt":{"rendered":"<p>R\u00e9cemment, un client m'a demand\u00e9 de me plaindre, il m'a dit que son site web \u00e9tait manifestement sur le CDN haute d\u00e9fense, mais que le r\u00e9sultat \u00e9tait toujours une p\u00e9n\u00e9tration DDoS, j'ai v\u00e9rifi\u00e9 les logs, bon gars, le trafic d'attaque provient tous de l'adresse IPv6, mais leur CDN n'a pas ouvert le support IPv6 - de nos jours, m\u00eame les hackers commencent \u00e0 \u201cembrasser le futur\u201d, si nous faisons de la protection si nous nous en tenons toujours \u00e0 IPv4, ce n'est pas pour laisser une porte d\u00e9rob\u00e9e \u00e0 l'ennemi.... \u201cEmbrasser l'avenir\u201d, nous prot\u00e9ger si nous nous en tenons encore \u00e0 IPv4, ce n'est pas laisser une porte d\u00e9rob\u00e9e \u00e0 l'ennemi ? Les adresses IPv4 sont \u00e9puis\u00e9es depuis longtemps, comme s'il s'agissait de flaques d'eau dans le d\u00e9sert, et les op\u00e9rateurs tentent d\u00e9sesp\u00e9r\u00e9ment de pousser l'IPv6, et le pourcentage de trafic IPv6 sur le r\u00e9seau mobile du pays atteint maintenant 1,5 %. Le trafic IPv6 repr\u00e9sente plus de 70%, mais de nombreuses entreprises sont encore bloqu\u00e9es dans l'\u00e8re IPv4 du CDN \u00e0 haute d\u00e9fense, qui n'attend pas d'\u00eatre battu !<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1045","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1045","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1045"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1045\/revisions"}],"predecessor-version":[{"id":1080,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1045\/revisions\/1080"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1045"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1045"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1045"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1045"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}