吐嘈完渣渣國際帶寬，我們來吐嘈一下 IPv6 的普及

2011 年 6 月 8 日世界 IPv6 日的時候，全球主要的互聯網巨頭在同一天開放了網站的 IPv6 訪問。當時天朝的百度和騰訊也跟風啟用了 IPv6 支持。
樓主專門開了一個 IPv6 Only 的 Wi-Fi ，不通 IPv4 ，用來測試全球各網站和服務對 IPv6 的支持情況。話說偶爾體驗一下只有 IPv6 的互聯網也挺有意思的。

首先， Google 旗下幾乎全系列的服務都有 IPv6 支持，可以獲得和 IPv4 訪問相同的體驗，個人覺得 Google 是對 IPv6 支持得最好的。
然後， Wikipedia 、 Facebook 和 LinkedIn 也都支持 IPv6 訪問。樓主很少用 Facebook 和 LinkedIn ，不太清楚有沒有死角。
Twitter 、 GitHub 、 StackOverflow 之類不支持。
値得注意的是，一些開源項目的網站支持，如 Linux Kernel ， GNU ， Apache ， Debian ， Fedora ， CentOS 等，大概是為了讓純 IPv6 環境的 Linux 也可以正常更新軟件包吧。

然而這並不是重點。重點是：

百度

百度當年為了配合世界 IPv6 日，搞了個 ipv6.baidu.com 。這個域名現在在 IPv6 環境下會被跳到 www.baidu.com ，然並卵，因為 www.baidu.com 和 baidu.com 不支持。

騰訊

一直以來主域名是可以的，然而大概從今年秋天開始就不行了， AAAA 記錄直接去掉了。

現在國內網站支持 IPv6 訪問了，除了各教育網內各高校的網站，好像只剩 CNNIC 了。。。

反正樓主現在所用的帝都聯通，並沒有提供 IPv6 支持。

redsonic

2015-12-20 21:24:56 +08:00

@raysonx 那些全家桶很难与某些“机关”的系统联动，而且是探测->上报->动作缺乏实时性，是一个旁路系统，但 ISP 的不一样，他本身负责控制和承载。既然他们能明目张胆的通过立法把我的非实名制手机停机，也就敢向家用网络下手。

chinawrj

2015-12-20 21:51:01 +08:00

VOLTE 。。

ryd994

2015-12-20 22:56:11 +08:00

@raysonx 不是没有蔷，而是技术还没跟上。
用 ipv6 的梯子要快很多。

fashioncj

2015-12-21 00:15:19 +08:00

在校园网多年来说一下，腾讯是有 ipv6 的，以及大陆大部分高校的技术镜像是有 ipv6 的， ipv6 并不能越过很多墙了。以及现在国内的云服务器基本没有 ipv6 的环境，阿里云我尝试配置 he.net 的 ipv6 通道并没有成功，反观国外云服务器大都有 ipv6 的直接支持。对于校园网用户的人来说， ipv6 好处就是不限制速度，基本上一般是 5m 下载，最快是 10m 下载，部分高校 ipv6 可以越过 ipv4 免流量上网

raysonx

2015-12-21 12:07:26 +08:00

@fashioncj 我用國外的 VPS 查不到 AAAA 記錄，好像騰訊的 AAAA 記錄只能在國內查到

raysonx

2015-12-21 12:08:28 +08:00

@LGA1150 ipv6-hosts 是什麼項目

raysonx

2015-12-21 12:10:50 +08:00

@redsonic 可以植入啊。
我就不相信這些全家桶沒有植入什麼監控程序，據說各大互聯網公司都有網監駐場

fashioncj

2015-12-21 12:54:34 +08:00

@raysonx www.qq.com [2402:4e00::11]

raysonx

2015-12-21 13:23:17 +08:00

@fashioncj 應該是 CDN 選擇問題，我試了一下美國和日本的線路查不到 AAAA 記錄，只有韓國的可以。

美國：
$ dig www.qq.com AAAA

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> www.qq.com AAAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29948
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.qq.com. IN AAAA

;; ANSWER SECTION:
www.qq.com. 62 IN CNAME qq.com.edgesuite.net.
qq.com.edgesuite.net. 21238 IN CNAME a1574.b.akamai.net.

;; AUTHORITY SECTION:
b.akamai.net. 583 IN SOA n0b.akamai.net. hostmaster.akamai.com. 1450674095 1000 1000 1000 1800

;; Query time: 22 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Dec 21 13:18:02 HKT 2015
;; MSG SIZE rcvd: 160

東京：
$ dig www.qq.com AAAA

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> www.qq.com AAAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55915
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.qq.com. IN AAAA

;; ANSWER SECTION:
www.qq.com. 65 IN CNAME qq.com.edgesuite.net.
qq.com.edgesuite.net. 21216 IN CNAME a1574.b.akamai.net.

;; AUTHORITY SECTION:
b.akamai.net. 423 IN SOA n0b.akamai.net. hostmaster.akamai.com. 1450674289 1000 1000 1000 1800

;; Query time: 39 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Dec 21 13:19:26 HKT 2015
;; MSG SIZE rcvd: 160

首爾：
dig www.qq.com AAAA

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> www.qq.com AAAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38506
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.qq.com. IN AAAA

;; ANSWER SECTION:
www.qq.com. 300 IN AAAA 240e:e1:8100:28::2:16

;; Query time: 39 msec
;; SERVER: 210.220.163.82#53(210.220.163.82)
;; WHEN: Mon Dec 21 13:23:12 CST 2015
;; MSG SIZE rcvd: 67

cyberdaemon

2015-12-21 13:26:21 +08:00

@raysonx ipv6 到底能翻墙吗？我设置了 ipv6 后不能上网了。。。

zhicheng

2015-12-21 13:49:02 +08:00

把某系统从升级支持到 IPv6 ，毫无技术难度。即使因为 IPv6 数量众多，也可以按照 prefix 屏弊。

redsonic

2015-12-21 15:47:16 +08:00

@raysonx 全家桶技术上没问题但用来判别接入用户的身份有点炮打蚊子，而且很慢，要把用户数据收集上传再挖。不如一机一个固定 ipv6 地址（而且不能自行改）简单有效。

Silicon

2015-12-21 15:50:08 +08:00

@redsonic 看 ISP 自己想怎么做了。把用户身份 hash 可以是后 64 位，但针对拨号入口点等其他参数 hash 下也可以是 64 位，能防止住外部的定点攻击就行了。至于内部的定点攻击&实名制， IPv4 照样存在，只不过很少有人意识到而已。
至于网络攻击问题， NAT 没了反而不一定是坏事，这样大家都有动力部署防火墙了。有 NAT 在，隧道该打还是能打，安全问题不一定有很多改善，性能问题反而不咋样。

redsonic

2015-12-21 16:04:44 +08:00

@Silicon 不清楚你说的拨号入口点是什么，是猫 /路由器吗？这些接入设备会划分下一级前缀，及 wan 口一个全球单播地址，剩下的还是可以给终端设备一个唯一的全球单播地址。没有所谓的内部外部了，网络变平了。我现在开始理解为什么当初制定 ipv6 草案时要求三层强制加密（现在这事黄了），因为太好定位到设备了，阿猫阿狗知道一个设备 mac 和所属 ISP 就能持续攻击。另外很多世面的用户接入设备虽然支持 ipv6 ，但 ipv6 防火墙还有问题。比如 ddwrt 去年的版本没有 ip6tables 及其他模块。烽火的光猫开了 ipv6 但不开防火墙。这些老设备不升级将来都是隐患。

raysonx

2015-12-21 20:49:03 +08:00

@Silicon 我也覺得 IPv4 的 NAT 對網絡安全幾乎沒什麼用，前面已經說過。再說以前 IPv4 地址夠用的時代大家還不也是每台電腦一個公網 IP 地址。

@redsonic ddwrt 應該不會犯低級問題，如果它默認不帶 ip6tables 的話，肯定默認也沒開啟 IPv6 支持，當年 OpenWrt 在 AA 版之前就是這樣。
至於烽火的光貓，我不太瞭解。光貓本身應該不對三層進行處理的，這樣的話應該是啟用了它的路由功能。如果它對 WAN 允許 IPv6 的入站連接，這肯定是很嚴重的安全漏洞；如果它只是允許從 WAN 到 LAN 的轉發，那並沒有問題，因為路由器默認不應該對下級設備的入站連接設防。

datocp

2015-12-21 22:11:23 +08:00

现在哪这么高级，同时布了 ipv4 和 ipv6 的防火墙，来自 ipv6 的扫描之类的可以说 0 ， ip6tables 上根本没任何计数增长，一年了永远是 0 。也许黑客还没进化。
平时用 ipv6 还是多一种连接方式，以前当代理用通过各种免费 ipv6 tunnel 连接，没体会到 ipv6 有多好，有些学校说是 ipv6 免费，更多的据说是计费软件不支持 ipv6 吧。

raysonx

2015-12-22 00:57:30 +08:00

@datocp
其實那些腳本小子(不能稱為黑客)都是通過 IP 段掃描的。 IPv6 地址長度有 128 位，後 64 位空洞太大，難以一個一個掃描。

luohaha

2015-12-26 22:53:46 +08:00

我导师说，中国很难推的动 ipv6 ，不是技术问题，主要是由于中国奇葩的互联网结构导致的。。

snsd

2015-12-27 16:48:21 +08:00

@luohaha 而且还有政治因素。你说的结构也有一定的影响，比如说移动铁通长宽广电之流的运营商，各种地下出口流量穿透。

redsonic

2015-12-28 22:43:19 +08:00

@luohaha
@snsd
所谓的奇葩的互联网结构指的是天朝的互联网名不符实，叫电信网才对。运营商一家独大，除了一些科研教育网，剩下的都是它的资源。电信网是树形的，而真正的互联网是网，每个节点都和其他 N 个节点都有连接。国外的运营商是找几个好的点去和人家谈判接入，然后扯根线再卖给用户，运营商很多时候只是个中间商，卖的其实是服务。天朝的都是运营商独家买断，垄断建网权，其他人只能租，本末倒置。现在就算引入竞争也没用，因为没人能竞争过三大运营商，更别提现在有个独揽基建的铁塔公司了。这根本就是按照当年发展广电的方式发展“特色互联网”。 ipv6 的地址优势和路由自收敛优势在我朝根本不算优势，我们因为树形，天然的自收敛，地址不够就上 CGN 。如果真的下决心推 ipv6 ，无非就像我前面说的，搞实名搞审查或者换设备扩内需厂商能捞油水。