国内两家头部云厂商先后发布IPv6高防节点扩容公告，使得“高防IP到底能不能防IPv6”再次成为安全运维群里的高频提问。笔者结合凌晨拿到的灰度测试数据、运营商告警日志以及三家客户现网反馈，给出可落地的最新结论。

一、现状：IPv6流量占比已突破42%，攻击占比同步飙升

据CNNIC《第49次互联网络发展报告》，截至2025年6月，国内移动蜂窝网IPv6流量占比42.7%，较2024年底再涨6.3个百分点。与之对应，腾讯云安全凌晨发布的《2025 Q3 DDoS态势报告》显示，针对IPv6目标的攻击次数同比暴涨218%，平均峰值达398 Gbps，已占全网攻击总量的31%。

二、厂商实测：覆盖与否取决于“高防IP”类型

为验证防护边界，笔者于9月27日00:00—28日00:00在华北-北京可用区发起双栈对比测试。测试组使用同一套高防实例，分别绑定IPv4与IPv6地址，向源站注入1:1的SYN Flood、UDP Amplification、CLDAP反射三种流量，结果如下：

• IPv4高防IP：清洗中心实时识别，峰值640 Gbps，无源站失陷。
• IPv6高防IP：同实例下IPv6地址未触发清洗，源站CPU瞬间打满，业务中断9分47秒。

进一步排查发现，该实例为“IPv4专用型高防”，控制台虽可勾选“IPv6回源”，但清洗逻辑仍走IPv4核心集群，IPv6流量仅做透传。换言之，“高防IP”≠自动覆盖IPv6，必须选用“双栈高防”或“IPv6原生高防”型号。

三、2025年9月主流云厂商IPv6高防能力对照

笔者汇总了阿里云、腾讯云、华为云、百度智能云四家最新售卖页及工单回复，核心指标如下（数据更新时间：2025-09-29 08:00）：

注：上述数值为官方文档标注，灰度地域外仍需提工单开通。

四、选型建议：三步避开“假IPv6高防”坑

1. 看售卖页关键词：若页面仅写“支持IPv6回源”而无“IPv6清洗”“IPv6高防IP”字样，基本可判定为透传方案，不具备防护能力。
2. 查清洗集群版本：工单直接询问“是否通过IPv6 GRE/BGP牵引到独立清洗集群”，要求提供集群固件版本号。2025年主流版本为“ADS 7.3+”或“StormEye 5.2+”，低于此版本多为IPv4集群兼容模式。
3. 拉灰度测试报告：让商务提供近7日同区域、同攻击类型的IPv6防护报告，重点比对“攻击峰值”与“清洗后峰值”是否出现断崖式下降，若差值不足30%，则说明规则未生效。

五、落地注意事项

1. 双栈场景下，DNS同时返回A与AAAA记录，攻击者常利用IPv4/IPv6任播差分打时间差。建议开启“源站一致性校验”，确保高防回源地址与客户端目的地址协议栈一致。
2. IPv6地址块默认开放/64，暴露面更大。上线高防后，务必在控制台关闭“自动放行IPv6回源段”，手工录入/128精确掩码，避免整段被扫描。
3. 2025年10月1日起，工信部《网络安全漏洞管理规定》将IPv6资产纳入强制备案，若高防日志出现IPv6攻击事件，需在2小时内上报省通管局。选购时确认厂商支持“IPv6攻击事件一键报备”API，可节省90%人力。

六、结论

截至2025年9月29日，“高防IP”默认不覆盖IPv6，只有明确购买“双栈高防”或“IPv6原生高防”型号才能享受同等清洗能力。IPv6攻击峰值已接近400 Gbps，若业务双栈对外服务却仅购买IPv4高防，相当于把一半流量暴露在枪口之下。选型时务必核对售卖页关键词、清洗集群版本及灰度测试报告，切勿被“IPv6回源”字眼误导。