導語:IP是互聯網最基礎的身份標識,也是黑灰產業發展不可或缺的底層資源支撐。如果說IPv4是一顆星球,那IPv6就是一整個宇宙,它的地址空間接近無限。本文將剖析目前黑灰產對IPv6資源的利用情況,並揭露在IPv4向IPv6升級的過程中,業務場景下的安全將面臨的挑戰。
一、黑灰產採用IPv6發起攻勢不可逆轉
IP並不是一個新鮮的詞,對於我們普通人來說,它是設備聯網之後,就會被分配的地址。但在黑灰產手裏,對IP的利用幾乎超出我們的想象。它憑藉黑色產業的強大需求已臥居在黑暗市場多年。
和我們在大熒幕上看見的網絡***工具不同,IP沒有病毒的強大殺傷力,也不具備摧枯拉朽的破壞力,卻是黑灰產業務活動不可或缺的底層資源支撐,支持着惡意註冊、刷量、薅羊毛、撞庫等惡意行動的順利進行。
目前我們所說的IP通常是指IPv4地址,這也是當前我們與黑產進行安全對抗的最激烈的***點之一。
IPv4由32個二進制位組成,空間裏面有2^32(約43億)個地址,其中約有2.8億的地址是爲特殊用途所保留的。然而,隨着地址不斷被分配給終端用戶,IPv4地址枯竭的問題也在隨之產生。
這個情況刺激了作爲當前唯一的長期解決方案的IPv6的推進。
和IPv4相比,IPv6由128個二進制位組成,擁有2^128(約3.4×10^38)個地址,是IPv4的7.9×10^28倍,龐大的地址空間幾乎接近無限,被十分形象的稱爲可以爲全世界的每一粒沙子分配一個地址。
然福兮禍之所伏,IPv6的地址空間遠超當前IPv4,也意味着黑灰產掌握的IP資源體量也將無限擴大,他們將有能力爲每個惡意賬號獨立使用一個IP。以往在對抗過程中積累下的風控策略,具備的完備IPv4安全體系,在IPv6規模化普及後將面臨新的挑戰。
網絡發展,安全先行。威脅獵人鬼谷實驗室監測到的數據顯示,目前已存在數據中心IPv6地址上發起的惡意機器流量,並且國外黑灰市場上早已出現IPv6代理資源,實驗室推測,這在一定程度上與IPv6的普及度有關。當國內IPv6部署逐步展開,以此爲基礎的黑灰產作惡必順勢而來,值得注意的是,當前讓業務方最頭疼的的黑產IP資源——秒撥,也悄然增加了對IPv6的支持。
二、黑灰產已經開始利用IPv6資源
由市場強大需求帶動的IP資源發展,已經成爲黑灰產業鏈上的重要環節,專門提供IP資源的黑灰產團伙也隨之產生。
黑灰產的技術非常與時俱進,在與企業玩轉“貓鼠遊戲”的過程中作惡手段也有所升級。比如從早期的通過代理IP繞過風控規則的方式,到現在已經演化出“秒撥”“混撥”等,甲方的對抗策略也在IPv4的環境下也有相應的得到提升和積累。
然而,當IPv4開始向IPv6遷移,IP環境的變化不僅牽涉了網絡設備、路由管理、IPv6協議棧的相應改變,IPv4下搭建的風控體系在遷移的過程也會面臨改造和升級。
原本適用於IPv4的防護策略如果改造不及時,將會面臨多大的風險?這是所有企業都需要考慮和麪對的問題。比如:
海量地址掃描:IPv6由128個二進制構成,這意味着,如果一個子網使用其中IPv6網絡中的64位來分配IP,則子網的總容量,也就是可分配的IP數爲2的64次方。假設遍歷IPv4的全部地址需要一個小時。那麼將這個子網下面的所有IP地址遍歷一遍,將需要50萬年...
黑名單庫失效:在IPv4環境下積累的大量黑IP數據,對黑產IP進行識別有顯著的幫助。但是,當IPv6時代來臨,接近無限的IP地址會對黑名單庫造成強烈衝擊,原本高效的識別機制,在IPv6環境下將接近“無效”。
未知下的誤判:IPv6部署的初級階段,將面臨IPv6地理位置、設備指紋等風險數據缺失的問題,從而導致無法準確判定IP性質,產生誤判。
......
目前全球IPv6普及率達到23.97%,發達國家的IPv6普及率爲25%,而全亞洲IPv6普及率達到27.13%,其中,中國的IPv6普及率達到了14.46%。以下是各大洲和發達國家以及中國的IPv6普及率統計結果:
隨後,我們查看了威脅獵人監控平臺捕獲到的惡意機器流量,通過對資源進行分析,我們發現目前黑灰產掌握的主要IP資源中都存在IPv6的蹤跡。
代理
據調查,國外的代理平臺早已存在交易IPv6代理的情況。由於當前IPv6普及率還較低,IPv6代理商並不是直接提供IPv6地址和端口,提供的依舊是IPv4和端口,通過類似6in4的隧道協議,將IPv6數據包封裝在IPv4數據包中,再經由代理傳送給用戶。
我們對這些IPv6代理進行收集,分析其特徵特點,發現其主要來自國外IDC機房。
而相比國外,國內並沒有發現專門批量交易IPv6代理的平臺,但是我們也捕獲到一些國內IPv6代理樣本,而且很有意思的是,國內的IPv6代理大部分源於國內教育網的IDC機房。
由於其教育網的性質,如果簡單地將各個教育網IDC對應的IPv6段進行攔截,最直接的結果就是誤傷很大部分的正常學生用戶。
秒撥
秒撥IP是黑灰產掌握的零一主要IP資源,並且,現在已有部分秒撥廠商開始支持並提供IPv6的服務。
我們對從秒撥機器上獲取的IPv6地址進行分析,發現它的性質屬於國內家庭寬帶,利用撥號上網(PPPoE)的原理,每一次斷線重連都會獲取一個新的IP。和IPv4的秒撥性質類似,但比IPv4更具優勢的地方在於,它的IP池龐大到接近無限,並且IP地址更難以識別的問題。
無限IP池
假設某秒波機上的寬帶資源屬於XX地區電信運營商,那麼該秒撥機可撥到整個XX地區電信IP池中的IP,在IPv4環境下具有少則十萬多則百萬的量級。而IPv6環境下,量級巨大,難以估計。我們對某一批IPv6地址進行重複性統計,監測到的10萬數據中幾乎不存在重複的IPv6地址,而實際的IPv6秒撥池中,遠不止這個數。這意味着,傳統的利用IP黑名單庫給IP打風險標籤的方式將不再適用。
秒撥IP難以識別
另外,由於秒撥IP和正常用戶IP存在於同一個IP池,每次斷開連接,原本屬於被黑產使用的秒撥IP,都有可能在下一次撥號的時候流入到正常用戶手中,這會給秒撥IP和正常IP的區分帶來非常大的難度。
圖:利用秒撥測試IPv6支持情況
實驗室通過IPv6對國內的各類主流網站進行測試,發現大部分的廠商並沒有開始支持IPv6訪問。少部分支持IPv6的廠商,也僅是支持主網可以通過IPv6進行訪問,但網頁加載的速率,以及訪問鏈接的穩定程度就顯得有點差強人意。一旦需要涉及到用戶登陸或者其他用戶操作的時候,就會經常出現訪問失敗或者登陸超時的情況。而國外支持IPv6訪問的網站不論在穩定性和響應速率,還是支持用戶相關的操作上,都比國內情況好很多。
三、總結與思考
發展基於IPv6的下一代互聯網,看似取之不盡的IP資源的確爲當前逐漸枯竭的IPv4帶來了救贖,但不容忽視的也恰是“取之不盡”背後潛藏的安全隱患。從上述數據我們可以推測,黑灰產對IPv6的利用情況很大程度上和普及度相關。
由於大多數發達國家IPv6的普及度及採用度都處於高位,相應的也誕生了專門交易IPv6代理的平臺。目前,在我國大部分主流網站都尚未支持IPv6訪問的情況下,黑灰產已經開始研習IPv6技術,利用IPv6資源。當我國IPv6部署規模緊隨政策一步步落實和推進,IPv4不得不向IPv6轉移的檔口,如果企業的風控設施的改造和升級沒有跟上部署的腳步,將會面臨一段時間的安全防護的“空窗期”,黑灰產可以毫不費力的進入平臺,興風作浪,歌舞昇平。
因此,未雨綢繆是企業應對風險的最佳手段。我們有理由相信,當越來越多的國內網站支持IPv6,並且功能性和穩定性趨於完善後,基於IPv4的***戰場勢必會向IPv6轉移,對於所有的技術和安全人員,在保障技術穩定升級的同時,安全性問題的考量同等重要。威脅獵人作爲業務安全行業的先行者,已投入大量人力和資源在IPv6黑產資源的研究上,並開始積累實時IPv6風險數據,期望能幫助向IPv6遷移的廠商解決預想不到的安全問題。