原創(chuàng)： 威脅獵人 威脅獵人

導(dǎo)語(yǔ)

IP是互聯(lián)網(wǎng)最基礎(chǔ)的身份標(biāo)識(shí)，也是黑灰產(chǎn)業(yè)發(fā)展不可或缺的底層資源支撐。如果說(shuō)IPv4是一顆星球，那IPv6就是一整個(gè)宇宙，它的地址空間接近無(wú)限。本文將揭露目前黑灰產(chǎn)對(duì)IPv6資源的利用情況，并剖析在IPv4向IPv6升級(jí)的過(guò)程中，業(yè)務(wù)場(chǎng)景下的安全將面臨的挑戰(zhàn)。

1

黑灰產(chǎn)采用IPv6發(fā)起攻擊的趨勢(shì)不可逆轉(zhuǎn)

IP并不是一個(gè)新鮮的詞，對(duì)于我們普通人來(lái)說(shuō)，它是設(shè)備聯(lián)網(wǎng)之后，就會(huì)被分配的地址。但在黑灰產(chǎn)手里，對(duì)IP的利用幾乎超出我們的想象。它憑借黑色產(chǎn)業(yè)的強(qiáng)大需求已臥居在黑暗市場(chǎng)多年。

和我們?cè)诖鬅赡簧峡匆?jiàn)的網(wǎng)絡(luò)攻擊工具不同，IP沒(méi)有病毒的強(qiáng)大殺傷力，也不具備摧枯拉朽的破壞力，卻是黑灰產(chǎn)業(yè)務(wù)活動(dòng)不可或缺的底層資源支撐，支持著惡意注冊(cè)、刷量、薅羊毛、撞庫(kù)等惡意行動(dòng)的順利進(jìn)行。

目前我們所說(shuō)的IP通常是指IPv4地址，這也是當(dāng)前我們與黑產(chǎn)進(jìn)行安全對(duì)抗的最激烈的攻防點(diǎn)之一。

IPv4由32個(gè)二進(jìn)制位組成，空間里面有2^32（約43億）個(gè)地址，其中約有2.8億的地址是為特殊用途所保留的。然而，隨著地址不斷被分配給終端用戶(hù)，IPv4地址枯竭的問(wèn)題也在隨之產(chǎn)生。

這個(gè)情況刺激了作為當(dāng)前唯一的長(zhǎng)期解決方案的IPv6的推進(jìn)。

和IPv4相比，IPv6由128個(gè)二進(jìn)制位組成，擁有2^128（約3.4×10^38）個(gè)地址，是IPv4的7.9×10^28倍，龐大的地址空間幾乎接近無(wú)限，被十分形象的稱(chēng)為可以為全世界的每一粒沙子分配一個(gè)地址。

然福兮禍之所伏，IPv6的地址空間遠(yuǎn)超當(dāng)前IPv4，也意味著黑灰產(chǎn)掌握的IP資源體量也將無(wú)限擴(kuò)大，他們將有能力為每個(gè)惡意賬號(hào)獨(dú)立使用一個(gè)IP。以往在對(duì)抗過(guò)程中積累下的風(fēng)控策略，具備的完備IPv4安全體系，在IPv6規(guī)?；占昂髮⒚媾R新的挑戰(zhàn)。

網(wǎng)絡(luò)發(fā)展，安全先行。威脅獵人鬼谷實(shí)驗(yàn)室監(jiān)測(cè)到的數(shù)據(jù)顯示，目前已存在數(shù)據(jù)中心IPv6地址上發(fā)起的惡意機(jī)器流量，并且國(guó)外黑灰市場(chǎng)上早已出現(xiàn)IPv6代理資源，實(shí)驗(yàn)室推測(cè)，這在一定程度上與IPv6的普及度有關(guān)。當(dāng)國(guó)內(nèi)IPv6部署逐步展開(kāi)，以此為基礎(chǔ)的黑灰產(chǎn)攻擊必順勢(shì)而來(lái)，值得注意的是，當(dāng)前讓業(yè)務(wù)方最頭疼的的黑產(chǎn)IP資源——秒撥，也悄然增加了對(duì)IPv6的支持。

2

黑灰產(chǎn)已經(jīng)開(kāi)始利用IPv6資源

由市場(chǎng)強(qiáng)大需求帶動(dòng)的IP資源發(fā)展，已經(jīng)成為黑灰產(chǎn)業(yè)鏈上的重要環(huán)節(jié)，專(zhuān)門(mén)提供IP資源的黑灰產(chǎn)團(tuán)伙也隨之產(chǎn)生。

黑灰產(chǎn)的技術(shù)非常與時(shí)俱進(jìn)，在與企業(yè)玩轉(zhuǎn)“貓鼠游戲”的過(guò)程中攻擊手段也有所升級(jí)。比如從早期的通過(guò)代理IP繞過(guò)風(fēng)控規(guī)則的方式，到現(xiàn)在已經(jīng)演化出“秒撥”“混撥”等，甲方的對(duì)抗策略也在IPv4的環(huán)境下也有相應(yīng)的得到提升和積累。

然而，當(dāng)IPv4開(kāi)始向IPv6遷移，IP環(huán)境的變化不僅牽涉了網(wǎng)絡(luò)設(shè)備、路由管理、IPv6協(xié)議棧的相應(yīng)改變，IPv4下搭建的風(fēng)控體系在遷移的過(guò)程也會(huì)面臨改造和升級(jí)。

原本適用于IPv4的防護(hù)策略如果改造不及時(shí)，將會(huì)面臨多大的風(fēng)險(xiǎn)？這是所有企業(yè)都需要考慮和面對(duì)的問(wèn)題。比如：

海量地址掃描：IPv6由128個(gè)二進(jìn)制構(gòu)成，這意味著，如果一個(gè)子網(wǎng)使用其中IPv6網(wǎng)絡(luò)中的64位來(lái)分配IP，則子網(wǎng)的總?cè)萘?，也就是可分配的IP數(shù)為2的64次方。假設(shè)遍歷IPv4的全部地址需要一個(gè)小時(shí)。那么將這個(gè)子網(wǎng)下面的所有IP地址遍歷一遍，將需要50萬(wàn)年...

黑名單庫(kù)失效：在IPv4環(huán)境下積累的大量黑IP數(shù)據(jù)，對(duì)黑產(chǎn)IP進(jìn)行識(shí)別有顯著的幫助。但是，當(dāng)IPv6時(shí)代來(lái)臨，接近無(wú)限的IP地址會(huì)對(duì)黑名單庫(kù)造成強(qiáng)烈沖擊，原本高效的識(shí)別機(jī)制，在IPv6環(huán)境下將接近“無(wú)效”。

未知下的誤判：IPv6部署的初級(jí)階段，將面臨IPv6地理位置、設(shè)備指紋等風(fēng)險(xiǎn)數(shù)據(jù)缺失的問(wèn)題，從而導(dǎo)致無(wú)法準(zhǔn)確判定IP性質(zhì)，產(chǎn)生誤判。

......

目前全球IPv6普及率達(dá)到23.97%，發(fā)達(dá)國(guó)家的IPv6普及率為25%，而全亞洲IPv6普及率達(dá)到27.13%，其中，中國(guó)的IPv6普及率達(dá)到了14.46%。以下是各大洲和發(fā)達(dá)國(guó)家以及中國(guó)的IPv6普及率統(tǒng)計(jì)結(jié)果：

隨后，我們查看了威脅獵人監(jiān)控平臺(tái)捕獲到的惡意機(jī)器流量，通過(guò)對(duì)資源進(jìn)行分析，我們發(fā)現(xiàn)目前黑灰產(chǎn)掌握的主要IP資源中都存在IPv6的蹤跡。

代理

據(jù)調(diào)查，國(guó)外的代理平臺(tái)早已存在出售IPv6代理的情況。由于當(dāng)前IPv6普及率還較低，IPv6代理商并不是直接提供IPv6地址和端口，提供的依舊是IPv4和端口，通過(guò)類(lèi)似6in4加IPsec的隧道協(xié)議，將IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中。

我們對(duì)這些IPv6代理進(jìn)行收集，分析其特征特點(diǎn)，發(fā)現(xiàn)其主要來(lái)自國(guó)外IDC機(jī)房。

而相比國(guó)外，國(guó)內(nèi)并沒(méi)有發(fā)現(xiàn)專(zhuān)門(mén)批量出售IPv6代理的平臺(tái)，但是我們也捕獲到一些國(guó)內(nèi)IPv6代理樣本，而且很有意思的是，國(guó)內(nèi)的IPv6代理大部分源于國(guó)內(nèi)教育網(wǎng)的IDC機(jī)房。

由于其教育網(wǎng)的性質(zhì)，如果簡(jiǎn)單地將各個(gè)教育網(wǎng)IDC對(duì)應(yīng)的IPv6段進(jìn)行攔截，最直接的結(jié)果就是誤傷很大部分的正常學(xué)生用戶(hù)。

秒撥

秒撥IP是黑灰產(chǎn)掌握的另一主要IP資源，并且，現(xiàn)在已有部分秒撥廠(chǎng)商開(kāi)始支持并提供IPv6的服務(wù)。

我們對(duì)從秒撥機(jī)器上獲取的IPv6地址進(jìn)行分析，發(fā)現(xiàn)它的性質(zhì)屬于國(guó)內(nèi)家庭寬帶，利用撥號(hào)上網(wǎng)（PPPoE）的原理，每一次斷線(xiàn)重連都會(huì)獲取一個(gè)新的IP。和IPv4的秒撥性質(zhì)類(lèi)似，但比IPv4更具優(yōu)勢(shì)的地方在于，它的IP池龐大到接近無(wú)限，并且IP地址更難以識(shí)別的問(wèn)題。

無(wú)限IP池

假設(shè)某秒撥機(jī)上的寬帶資源屬于XX地區(qū)電信運(yùn)營(yíng)商，那么該秒撥機(jī)可撥到整個(gè)XX地區(qū)電信IP池中的IP，在IPv4環(huán)境下具有少則十萬(wàn)多則百萬(wàn)的量級(jí)。而IPv6環(huán)境下，量級(jí)巨大，難以估計(jì)。我們對(duì)某一批IPv6地址進(jìn)行重復(fù)性統(tǒng)計(jì)，監(jiān)測(cè)到的10萬(wàn)數(shù)據(jù)中幾乎不存在重復(fù)的IPv6地址，而實(shí)際的IPv6秒撥池中，遠(yuǎn)不止這個(gè)數(shù)。這意味著，傳統(tǒng)的利用IP黑名單庫(kù)給IP打風(fēng)險(xiǎn)標(biāo)簽的方式將不再適用。

秒撥IP難以識(shí)別

另外，由于秒撥IP和正常用戶(hù)IP存在于同一個(gè)IP池，每次斷開(kāi)連接，原本屬于被黑產(chǎn)使用的秒撥IP，都有可能在下一次撥號(hào)的時(shí)候流入到正常用戶(hù)手中，這會(huì)給秒撥IP和正常IP的區(qū)分帶來(lái)非常大的難度。

圖：利用秒撥測(cè)試IPv6支持情況

實(shí)驗(yàn)室通過(guò)IPv6對(duì)國(guó)內(nèi)的各類(lèi)主流網(wǎng)站進(jìn)行測(cè)試，發(fā)現(xiàn)大部分的廠(chǎng)商并沒(méi)有開(kāi)始支持IPv6訪(fǎng)問(wèn)。少部分支持IPv6的廠(chǎng)商，也僅是支持主網(wǎng)可以通過(guò)IPv6進(jìn)行訪(fǎng)問(wèn)，但網(wǎng)頁(yè)加載的速率，以及訪(fǎng)問(wèn)鏈接的穩(wěn)定程度就顯得有點(diǎn)差強(qiáng)人意。一旦需要涉及到用戶(hù)登陸或者其他用戶(hù)操作的時(shí)候，就會(huì)經(jīng)常出現(xiàn)訪(fǎng)問(wèn)失敗或者登陸超時(shí)的情況。而國(guó)外支持IPv6訪(fǎng)問(wèn)的網(wǎng)站不論在穩(wěn)定性和響應(yīng)速率，還是支持用戶(hù)相關(guān)的操作上，都比國(guó)內(nèi)情況好很多。

3

總結(jié)與思考

發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，看似取之不盡的IP資源的確為當(dāng)前逐漸枯竭的IPv4帶來(lái)了救贖，但不容忽視的也恰是“取之不盡”背后潛藏的安全隱患。從上述數(shù)據(jù)我們可以推測(cè)，黑灰產(chǎn)對(duì)IPv6的利用情況很大程度上和普及度相關(guān)。

由于大多數(shù)發(fā)達(dá)國(guó)家IPv6的普及度及采用度都處于高位，相應(yīng)的也誕生了專(zhuān)門(mén)售賣(mài)IPv6代理的平臺(tái)。目前，在我國(guó)大部分主流網(wǎng)站都尚未支持IPv6訪(fǎng)問(wèn)的情況下，黑灰產(chǎn)已經(jīng)開(kāi)始研習(xí)IPv6技術(shù)，利用IPv6資源。當(dāng)我國(guó)IPv6部署規(guī)模緊隨政策一步步落實(shí)和推進(jìn)，IPv4不得不向IPv6轉(zhuǎn)移的檔口，如果企業(yè)的風(fēng)控設(shè)施的改造和升級(jí)沒(méi)有跟上部署的腳步，將會(huì)面臨一段時(shí)間的安全防護(hù)的“空窗期”，黑灰產(chǎn)可以毫不費(fèi)力的進(jìn)入平臺(tái)，興風(fēng)作浪，歌舞升平。

因此，未雨綢繆是企業(yè)應(yīng)對(duì)風(fēng)險(xiǎn)的最佳手段。我們有理由相信，當(dāng)越來(lái)越多的國(guó)內(nèi)網(wǎng)站支持IPv6，并且功能性和穩(wěn)定性趨于完善后，基于IPv4的攻防戰(zhàn)場(chǎng)勢(shì)必會(huì)向IPv6轉(zhuǎn)移，對(duì)于所有的技術(shù)和安全人員，在保障技術(shù)穩(wěn)定升級(jí)的同時(shí)，安全性問(wèn)題的考量同等重要。威脅獵人作為業(yè)務(wù)安全行業(yè)的先行者，已投入大量人力和資源在IPv6黑產(chǎn)資源的研究上，并開(kāi)始積累實(shí)時(shí)IPv6風(fēng)險(xiǎn)數(shù)據(jù)，期望能幫助向IPv6遷移的廠(chǎng)商解決預(yù)想不到的安全問(wèn)題。

威脅獵人是一家反欺詐服務(wù)&內(nèi)容安全服務(wù)提供商，基于領(lǐng)先的反欺詐技術(shù)、海量的數(shù)據(jù)、豐富的安全經(jīng)驗(yàn)積累，解決互聯(lián)網(wǎng)行業(yè)內(nèi)存在的安全問(wèn)題。并先后推出業(yè)務(wù)反欺詐、內(nèi)容安全、金融解決方案等系列服務(wù)。我們擁有一整套國(guó)內(nèi)領(lǐng)先的業(yè)務(wù)安全情報(bào)監(jiān)控與預(yù)警體系，形成了強(qiáng)大的黑灰產(chǎn)布控能力。目前已為騰訊、百度、阿里、華為、愛(ài)奇藝、58同城、bilibili、美團(tuán)等互聯(lián)網(wǎng)企業(yè)提供業(yè)務(wù)安全服務(wù)。

閱讀原文