原創(chuàng)： 威脅獵人 威脅獵人

導語

IP是互聯(lián)網(wǎng)最基礎的身份標識，也是黑灰產(chǎn)業(yè)發(fā)展不可或缺的底層資源支撐。如果說IPv4是一顆星球，那IPv6就是一整個宇宙，它的地址空間接近無限。本文將揭露目前黑灰產(chǎn)對IPv6資源的利用情況，并剖析在IPv4向IPv6升級的過程中，業(yè)務場景下的安全將面臨的挑戰(zhàn)。

1

黑灰產(chǎn)采用IPv6發(fā)起攻擊的趨勢不可逆轉

IP并不是一個新鮮的詞，對于我們普通人來說，它是設備聯(lián)網(wǎng)之后，就會被分配的地址。但在黑灰產(chǎn)手里，對IP的利用幾乎超出我們的想象。它憑借黑色產(chǎn)業(yè)的強大需求已臥居在黑暗市場多年。

和我們在大熒幕上看見的網(wǎng)絡攻擊工具不同，IP沒有病毒的強大殺傷力，也不具備摧枯拉朽的破壞力，卻是黑灰產(chǎn)業(yè)務活動不可或缺的底層資源支撐，支持著惡意注冊、刷量、薅羊毛、撞庫等惡意行動的順利進行。

目前我們所說的IP通常是指IPv4地址，這也是當前我們與黑產(chǎn)進行安全對抗的最激烈的攻防點之一。

IPv4由32個二進制位組成，空間里面有2^32（約43億）個地址，其中約有2.8億的地址是為特殊用途所保留的。然而，隨著地址不斷被分配給終端用戶，IPv4地址枯竭的問題也在隨之產(chǎn)生。

這個情況刺激了作為當前唯一的長期解決方案的IPv6的推進。

和IPv4相比，IPv6由128個二進制位組成，擁有2^128（約3.4×10^38）個地址，是IPv4的7.9×10^28倍，龐大的地址空間幾乎接近無限，被十分形象的稱為可以為全世界的每一粒沙子分配一個地址。

然福兮禍之所伏，IPv6的地址空間遠超當前IPv4，也意味著黑灰產(chǎn)掌握的IP資源體量也將無限擴大，他們將有能力為每個惡意賬號獨立使用一個IP。以往在對抗過程中積累下的風控策略，具備的完備IPv4安全體系，在IPv6規(guī)?；占昂髮⒚媾R新的挑戰(zhàn)。

網(wǎng)絡發(fā)展，安全先行。威脅獵人鬼谷實驗室監(jiān)測到的數(shù)據(jù)顯示，目前已存在數(shù)據(jù)中心IPv6地址上發(fā)起的惡意機器流量，并且國外黑灰市場上早已出現(xiàn)IPv6代理資源，實驗室推測，這在一定程度上與IPv6的普及度有關。當國內IPv6部署逐步展開，以此為基礎的黑灰產(chǎn)攻擊必順勢而來，值得注意的是，當前讓業(yè)務方最頭疼的的黑產(chǎn)IP資源——秒撥，也悄然增加了對IPv6的支持。

2

黑灰產(chǎn)已經(jīng)開始利用IPv6資源

由市場強大需求帶動的IP資源發(fā)展，已經(jīng)成為黑灰產(chǎn)業(yè)鏈上的重要環(huán)節(jié)，專門提供IP資源的黑灰產(chǎn)團伙也隨之產(chǎn)生。

黑灰產(chǎn)的技術非常與時俱進，在與企業(yè)玩轉“貓鼠游戲”的過程中攻擊手段也有所升級。比如從早期的通過代理IP繞過風控規(guī)則的方式，到現(xiàn)在已經(jīng)演化出“秒撥”“混撥”等，甲方的對抗策略也在IPv4的環(huán)境下也有相應的得到提升和積累。

然而，當IPv4開始向IPv6遷移，IP環(huán)境的變化不僅牽涉了網(wǎng)絡設備、路由管理、IPv6協(xié)議棧的相應改變，IPv4下搭建的風控體系在遷移的過程也會面臨改造和升級。

原本適用于IPv4的防護策略如果改造不及時，將會面臨多大的風險？這是所有企業(yè)都需要考慮和面對的問題。比如：

海量地址掃描：IPv6由128個二進制構成，這意味著，如果一個子網(wǎng)使用其中IPv6網(wǎng)絡中的64位來分配IP，則子網(wǎng)的總容量，也就是可分配的IP數(shù)為2的64次方。假設遍歷IPv4的全部地址需要一個小時。那么將這個子網(wǎng)下面的所有IP地址遍歷一遍，將需要50萬年...

黑名單庫失效：在IPv4環(huán)境下積累的大量黑IP數(shù)據(jù)，對黑產(chǎn)IP進行識別有顯著的幫助。但是，當IPv6時代來臨，接近無限的IP地址會對黑名單庫造成強烈沖擊，原本高效的識別機制，在IPv6環(huán)境下將接近“無效”。

未知下的誤判：IPv6部署的初級階段，將面臨IPv6地理位置、設備指紋等風險數(shù)據(jù)缺失的問題，從而導致無法準確判定IP性質，產(chǎn)生誤判。

......

目前全球IPv6普及率達到23.97%，發(fā)達國家的IPv6普及率為25%，而全亞洲IPv6普及率達到27.13%，其中，中國的IPv6普及率達到了14.46%。以下是各大洲和發(fā)達國家以及中國的IPv6普及率統(tǒng)計結果：

隨后，我們查看了威脅獵人監(jiān)控平臺捕獲到的惡意機器流量，通過對資源進行分析，我們發(fā)現(xiàn)目前黑灰產(chǎn)掌握的主要IP資源中都存在IPv6的蹤跡。

代理

據(jù)調查，國外的代理平臺早已存在出售IPv6代理的情況。由于當前IPv6普及率還較低，IPv6代理商并不是直接提供IPv6地址和端口，提供的依舊是IPv4和端口，通過類似6in4加IPsec的隧道協(xié)議，將IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中。

我們對這些IPv6代理進行收集，分析其特征特點，發(fā)現(xiàn)其主要來自國外IDC機房。

而相比國外，國內并沒有發(fā)現(xiàn)專門批量出售IPv6代理的平臺，但是我們也捕獲到一些國內IPv6代理樣本，而且很有意思的是，國內的IPv6代理大部分源于國內教育網(wǎng)的IDC機房。

由于其教育網(wǎng)的性質，如果簡單地將各個教育網(wǎng)IDC對應的IPv6段進行攔截，最直接的結果就是誤傷很大部分的正常學生用戶。

秒撥

秒撥IP是黑灰產(chǎn)掌握的另一主要IP資源，并且，現(xiàn)在已有部分秒撥廠商開始支持并提供IPv6的服務。

我們對從秒撥機器上獲取的IPv6地址進行分析，發(fā)現(xiàn)它的性質屬于國內家庭寬帶，利用撥號上網(wǎng)（PPPoE）的原理，每一次斷線重連都會獲取一個新的IP。和IPv4的秒撥性質類似，但比IPv4更具優(yōu)勢的地方在于，它的IP池龐大到接近無限，并且IP地址更難以識別的問題。

無限IP池

假設某秒撥機上的寬帶資源屬于XX地區(qū)電信運營商，那么該秒撥機可撥到整個XX地區(qū)電信IP池中的IP，在IPv4環(huán)境下具有少則十萬多則百萬的量級。而IPv6環(huán)境下，量級巨大，難以估計。我們對某一批IPv6地址進行重復性統(tǒng)計，監(jiān)測到的10萬數(shù)據(jù)中幾乎不存在重復的IPv6地址，而實際的IPv6秒撥池中，遠不止這個數(shù)。這意味著，傳統(tǒng)的利用IP黑名單庫給IP打風險標簽的方式將不再適用。

秒撥IP難以識別

另外，由于秒撥IP和正常用戶IP存在于同一個IP池，每次斷開連接，原本屬于被黑產(chǎn)使用的秒撥IP，都有可能在下一次撥號的時候流入到正常用戶手中，這會給秒撥IP和正常IP的區(qū)分帶來非常大的難度。

圖：利用秒撥測試IPv6支持情況

實驗室通過IPv6對國內的各類主流網(wǎng)站進行測試，發(fā)現(xiàn)大部分的廠商并沒有開始支持IPv6訪問。少部分支持IPv6的廠商，也僅是支持主網(wǎng)可以通過IPv6進行訪問，但網(wǎng)頁加載的速率，以及訪問鏈接的穩(wěn)定程度就顯得有點差強人意。一旦需要涉及到用戶登陸或者其他用戶操作的時候，就會經(jīng)常出現(xiàn)訪問失敗或者登陸超時的情況。而國外支持IPv6訪問的網(wǎng)站不論在穩(wěn)定性和響應速率，還是支持用戶相關的操作上，都比國內情況好很多。

3

總結與思考

發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，看似取之不盡的IP資源的確為當前逐漸枯竭的IPv4帶來了救贖，但不容忽視的也恰是“取之不盡”背后潛藏的安全隱患。從上述數(shù)據(jù)我們可以推測，黑灰產(chǎn)對IPv6的利用情況很大程度上和普及度相關。

由于大多數(shù)發(fā)達國家IPv6的普及度及采用度都處于高位，相應的也誕生了專門售賣IPv6代理的平臺。目前，在我國大部分主流網(wǎng)站都尚未支持IPv6訪問的情況下，黑灰產(chǎn)已經(jīng)開始研習IPv6技術，利用IPv6資源。當我國IPv6部署規(guī)模緊隨政策一步步落實和推進，IPv4不得不向IPv6轉移的檔口，如果企業(yè)的風控設施的改造和升級沒有跟上部署的腳步，將會面臨一段時間的安全防護的“空窗期”，黑灰產(chǎn)可以毫不費力的進入平臺，興風作浪，歌舞升平。

因此，未雨綢繆是企業(yè)應對風險的最佳手段。我們有理由相信，當越來越多的國內網(wǎng)站支持IPv6，并且功能性和穩(wěn)定性趨于完善后，基于IPv4的攻防戰(zhàn)場勢必會向IPv6轉移，對于所有的技術和安全人員，在保障技術穩(wěn)定升級的同時，安全性問題的考量同等重要。威脅獵人作為業(yè)務安全行業(yè)的先行者，已投入大量人力和資源在IPv6黑產(chǎn)資源的研究上，并開始積累實時IPv6風險數(shù)據(jù)，期望能幫助向IPv6遷移的廠商解決預想不到的安全問題。

威脅獵人是一家反欺詐服務&內容安全服務提供商，基于領先的反欺詐技術、海量的數(shù)據(jù)、豐富的安全經(jīng)驗積累，解決互聯(lián)網(wǎng)行業(yè)內存在的安全問題。并先后推出業(yè)務反欺詐、內容安全、金融解決方案等系列服務。我們擁有一整套國內領先的業(yè)務安全情報監(jiān)控與預警體系，形成了強大的黑灰產(chǎn)布控能力。目前已為騰訊、百度、阿里、華為、愛奇藝、58同城、bilibili、美團等互聯(lián)網(wǎng)企業(yè)提供業(yè)務安全服務。

閱讀原文