声明:本文来自于微信公众号 威胁猎人(ID:ThreatHunter),作者:威胁猎人,授权站长之家转载发布。
IP是互联网最基础的身份标识,也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4 是一颗星球,那IPv6 就是一整个宇宙,它的地址空间接近无限。本文将揭露目前黑灰产对IPv6 资源的利用情况,并剖析在IPv4 向IPv6 升级的过程中,业务场景下的安全将面临的挑战。
1
黑灰产采用IPv6 发起攻击的趋势不可逆转
IP并不是一个新鲜的词,对于我们普通人来说,它是设备联网之后,就会被分配的地址。但在黑灰产手里,对IP的利用几乎超出我们的想象。它凭借黑色产业的强大需求已卧居在黑暗市场多年。
和我们在大荧幕上看见的网络攻击工具不同,IP没有病毒的强大杀伤力,也不具备摧枯拉朽的破坏力,却是黑灰产业务活动不可或缺的底层资源支撑,支持着恶意注册、刷量、薅羊毛、撞库等恶意行动的顺利进行。
目前我们所说的IP通常是指IPv4 地址,这也是当前我们与黑产进行安全对抗的最激烈的攻防点之一。
IPv4 由 32 个二进制位组成,空间里面有2^32(约 43 亿)个地址,其中约有2. 8 亿的地址是为特殊用途所保留的。然而,随着地址不断被分配给终端用户,IPv4 地址枯竭的问题也在随之产生。
这个情况刺激了作为当前唯一的长期解决方案的IPv6 的推进。
和IPv4 相比,IPv6 由 128 个二进制位组成,拥有2^128(约3.4×10^38)个地址,是IPv4 的7.9×10^ 28 倍,庞大的地址空间几乎接近无限,被十分形象的称为可以为全世界的每一粒沙子分配一个地址。
然福兮祸之所伏,IPv6 的地址空间远超当前IPv4,也意味着黑灰产掌握的IP资源体量也将无限扩大,他们将有能力为每个恶意账号独立使用一个IP。以往在对抗过程中积累下的风控策略,具备的完备IPv4 安全体系,在IPv6 规模化普及后将面临新的挑战。
网络发展,安全先行。威胁猎人鬼谷实验室监测到的数据显示,目前已存在数据中心IPv6 地址上发起的恶意机器流量,并且国外黑灰市场上早已出现IPv6 代理资源,实验室推测,这在一定程度上与IPv6 的普及度有关。当国内IPv6 部署逐步展开,以此为基础的黑灰产攻击必顺势而来,值得注意的是,当前让业务方最头疼的的黑产IP资源——秒拨,也悄然增加了对IPv6 的支持。
2
黑灰产已经开始利用IPv6 资源
由市场强大需求带动的IP资源发展,已经成为黑灰产业链上的重要环节,专门提供IP资源的黑灰产团伙也随之产生。
黑灰产的技术非常与时俱进,在与企业玩转“猫鼠游戏”的过程中攻击手段也有所升级。比如从早期的通过代理IP绕过风控规则的方式,到现在已经演化出“秒拨”“混拨”等,甲方的对抗策略也在IPv4 的环境下也有相应的得到提升和积累。
然而,当IPv4 开始向IPv6 迁移,IP环境的变化不仅牵涉了网络设备、路由管理、IPv6 协议栈的相应改变,IPv4 下搭建的风控体系在迁移的过程也会面临改造和升级。
原本适用于IPv4 的防护策略如果改造不及时,将会面临多大的风险?这是所有企业都需要考虑和面对的问题。比如:
海量地址扫描:IPv6 由 128 个二进制构成,这意味着,如果一个子网使用其中IPv6 网络中的 64 位来分配IP,则子网的总容量,也就是可分配的IP数为 2 的 64 次方。假设遍历IPv4 的全部地址需要一个小时。那么将这个子网下面的所有IP地址遍历一遍,将需要 50 万年...
黑名单库失效:在IPv4 环境下积累的大量黑IP数据,对黑产IP进行识别有显著的帮助。但是,当IPv6 时代来临,接近无限的IP地址会对黑名单库造成强烈冲击,原本高效的识别机制,在IPv6 环境下将接近“无效”。
未知下的误判:IPv6 部署的初级阶段,将面临IPv6 地理位置、设备指纹等风险数据缺失的问题,从而导致无法准确判定IP性质,产生误判。
......
目前全球IPv6 普及率达到23.97%,发达国家的IPv6 普及率为25%,而全亚洲IPv6 普及率达到27.13%,其中,中国的IPv6 普及率达到了14.46%。以下是各大洲和发达国家以及中国的IPv6 普及率统计结果:
随后,我们查看了威胁猎人监控平台捕获到的恶意机器流量,通过对资源进行分析,我们发现目前黑灰产掌握的主要IP资源中都存在IPv6 的踪迹。
代理
据调查,国外的代理平台早已存在出售IPv6 代理的情况。由于当前IPv6 普及率还较低,IPv6 代理商并不是直接提供IPv6 地址和端口,提供的依旧是IPv4 和端口,通过类似6in4 加IPsec的隧道协议,将IPv6 数据包封装在IPv4 数据包中。
我们对这些IPv6 代理进行收集,分析其特征特点,发现其主要来自国外IDC机房。
而相比国外,国内并没有发现专门批量出售IPv6 代理的平台,但是我们也捕获到一些国内IPv6 代理样本,而且很有意思的是,国内的IPv6 代理大部分源于国内教育网的IDC机房。
由于其教育网的性质,如果简单地将各个教育网IDC对应的IPv6 段进行拦截,最直接的结果就是误伤很大部分的正常学生用户。
秒拨
秒拨IP是黑灰产掌握的另一主要IP资源,并且,现在已有部分秒拨厂商开始支持并提供IPv6 的服务。
我们对从秒拨机器上获取的IPv6 地址进行分析,发现它的性质属于国内家庭宽带,利用拨号上网(PPPoE)的原理,每一次断线重连都会获取一个新的IP。和IPv4 的秒拨性质类似,但比IPv4 更具优势的地方在于,它的IP池庞大到接近无限,并且IP地址更难以识别的问题。
无限IP池
假设某秒拨机上的宽带资源属于XX地区电信运营商,那么该秒拨机可拨到整个XX地区电信IP池中的IP,在IPv4 环境下具有少则十万多则百万的量级。而IPv6 环境下,量级巨大,难以估计。我们对某一批IPv6 地址进行重复性统计,监测到的 10 万数据中几乎不存在重复的IPv6 地址,而实际的IPv6 秒拨池中,远不止这个数。这意味着,传统的利用IP黑名单库给IP打风险标签的方式将不再适用。
秒拨IP难以识别
另外,由于秒拨IP和正常用户IP存在于同一个IP池,每次断开连接,原本属于被黑产使用的秒拨IP,都有可能在下一次拨号的时候流入到正常用户手中,这会给秒拨IP和正常IP的区分带来非常大的难度。
图:利用秒拨测试IPv6 支持情况
实验室通过IPv6 对国内的各类主流网站进行测试,发现大部分的厂商并没有开始支持IPv6 访问。少部分支持IPv6 的厂商,也仅是支持主网可以通过IPv6 进行访问,但网页加载的速率,以及访问链接的稳定程度就显得有点差强人意。一旦需要涉及到用户登陆或者其他用户操作的时候,就会经常出现访问失败或者登陆超时的情况。而国外支持IPv6 访问的网站不论在稳定性和响应速率,还是支持用户相关的操作上,都比国内情况好很多。
3
总结与思考
发展基于IPv6 的下一代互联网,看似取之不尽的IP资源的确为当前逐渐枯竭的IPv4 带来了救赎,但不容忽视的也恰是“取之不尽”背后潜藏的安全隐患。从上述数据我们可以推测,黑灰产对IPv6 的利用情况很大程度上和普及度相关。
由于大多数发达国家IPv6 的普及度及采用度都处于高位,相应的也诞生了专门售卖IPv6 代理的平台。目前,在我国大部分主流网站都尚未支持IPv6 访问的情况下,黑灰产已经开始研习IPv6 技术,利用IPv6 资源。当我国IPv6 部署规模紧随政策一步步落实和推进,IPv4 不得不向IPv6 转移的档口,如果企业的风控设施的改造和升级没有跟上部署的脚步,将会面临一段时间的安全防护的“空窗期”,黑灰产可以毫不费力的进入平台,兴风作浪,歌舞升平。
因此,未雨绸缪是企业应对风险的最佳手段。我们有理由相信,当越来越多的国内网站支持IPv6,并且功能性和稳定性趋于完善后,基于IPv4 的攻防战场势必会向IPv6 转移,对于所有的技术和安全人员,在保障技术稳定升级的同时,安全性问题的考量同等重要。威胁猎人作为业务安全行业的先行者,已投入大量人力和资源在IPv6 黑产资源的研究上,并开始积累实时IPv6 风险数据,期望能帮助向IPv6 迁移的厂商解决预想不到的安全问题。
威胁猎人是一家反欺诈服务&内容安全服务提供商,基于领先的反欺诈技术、海量的数据、丰富的安全经验积累,解决互联网行业内存在的安全问题。并先后推出业务反欺诈、内容安全、金融解决方案等系列服务。我们拥有一整套国内领先的业务安全情报监控与预警体系,形成了强大的黑灰产布控能力。目前已为腾讯、百度、阿里、华为、爱奇艺、 58 同城、bilibili、美团等互联网企业提供业务安全服务。