声明：本文来自于微信公众号 威胁猎人(ID：ThreatHunter)，作者：威胁猎人，授权站长之家转载发布。

IP是互联网最基础的身份标识，也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4 是一颗星球，那IPv6 就是一整个宇宙，它的地址空间接近无限。本文将揭露目前黑灰产对IPv6 资源的利用情况，并剖析在IPv4 向IPv6 升级的过程中，业务场景下的安全将面临的挑战。

1

黑灰产采用IPv6 发起攻击的趋势不可逆转

IP并不是一个新鲜的词，对于我们普通人来说，它是设备联网之后，就会被分配的地址。但在黑灰产手里，对IP的利用几乎超出我们的想象。它凭借黑色产业的强大需求已卧居在黑暗市场多年。

和我们在大荧幕上看见的网络攻击工具不同，IP没有病毒的强大杀伤力，也不具备摧枯拉朽的破坏力，却是黑灰产业务活动不可或缺的底层资源支撑，支持着恶意注册、刷量、薅羊毛、撞库等恶意行动的顺利进行。

目前我们所说的IP通常是指IPv4 地址，这也是当前我们与黑产进行安全对抗的最激烈的攻防点之一。

IPv4 由 32 个二进制位组成，空间里面有2^32(约 43 亿)个地址，其中约有2. 8 亿的地址是为特殊用途所保留的。然而，随着地址不断被分配给终端用户，IPv4 地址枯竭的问题也在随之产生。

这个情况刺激了作为当前唯一的长期解决方案的IPv6 的推进。

和IPv4 相比，IPv6 由 128 个二进制位组成，拥有2^128(约3.4×10^38)个地址，是IPv4 的7.9×10^ 28 倍，庞大的地址空间几乎接近无限，被十分形象的称为可以为全世界的每一粒沙子分配一个地址。

然福兮祸之所伏，IPv6 的地址空间远超当前IPv4，也意味着黑灰产掌握的IP资源体量也将无限扩大，他们将有能力为每个恶意账号独立使用一个IP。以往在对抗过程中积累下的风控策略，具备的完备IPv4 安全体系，在IPv6 规模化普及后将面临新的挑战。

网络发展，安全先行。威胁猎人鬼谷实验室监测到的数据显示，目前已存在数据中心IPv6 地址上发起的恶意机器流量，并且国外黑灰市场上早已出现IPv6 代理资源，实验室推测，这在一定程度上与IPv6 的普及度有关。当国内IPv6 部署逐步展开，以此为基础的黑灰产攻击必顺势而来，值得注意的是，当前让业务方最头疼的的黑产IP资源——秒拨，也悄然增加了对IPv6 的支持。

2

黑灰产已经开始利用IPv6 资源

由市场强大需求带动的IP资源发展，已经成为黑灰产业链上的重要环节，专门提供IP资源的黑灰产团伙也随之产生。

黑灰产的技术非常与时俱进，在与企业玩转“猫鼠游戏”的过程中攻击手段也有所升级。比如从早期的通过代理IP绕过风控规则的方式，到现在已经演化出“秒拨”“混拨”等，甲方的对抗策略也在IPv4 的环境下也有相应的得到提升和积累。

然而，当IPv4 开始向IPv6 迁移，IP环境的变化不仅牵涉了网络设备、路由管理、IPv6 协议栈的相应改变，IPv4 下搭建的风控体系在迁移的过程也会面临改造和升级。

原本适用于IPv4 的防护策略如果改造不及时，将会面临多大的风险?这是所有企业都需要考虑和面对的问题。比如：

• 海量地址扫描：IPv6 由 128 个二进制构成，这意味着，如果一个子网使用其中IPv6 网络中的 64 位来分配IP，则子网的总容量，也就是可分配的IP数为 2 的 64 次方。假设遍历IPv4 的全部地址需要一个小时。那么将这个子网下面的所有IP地址遍历一遍，将需要 50 万年...

• 黑名单库失效：在IPv4 环境下积累的大量黑IP数据，对黑产IP进行识别有显著的帮助。但是，当IPv6 时代来临，接近无限的IP地址会对黑名单库造成强烈冲击，原本高效的识别机制，在IPv6 环境下将接近“无效”。

• 未知下的误判：IPv6 部署的初级阶段，将面临IPv6 地理位置、设备指纹等风险数据缺失的问题，从而导致无法准确判定IP性质，产生误判。

•  ......

目前全球IPv6 普及率达到23.97%，发达国家的IPv6 普及率为25%，而全亚洲IPv6 普及率达到27.13%，其中，中国的IPv6 普及率达到了14.46%。以下是各大洲和发达国家以及中国的IPv6 普及率统计结果：

随后，我们查看了威胁猎人监控平台捕获到的恶意机器流量，通过对资源进行分析，我们发现目前黑灰产掌握的主要IP资源中都存在IPv6 的踪迹。

代理

据调查，国外的代理平台早已存在出售IPv6 代理的情况。由于当前IPv6 普及率还较低，IPv6 代理商并不是直接提供IPv6 地址和端口，提供的依旧是IPv4 和端口，通过类似6in4 加IPsec的隧道协议，将IPv6 数据包封装在IPv4 数据包中。

我们对这些IPv6 代理进行收集，分析其特征特点，发现其主要来自国外IDC机房。

而相比国外，国内并没有发现专门批量出售IPv6 代理的平台，但是我们也捕获到一些国内IPv6 代理样本，而且很有意思的是，国内的IPv6 代理大部分源于国内教育网的IDC机房。

由于其教育网的性质，如果简单地将各个教育网IDC对应的IPv6 段进行拦截，最直接的结果就是误伤很大部分的正常学生用户。

秒拨

秒拨IP是黑灰产掌握的另一主要IP资源，并且，现在已有部分秒拨厂商开始支持并提供IPv6 的服务。

我们对从秒拨机器上获取的IPv6 地址进行分析，发现它的性质属于国内家庭宽带，利用拨号上网(PPPoE)的原理，每一次断线重连都会获取一个新的IP。和IPv4 的秒拨性质类似，但比IPv4 更具优势的地方在于，它的IP池庞大到接近无限，并且IP地址更难以识别的问题。

• 无限IP池

假设某秒拨机上的宽带资源属于XX地区电信运营商，那么该秒拨机可拨到整个XX地区电信IP池中的IP，在IPv4 环境下具有少则十万多则百万的量级。而IPv6 环境下，量级巨大，难以估计。我们对某一批IPv6 地址进行重复性统计，监测到的 10 万数据中几乎不存在重复的IPv6 地址，而实际的IPv6 秒拨池中，远不止这个数。这意味着，传统的利用IP黑名单库给IP打风险标签的方式将不再适用。

• 秒拨IP难以识别

另外，由于秒拨IP和正常用户IP存在于同一个IP池，每次断开连接，原本属于被黑产使用的秒拨IP，都有可能在下一次拨号的时候流入到正常用户手中，这会给秒拨IP和正常IP的区分带来非常大的难度。

图：利用秒拨测试IPv6 支持情况

实验室通过IPv6 对国内的各类主流网站进行测试，发现大部分的厂商并没有开始支持IPv6 访问。少部分支持IPv6 的厂商，也仅是支持主网可以通过IPv6 进行访问，但网页加载的速率，以及访问链接的稳定程度就显得有点差强人意。一旦需要涉及到用户登陆或者其他用户操作的时候，就会经常出现访问失败或者登陆超时的情况。而国外支持IPv6 访问的网站不论在稳定性和响应速率，还是支持用户相关的操作上，都比国内情况好很多。

3

总结与思考

发展基于IPv6 的下一代互联网，看似取之不尽的IP资源的确为当前逐渐枯竭的IPv4 带来了救赎，但不容忽视的也恰是“取之不尽”背后潜藏的安全隐患。从上述数据我们可以推测，黑灰产对IPv6 的利用情况很大程度上和普及度相关。

由于大多数发达国家IPv6 的普及度及采用度都处于高位，相应的也诞生了专门售卖IPv6 代理的平台。目前，在我国大部分主流网站都尚未支持IPv6 访问的情况下，黑灰产已经开始研习IPv6 技术，利用IPv6 资源。当我国IPv6 部署规模紧随政策一步步落实和推进，IPv4 不得不向IPv6 转移的档口，如果企业的风控设施的改造和升级没有跟上部署的脚步，将会面临一段时间的安全防护的“空窗期”，黑灰产可以毫不费力的进入平台，兴风作浪，歌舞升平。

因此，未雨绸缪是企业应对风险的最佳手段。我们有理由相信，当越来越多的国内网站支持IPv6，并且功能性和稳定性趋于完善后，基于IPv4 的攻防战场势必会向IPv6 转移，对于所有的技术和安全人员，在保障技术稳定升级的同时，安全性问题的考量同等重要。威胁猎人作为业务安全行业的先行者，已投入大量人力和资源在IPv6 黑产资源的研究上，并开始积累实时IPv6 风险数据，期望能帮助向IPv6 迁移的厂商解决预想不到的安全问题。

威胁猎人是一家反欺诈服务&内容安全服务提供商，基于领先的反欺诈技术、海量的数据、丰富的安全经验积累，解决互联网行业内存在的安全问题。并先后推出业务反欺诈、内容安全、金融解决方案等系列服务。我们拥有一整套国内领先的业务安全情报监控与预警体系，形成了强大的黑灰产布控能力。目前已为腾讯、百度、阿里、华为、爱奇艺、 58 同城、bilibili、美团等互联网企业提供业务安全服务。