首页 > 评论 > 关键词 > IPv6最新资讯 > 正文

IPv6发展带来的反欺诈难题

2019-09-20 08:59 · 稿源:威胁猎人公众号

股市,上班,互联网

声明:本文来自于微信公众号 威胁猎人(ID:ThreatHunter),作者:威胁猎人,授权站长之家转载发布。

IP是互联网最基础的身份标识,也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4 是一颗星球,那IPv6 就是一整个宇宙,它的地址空间接近无限。本文将揭露目前黑灰产对IPv6 资源的利用情况,并剖析在IPv4 向IPv6 升级的过程中,业务场景下的安全将面临的挑战。

1

黑灰产采用IPv6 发起攻击的趋势不可逆转

IP并不是一个新鲜的词,对于我们普通人来说,它是设备联网之后,就会被分配的地址。但在黑灰产手里,对IP的利用几乎超出我们的想象。它凭借黑色产业的强大需求已卧居在黑暗市场多年。

和我们在大荧幕上看见的网络攻击工具不同,IP没有病毒的强大杀伤力,也不具备摧枯拉朽的破坏力,却是黑灰产业务活动不可或缺的底层资源支撑,支持着恶意注册、刷量、薅羊毛、撞库等恶意行动的顺利进行。

目前我们所说的IP通常是指IPv4 地址,这也是当前我们与黑产进行安全对抗的最激烈的攻防点之一。

IPv4 由 32 个二进制位组成,空间里面有2^32(约 43 亿)个地址,其中约有2. 8 亿的地址是为特殊用途所保留的。然而,随着地址不断被分配给终端用户,IPv4 地址枯竭的问题也在随之产生。

这个情况刺激了作为当前唯一的长期解决方案的IPv6 的推进。

和IPv4 相比,IPv6 由 128 个二进制位组成,拥有2^128(约3.4×10^38)个地址,是IPv4 的7.9×10^ 28 倍,庞大的地址空间几乎接近无限,被十分形象的称为可以为全世界的每一粒沙子分配一个地址。

然福兮祸之所伏,IPv6 的地址空间远超当前IPv4,也意味着黑灰产掌握的IP资源体量也将无限扩大,他们将有能力为每个恶意账号独立使用一个IP。以往在对抗过程中积累下的风控策略,具备的完备IPv4 安全体系,在IPv6 规模化普及后将面临新的挑战。

网络发展,安全先行。威胁猎人鬼谷实验室监测到的数据显示,目前已存在数据中心IPv6 地址上发起的恶意机器流量,并且国外黑灰市场上早已出现IPv6 代理资源,实验室推测,这在一定程度上与IPv6 的普及度有关。当国内IPv6 部署逐步展开,以此为基础的黑灰产攻击必顺势而来,值得注意的是,当前让业务方最头疼的的黑产IP资源——秒拨,也悄然增加了对IPv6 的支持。

2

黑灰产已经开始利用IPv6 资源

由市场强大需求带动的IP资源发展,已经成为黑灰产业链上的重要环节,专门提供IP资源的黑灰产团伙也随之产生。

黑灰产的技术非常与时俱进,在与企业玩转“猫鼠游戏”的过程中攻击手段也有所升级。比如从早期的通过代理IP绕过风控规则的方式,到现在已经演化出“秒拨”“混拨”等,甲方的对抗策略也在IPv4 的环境下也有相应的得到提升和积累。

然而,当IPv4 开始向IPv6 迁移,IP环境的变化不仅牵涉了网络设备、路由管理、IPv6 协议栈的相应改变,IPv4 下搭建的风控体系在迁移的过程也会面临改造和升级。

原本适用于IPv4 的防护策略如果改造不及时,将会面临多大的风险?这是所有企业都需要考虑和面对的问题。比如:

  • 海量地址扫描:IPv6 由 128 个二进制构成,这意味着,如果一个子网使用其中IPv6 网络中的 64 位来分配IP,则子网的总容量,也就是可分配的IP数为 2 的 64 次方。假设遍历IPv4 的全部地址需要一个小时。那么将这个子网下面的所有IP地址遍历一遍,将需要 50 万年...

  • 黑名单库失效:在IPv4 环境下积累的大量黑IP数据,对黑产IP进行识别有显著的帮助。但是,当IPv6 时代来临,接近无限的IP地址会对黑名单库造成强烈冲击,原本高效的识别机制,在IPv6 环境下将接近“无效”。

  • 未知下的误判:IPv6 部署的初级阶段,将面临IPv6 地理位置、设备指纹等风险数据缺失的问题,从而导致无法准确判定IP性质,产生误判。

  •  ......

目前全球IPv6 普及率达到23.97%,发达国家的IPv6 普及率为25%,而全亚洲IPv6 普及率达到27.13%,其中,中国的IPv6 普及率达到了14.46%。以下是各大洲和发达国家以及中国的IPv6 普及率统计结果:

随后,我们查看了威胁猎人监控平台捕获到的恶意机器流量,通过对资源进行分析,我们发现目前黑灰产掌握的主要IP资源中都存在IPv6 的踪迹

代理

据调查,国外的代理平台早已存在出售IPv6 代理的情况。由于当前IPv6 普及率还较低,IPv6 代理商并不是直接提供IPv6 地址和端口,提供的依旧是IPv4 和端口,通过类似6in4 加IPsec的隧道协议,将IPv6 数据包封装在IPv4 数据包中。

我们对这些IPv6 代理进行收集,分析其特征特点,发现其主要来自国外IDC机房。

而相比国外,国内并没有发现专门批量出售IPv6 代理的平台,但是我们也捕获到一些国内IPv6 代理样本,而且很有意思的是,国内的IPv6 代理大部分源于国内教育网的IDC机房

由于其教育网的性质,如果简单地将各个教育网IDC对应的IPv6 段进行拦截,最直接的结果就是误伤很大部分的正常学生用户。

秒拨

秒拨IP是黑灰产掌握的另一主要IP资源,并且,现在已有部分秒拨厂商开始支持并提供IPv6 的服务。

我们对从秒拨机器上获取的IPv6 地址进行分析,发现它的性质属于国内家庭宽带,利用拨号上网(PPPoE)的原理,每一次断线重连都会获取一个新的IP。和IPv4 的秒拨性质类似,但比IPv4 更具优势的地方在于,它的IP池庞大到接近无限,并且IP地址更难以识别的问题。

  • 无限IP池

假设某秒拨机上的宽带资源属于XX地区电信运营商,那么该秒拨机可拨到整个XX地区电信IP池中的IP,在IPv4 环境下具有少则十万多则百万的量级。而IPv6 环境下,量级巨大,难以估计。我们对某一批IPv6 地址进行重复性统计,监测到的 10 万数据中几乎不存在重复的IPv6 地址,而实际的IPv6 秒拨池中,远不止这个数。这意味着,传统的利用IP黑名单库给IP打风险标签的方式将不再适用

  • 秒拨IP难以识别

另外,由于秒拨IP和正常用户IP存在于同一个IP池,每次断开连接,原本属于被黑产使用的秒拨IP,都有可能在下一次拨号的时候流入到正常用户手中,这会给秒拨IP和正常IP的区分带来非常大的难度

图:利用秒拨测试IPv6 支持情况

实验室通过IPv6 对国内的各类主流网站进行测试,发现大部分的厂商并没有开始支持IPv6 访问。少部分支持IPv6 的厂商,也仅是支持主网可以通过IPv6 进行访问,但网页加载的速率,以及访问链接的稳定程度就显得有点差强人意。一旦需要涉及到用户登陆或者其他用户操作的时候,就会经常出现访问失败或者登陆超时的情况。而国外支持IPv6 访问的网站不论在稳定性和响应速率,还是支持用户相关的操作上,都比国内情况好很多。

3

总结与思考

发展基于IPv6 的下一代互联网,看似取之不尽的IP资源的确为当前逐渐枯竭的IPv4 带来了救赎,但不容忽视的也恰是“取之不尽”背后潜藏的安全隐患。从上述数据我们可以推测,黑灰产对IPv6 的利用情况很大程度上和普及度相关。

由于大多数发达国家IPv6 的普及度及采用度都处于高位,相应的也诞生了专门售卖IPv6 代理的平台。目前,在我国大部分主流网站都尚未支持IPv6 访问的情况下,黑灰产已经开始研习IPv6 技术,利用IPv6 资源。当我国IPv6 部署规模紧随政策一步步落实和推进,IPv4 不得不向IPv6 转移的档口,如果企业的风控设施的改造和升级没有跟上部署的脚步,将会面临一段时间的安全防护的“空窗期”,黑灰产可以毫不费力的进入平台,兴风作浪,歌舞升平。

因此,未雨绸缪是企业应对风险的最佳手段。我们有理由相信,当越来越多的国内网站支持IPv6,并且功能性和稳定性趋于完善后,基于IPv4 的攻防战场势必会向IPv6 转移,对于所有的技术和安全人员,在保障技术稳定升级的同时,安全性问题的考量同等重要。威胁猎人作为业务安全行业的先行者,已投入大量人力和资源在IPv6 黑产资源的研究上,并开始积累实时IPv6 风险数据,期望能帮助向IPv6 迁移的厂商解决预想不到的安全问题。

威胁猎人是一家反欺诈服务&内容安全服务提供商,基于领先的反欺诈技术、海量的数据、丰富的安全经验积累,解决互联网行业内存在的安全问题。并先后推出业务反欺诈、内容安全、金融解决方案等系列服务。我们拥有一整套国内领先的业务安全情报监控与预警体系,形成了强大的黑灰产布控能力。目前已为腾讯、百度、阿里、华为、爱奇艺、 58 同城、bilibili、美团等互联网企业提供业务安全服务。

  • 相关推荐
  • 大家在看
  • 6.29全国反欺诈宣传日,通付盾守护安全,远离欺诈

    随着信息技术的快速发展,电信网络新型诈骗犯罪持续多发高发、手段和花样不断翻新,层出不穷,给群众带来巨大损失,严重破坏了社会秩序。老年人和青少年群体正成为犯罪分子实施欺诈的重点目标。通付盾作为中国支付清算协会反欺诈工作常委单位,在6. 29 全国反欺诈宣传日之际,为大家传递如何防范欺诈的相关知识,规避欺诈风险。通付盾作为金融科技安全行业的领导者,通过技术创新和经验积累,构建了完善的风控精准体系,实现了基于

  • 2020网络黑产五大新发现,通付盾智能反欺诈再升级

    当前,网络支付的高效便捷,在改变群众消费习惯、改善人们生活品质的同时,也让一些“见不得光”的网络黑灰产业蠢蠢欲动。2020年4月,网络安全保卫支队(以下简称:苏州市公安局网安支队)会同张家港市公安局深入推进“净网2020”专项行动和网络重案攻坚专项行动,通过深入研判、深挖彻查、持续打击,成功斩断一条集“上游资金供给——非法‘第四方支付’——下游黑灰产业”于一体的完整犯罪产业链,成功摧毁一个为网络贷款诈骗提?

  • 40国领导人警示:针对医疗系统的网络攻击,正加剧新冠的破坏力!

    北京时间 27 号凌晨, 40 多位前任及现任领导人携手在瑞士日内瓦发出了一份关于全球疫情的公开信,内容是“呼吁各国共同预防和阻止针对医疗系统的网络攻击”。用红十字国际委员会主席、呼吁签署人彼得·毛雷尔的话来说:“我们身处现代史上最为严峻的卫生危机之中。针对本就脆弱的医疗系统的网络攻击,正在危及全人类”。疫情,“带火”网络攻击早在 4 月初,国际刑警组织就专门发布了一份紫色通告(用以搜集或提供关于犯罪分子的?

  • 映客成为6月份亚洲小姐竞选独家线上网络赛区

    【TechWeb】6月28日消息,映客与亚视达成了战略合作,将成为今年6月份亚姐竞选的线上网络赛区。据介绍,本次合作将从8月开始,历时三个月,通过线上比赛的方式每月选出10名、共计30名候选人进入“亚洲小姐-大中华区总决赛”,部分映客用户还将担任2020亚洲小姐赛事映客出品人,成为各区域总决赛的评委。届时,全部亚洲地区的重要城市,都将展开海选,并层层选拔进入到正赛。而此次亚洲小姐的奖励也前所未有的丰厚,其中包括定制剧

  • 中国电信: 6月1日起将逐步关闭云南3G网络

    【TechWeb】 日前,中国电信发布公告称,为了响应国家加快5G网络部署和网络升级的要求,中国电信将加快NB-IoT(窄带物联网)、4G、5G等新型网络的应用。公告称,中国电信云南公司自2020年6月1日起,逐步关闭3G-EVDO数据业务。中国电信建议道,还在使用3G-EVDO数据业务的用户选择服务更优的4G、5G数据业务,尽快到电信营业厅更换升级手机卡或终端。从工信部发布5G牌照后,2G、3G退网行动就被提上了日程,三大运营商也曾表示,会根据?

  • 中国电信云南公司:6月1日起逐步关闭3G网络

    4G完全普及,5G方兴未艾,而代表了功能机时代的2G、智能手机兴起时代的3G,正在逐渐离我们远去。

  • Google因拒绝为新闻付费 遭出版商攻击

    DoNews 6月19日消息(记者 刘文轩)据彭博社报道,出版商贸易组织News Media Alliance在一份提交给美国司法部的报告中称,Google使新闻机构在没有获得足够报酬的情况下出让其新闻内容。美国司法部目前正在调查Google可能的违反反垄断法的行为。新闻媒体联盟表示,Google严重依赖新闻内容来吸引流量和推动其广告业务,但由于它是一家拥有着强大权力的在线平台,新闻机构很难与这家公司就新闻内容许可证一事展开实际的谈判。知情人士

  • 全球“超算”攻击潮突起:一场威胁情报的硬核之战

    不久前,欧洲多国超级计算机上演“挖矿”风暴,规模之大史无前例。5 月 11 号,位于英国爱丁堡大学的超级计算机ARCHER(弓箭手)遭受网络攻击。这台 2014 年耗资 4300 万英镑(约合人民币 4 亿元)、在退役之前发挥余热、帮助研究者对抗新冠病毒、至今仍在全球超级计算机单中排名 252 名的性能怪兽,因为黑客的攻击,不得不选择下线“保平安”。同天另一起网络攻击也导致德国 5 台超级计算机关闭。在接下来的几天里,德国其他地方?

  • B站抗癌UP主出院回家 希望网友别再攻击谩骂

    6 月 5 日,B站抗癌UP主“虎子的后半生”自称接受完第五期化疗已回到家中,说,在住院期间有网友来看他并想捐款,被他拒绝了,他也希望大家能让他平静走完生命的最后一程,别再攻击和谩骂了。

  • 韩检方申请逮捕三星接班人李在镕 调查会计欺诈、合并案

    李在镕凤凰网科技讯 北京时间6月4日消息,韩国检方今天表示,他们已申请逮捕令,寻求逮捕三星集团接班人李在镕(Jay Y. Lee)和另外两名前公司高管,以调查备受争议的2015年三星子公司合并案和会计欺诈行为。韩国检方称,申请逮捕令是因为怀疑这些高管犯有操纵股价、作伪证以及其他犯罪行为。三星尚未置评。(作者/箫雨)更多一手新闻,欢迎下载凤凰新闻客户端订阅凤凰网科技。想看深度报道,请微信搜索“iFeng科技”

  • 加拿大或推迟至明年部署5G网络 关键5G频谱拍卖推迟6个月

    据国外媒体报道,由于受新冠疫情影响,加拿大推迟至明年拍卖关键的5G频谱,这意味着该国部署5G网络的时间或许也会被推迟至明年。

  • 亚马逊AWS称其阻止了创纪录的 2.3 Tbps DDoS 攻击

    亚马逊表示,其AWS Shield服务经受住了有记录以来最大的DDoS攻击,今年 2 月份中旬它阻止了一场2.3 Tbps DDoS攻击。

  • 6 月 1 日至 18 日,网联平台网络支付交易金额达 16.91 万亿元

    网联清算有限公司近日表示, 2020 年 6 月 1 日至 6 月 18 日,网联平台处理资金类跨机构网络支付交易 261. 78 亿笔、金额 16. 91 万亿元,同比分别上涨 52%、42%。其中, 6 月 1 日的单日交易处理规模达 15. 99 亿笔,创历史新高。

  • 亚马逊透露了如何抵制2月有史以来最大的DDoS攻击

    [TechWeb]随着几乎整个商业世界都在线迁移并进入某种形式的云空间,公司,特别是云提供商必须花费大量时间和精力来抵御各种网络攻击,这不足为奇。亚马逊网络服务公司在其最新的《 2020年第一季度季度报告》中宣布,它们可能抵御了有史以来最大的攻击之一。据该公司称,该公司最近不得不抵御2月的DDoS(分布式拒绝服务)攻击,其峰值流量为2.3 Tbps。它能够通过其AWS Shield服务缓解这种攻击,该服务旨在保护Amazon按需云计算平台

  • 网宿科技发布2019年中国互联网安全报告:日均抵御33.37亿次攻击,云上攻击持续升级

    6月24日消息,近日,网宿科技正式发布《2019年中国互联网安全报告》(下称《报告》)。《报告》显示,2019年,网宿云安全平台共监测拦截了12178.96亿次攻击。平均每天为全球网站抵御与防护约33.37亿次攻击。《报告》称,随着企业的数字化转型,来自云端的威胁与攻击正持续升级。在影视及传媒资讯、电商零售和政府机构等互联网及近年来加速上云的信息密集型行业,有越来越多的敏感数据、关键业务暴露在互联网中,被黑产

  • OKEx早报:俄电子投票系统遭攻击,以太坊2.0测试网启动

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递6 月 30 日讯,昨天BTC收跌,跌幅0.35%,盘中逼近 9000 美元关口。通过OKEx平台交易数据可以看出,今日早间行情较为平淡,BTC开盘报9121. 46 美元。开盘后一路缓慢上行,6: 00 涨至早间高点9234. 80 美元。随后开始横盘震荡,截止发稿BTC报9175. 28 美元。图片来源:OKEx平台BTC/USD交易数?

  • 周鸿祎谈新基建面临安全挑战:漏洞无处不在 一切皆可攻击

    在第四届世界智能大会(WIC)上,360董事长兼CEO周鸿祎谈到,网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。360董事长兼CEO 周鸿祎过去一年,针对关键基础设施的攻击此起彼伏:3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫

  • 本田全球业务遭勒索软件攻击 部分产线被迫暂停运营

    日本汽车企业本田(Honda)证实,一起网络攻击事件导致其全球部分业务陷入停顿状态。该公司周二在一份简短声明中说,攻击造成了其日本总部以外的生产问题。本田强调:“我们正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。”

  • 当代网络现状是怎么意思?当代网络现状视频观看地址

    日前当代网络现状视频被网友发上网络,发出后引起网友热议。有些人应该会有这样的体会,看起来其实只是随意评论感慨一句,却引来了这么多的批评和指责。

  • 购物狂欢大幕拉起,快将6万6哈弗M6加入购物车

    各地消费券的发放、地摊经济的爆火和 618 理想生活狂欢季的开启,“剁手”已经成为生活的常态。不管是地摊上的精致小物,或是网购的潮流穿搭,还是线下置办的小家电,其优惠力度相比往年更大。这其中,汽车等大件也进入了大家的视野。动辄上万的优惠力度让许多持币待购的小伙伴默默地将心仪车型加入购物车。作为6- 8 万元家用SUV首选,哈弗M6 也加入到“优惠大军”中,以真实让利回馈消费者。在长城汽车天猫官方旗舰店,哈弗M6 不?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议