威脅獵人黑產研究 | IPv6發展帶來的反欺詐難題

導語：IP是互聯網最基礎的身份標識，也是黑灰產業發展不可或缺的底層資源支撐。若是說IPv4是一顆星球，那IPv6就是一整個宇宙，它的地址空間接近無限。本文將揭露目前黑灰產對IPv6資源的利用狀況，並剖析在IPv4向IPv6升級的過程當中，業務場景下的安全將面臨的挑戰。

1、黑灰產採用IPv6發起攻擊的趨勢不可逆轉

IP並非一個新鮮的詞，對於咱們普通人來講，它是設備聯網以後，就會被分配的地址。但在黑灰產手裏，對IP的利用幾乎超出咱們的想象。它憑藉黑色產業的強大需求已臥居在黑暗市場多年。

和咱們在大熒幕上看見的網絡攻擊工具不一樣，IP沒有病毒的強大殺傷力，也不具有摧枯拉朽的破壞力，倒是黑灰產業務活動不可或缺的底層資源支撐，支持着惡意註冊、刷量、薅羊毛、撞庫等惡意行動的順利進行。

目前咱們所說的IP一般是指IPv4地址，這也是當前咱們與黑產進行安全對抗的最激烈的攻防點之一。

IPv4由32個二進制位組成，空間裏面有2^32（約43億）個地址，其中約有2.8億的地址是爲特殊用途所保留的。然而，隨着地址不斷被分配給終端用戶，IPv4地址枯竭的問題也在隨之產生。

這個狀況刺激了做爲當前惟一的長期解決方案的IPv6的推動。

和IPv4相比，IPv6由128個二進制位組成，擁有2^128（約3.4×10^38）個地址，是IPv4的7.9×10^28倍，龐大的地址空間幾乎接近無限，被十分形象的稱爲能夠爲全世界的每一粒沙子分配一個地址。

然福兮禍之所伏，IPv6的地址空間遠超當前IPv4，也意味着黑灰產掌握的IP資源體量也將無限擴大，他們將有能力爲每一個惡意帳號獨立使用一個IP。以往在對抗過程當中積累下的風控策略，具有的完備IPv4安全體系，在IPv6規模化普及後將面臨新的挑戰。

網絡發展，安全先行。威脅獵人鬼谷實驗室監測到的數據顯示，目前已存在數據中心IPv6地址上發起的惡意機器流量，而且國外黑灰市場上早已出現IPv6代理資源，實驗室推測，這在必定程度上與IPv6的普及度有關。當國內IPv6部署逐步展開，以此爲基礎的黑灰產攻擊必順勢而來，值得注意的是，當前讓業務方最頭疼的的黑產IP資源——秒撥，也悄然增長了對IPv6的支持。

2、黑灰產已經開始利用IPv6資源

由市場強大需求帶動的IP資源發展，已經成爲黑灰產業鏈上的重要環節，專門提供IP資源的黑灰產團伙也隨之產生。

黑灰產的技術很是與時俱進，在與企業玩轉「貓鼠遊戲」的過程當中攻擊手段也有所升級。好比從早期的經過代理IP繞過風控規則的方式，到如今已經演化出「秒撥」「混撥」等，甲方的對抗策略也在IPv4的環境下也有相應的獲得提高和積累。

然而，當IPv4開始向IPv6遷移，IP環境的變化不只牽涉了網絡設備、路由管理、IPv6協議棧的相應改變，IPv4下搭建的風控體系在遷移的過程也會面臨改造和升級。

本來適用於IPv4的防禦策略若是改造不及時，將會面臨多大的風險？這是全部企業都須要考慮和麪對的問題。好比：

• 海量地址掃描：IPv6由128個二進制構成，這意味着，若是一個子網使用其中IPv6網絡中的64位來分配IP，則子網的總容量，也就是可分配的IP數爲2的64次方。假設遍歷IPv4的所有地址須要一個小時。那麼將這個子網下面的全部IP地址遍歷一遍，將須要50萬年...
• 黑名單庫失效：在IPv4環境下積累的大量黑IP數據，對黑產IP進行識別有顯著的幫助。可是，當IPv6時代來臨，接近無限的IP地址會對黑名單庫形成強烈衝擊，本來高效的識別機制，在IPv6環境下將接近「無效」。
• 未知下的誤判：IPv6部署的初級階段，將面臨IPv6地理位置、設備指紋等風險數據缺失的問題，從而致使沒法準確斷定IP性質，產生誤判。
• ......

目前全球IPv6普及率達到23.97%，發達國家的IPv6普及率爲25%，而全亞洲IPv6普及率達到27.13%，其中，中國的IPv6普及率達到了14.46%。如下是各大洲和發達國家以及中國的IPv6普及率統計結果：

隨後，咱們查看了威脅獵人監控平臺捕獲到的惡意機器流量，經過對資源進行分析，咱們發現目前黑灰產掌握的主要IP資源中都存在IPv6的蹤影。

代理

據調查，國外的代理平臺早已存在出售IPv6代理的狀況。因爲當前IPv6普及率還較低，IPv6代理商並非直接提供IPv6地址和端口，提供的依舊是IPv4和端口，經過相似6in4的隧道協議，將IPv6數據包封裝在IPv4數據包中，再經由代理傳送給用戶。

咱們對這些IPv6代理進行收集，分析其特徵特色，發現其主要來自國外IDC機房。

而相比國外，國內並無發現專門批量出售IPv6代理的平臺，可是咱們也捕獲到一些國內IPv6代理樣本，並且頗有意思的是，國內的IPv6代理大部分源於國內教育網的IDC機房。

因爲其教育網的性質，若是簡單地將各個教育網IDC對應的IPv6段進行攔截，最直接的結果就是誤傷很大部分的正常學生用戶。

秒撥

秒撥IP是黑灰產掌握的零一主要IP資源，而且，如今已有部分秒撥廠商開始支持並提供IPv6的服務。

咱們對從秒撥機器上獲取的IPv6地址進行分析，發現它的性質屬於國內家庭寬帶，利用撥號上網（PPPoE）的原理，每一次斷線重連都會獲取一個新的IP。和IPv4的秒撥性質相似，但比IPv4更具優點的地方在於，它的IP池龐大到接近無限，而且IP地址更難以識別的問題。

• 無限IP池

假設某秒波機上的寬帶資源屬於XX地區電信運營商，那麼該秒撥機可撥到整個XX地區電信IP池中的IP，在IPv4環境下具備少則十萬多則百萬的量級。而IPv6環境下，量級巨大，難以估計。咱們對某一批IPv6地址進行重複性統計，監測到的10萬數據中幾乎不存在重複的IPv6地址，而實際的IPv6秒撥池中，遠不止這個數。這意味着，傳統的利用IP黑名單庫給IP打風險標籤的方式將再也不適用。

• 秒撥IP難以識別

另外，因爲秒撥IP和正經常使用戶IP存在於同一個IP池，每次斷開鏈接，本來屬於被黑產使用的秒撥IP，都有可能在下一次撥號的時候流入到正經常使用戶手中，這會給秒撥IP和正常IP的區分帶來很是大的難度。

圖：利用秒撥測試IPv6支持狀況

實驗室經過IPv6對國內的各種主流網站進行測試，發現大部分的廠商並無開始支持IPv6訪問。少部分支持IPv6的廠商，也僅是支持主網能夠經過IPv6進行訪問，但網頁加載的速率，以及訪問連接的穩定程度就顯得有點差強人意。一旦須要涉及到用戶登錄或者其餘用戶操做的時候，就會常常出現訪問失敗或者登錄超時的狀況。而國外支持IPv6訪問的網站不論在穩定性和響應速率，仍是支持用戶相關的操做上，都比國內狀況好不少。

3、總結與思考

發展基於IPv6的下一代互聯網，看似取之不盡的IP資源的確爲當前逐漸枯竭的IPv4帶來了救贖，但不容忽視的也恰是「取之不盡」背後潛藏的安全隱患。從上述數據咱們能夠推測，黑灰產對IPv6的利用狀況很大程度上和普及度相關。

因爲大多數發達國家IPv6的普及度及採用度都處於高位，相應的也誕生了專門售賣IPv6代理的平臺。目前，在我國大部分主流網站都還沒有支持IPv6訪問的狀況下，黑灰產已經開始研習IPv6技術，利用IPv6資源。當我國IPv6部署規模緊隨政策一步步落實和推動，IPv4不得不向IPv6轉移的檔口，若是企業的風控設施的改造和升級沒有跟上部署的腳步，將會面臨一段時間的安全防禦的「空窗期」，黑灰產能夠絕不費力的進入平臺，興風做浪，歌舞昇平。

所以，未雨綢繆是企業應對風險的最佳手段。咱們有理由相信，當愈來愈多的國內網站支持IPv6，而且功能性和穩定性趨於完善後，基於IPv4的攻防戰場勢必會向IPv6轉移，對於全部的技術和安全人員，在保障技術穩定升級的同時，安全性問題的考量同等重要。威脅獵人做爲業務安全行業的先行者，已投入大量人力和資源在IPv6黑產資源的研究上，並開始積累實時IPv6風險數據，指望能幫助向IPv6遷移的廠商解決預想不到的安全問題。