导语:IP是互联网最基础的身份标识,也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4是一颗星球,那IPv6就是一整个宇宙,它的地址空间接近无限。本文将剖析目前黑灰产对IPv6资源的利用情况,并揭露在IPv4向IPv6升级的过程中,业务场景下的安全将面临的挑战。
一、黑灰产采用IPv6发起攻势不可逆转
IP并不是一个新鲜的词,对于我们普通人来说,它是设备联网之后,就会被分配的地址。但在黑灰产手里,对IP的利用几乎超出我们的想象。它凭借黑色产业的强大需求已卧居在黑暗市场多年。
和我们在大荧幕上看见的网络***工具不同,IP没有病毒的强大杀伤力,也不具备摧枯拉朽的破坏力,却是黑灰产业务活动不可或缺的底层资源支撑,支持着恶意注册、刷量、薅羊毛、撞库等恶意行动的顺利进行。
目前我们所说的IP通常是指IPv4地址,这也是当前我们与黑产进行安全对抗的最激烈的***点之一。
IPv4由32个二进制位组成,空间里面有2^32(约43亿)个地址,其中约有2.8亿的地址是为特殊用途所保留的。然而,随着地址不断被分配给终端用户,IPv4地址枯竭的问题也在随之产生。
这个情况刺激了作为当前唯一的长期解决方案的IPv6的推进。
和IPv4相比,IPv6由128个二进制位组成,拥有2^128(约3.4×10^38)个地址,是IPv4的7.9×10^28倍,庞大的地址空间几乎接近无限,被十分形象的称为可以为全世界的每一粒沙子分配一个地址。
然福兮祸之所伏,IPv6的地址空间远超当前IPv4,也意味着黑灰产掌握的IP资源体量也将无限扩大,他们将有能力为每个恶意账号独立使用一个IP。以往在对抗过程中积累下的风控策略,具备的完备IPv4安全体系,在IPv6规模化普及后将面临新的挑战。
网络发展,安全先行。威胁猎人鬼谷实验室监测到的数据显示,目前已存在数据中心IPv6地址上发起的恶意机器流量,并且国外黑灰市场上早已出现IPv6代理资源,实验室推测,这在一定程度上与IPv6的普及度有关。当国内IPv6部署逐步展开,以此为基础的黑灰产作恶必顺势而来,值得注意的是,当前让业务方最头疼的的黑产IP资源——秒拨,也悄然增加了对IPv6的支持。
二、黑灰产已经开始利用IPv6资源
由市场强大需求带动的IP资源发展,已经成为黑灰产业链上的重要环节,专门提供IP资源的黑灰产团伙也随之产生。
黑灰产的技术非常与时俱进,在与企业玩转“猫鼠游戏”的过程中作恶手段也有所升级。比如从早期的通过代理IP绕过风控规则的方式,到现在已经演化出“秒拨”“混拨”等,甲方的对抗策略也在IPv4的环境下也有相应的得到提升和积累。
然而,当IPv4开始向IPv6迁移,IP环境的变化不仅牵涉了网络设备、路由管理、IPv6协议栈的相应改变,IPv4下搭建的风控体系在迁移的过程也会面临改造和升级。
原本适用于IPv4的防护策略如果改造不及时,将会面临多大的风险?这是所有企业都需要考虑和面对的问题。比如:
海量地址扫描:IPv6由128个二进制构成,这意味着,如果一个子网使用其中IPv6网络中的64位来分配IP,则子网的总容量,也就是可分配的IP数为2的64次方。假设遍历IPv4的全部地址需要一个小时。那么将这个子网下面的所有IP地址遍历一遍,将需要50万年...
黑名单库失效:在IPv4环境下积累的大量黑IP数据,对黑产IP进行识别有显著的帮助。但是,当IPv6时代来临,接近无限的IP地址会对黑名单库造成强烈冲击,原本高效的识别机制,在IPv6环境下将接近“无效”。
未知下的误判:IPv6部署的初级阶段,将面临IPv6地理位置、设备指纹等风险数据缺失的问题,从而导致无法准确判定IP性质,产生误判。
......
目前全球IPv6普及率达到23.97%,发达国家的IPv6普及率为25%,而全亚洲IPv6普及率达到27.13%,其中,中国的IPv6普及率达到了14.46%。以下是各大洲和发达国家以及中国的IPv6普及率统计结果:
随后,我们查看了威胁猎人监控平台捕获到的恶意机器流量,通过对资源进行分析,我们发现目前
