【威脅獵人黑產研究】IPv6發(fā)展帶來的反欺詐難題

導語：IP是互聯(lián)網最基礎的身份標識，也是黑灰產業(yè)發(fā)展不可或缺的底層資源支撐。如果說IPv4是一顆星球，那IPv6就是一整個宇宙，它的地址空間接近無限。本文將剖析目前黑灰產對IPv6資源的利用情況，并揭露在IPv4向IPv6升級的過程中，業(yè)務場景下的安全將面臨的挑戰(zhàn)。

一、黑灰產采用IPv6發(fā)起攻勢不可逆轉

IP并不是一個新鮮的詞，對于我們普通人來說，它是設備聯(lián)網之后，就會被分配的地址。但在黑灰產手里，對IP的利用幾乎超出我們的想象。它憑借黑色產業(yè)的強大需求已臥居在黑暗市場多年。

和我們在大熒幕上看見的網絡***工具不同，IP沒有病毒的強大殺傷力，也不具備摧枯拉朽的破壞力，卻是黑灰產業(yè)務活動不可或缺的底層資源支撐，支持著惡意注冊、刷量、薅羊毛、撞庫等惡意行動的順利進行。

目前我們所說的IP通常是指IPv4地址，這也是當前我們與黑產進行安全對抗的最激烈的***點之一。

IPv4由32個二進制位組成，空間里面有2^32（約43億）個地址，其中約有2.8億的地址是為特殊用途所保留的。然而，隨著地址不斷被分配給終端用戶，IPv4地址枯竭的問題也在隨之產生。

這個情況刺激了作為當前唯一的長期解決方案的IPv6的推進。

和IPv4相比，IPv6由128個二進制位組成，擁有2^128（約3.4×10^38）個地址，是IPv4的7.9×10^28倍，龐大的地址空間幾乎接近無限，被十分形象的稱為可以為全世界的每一粒沙子分配一個地址。

然福兮禍之所伏，IPv6的地址空間遠超當前IPv4，也意味著黑灰產掌握的IP資源體量也將無限擴大，他們將有能力為每個惡意賬號獨立使用一個IP。以往在對抗過程中積累下的風控策略，具備的完備IPv4安全體系，在IPv6規(guī)?；占昂髮⒚媾R新的挑戰(zhàn)。

網絡發(fā)展，安全先行。威脅獵人鬼谷實驗室監(jiān)測到的數據顯示，目前已存在數據中心IPv6地址上發(fā)起的惡意機器流量，并且國外黑灰市場上早已出現(xiàn)IPv6代理資源，實驗室推測，這在一定程度上與IPv6的普及度有關。當國內IPv6部署逐步展開，以此為基礎的黑灰產作惡必順勢而來，值得注意的是，當前讓業(yè)務方最頭疼的的黑產IP資源——秒撥，也悄然增加了對IPv6的支持。

二、黑灰產已經開始利用IPv6資源

由市場強大需求帶動的IP資源發(fā)展，已經成為黑灰產業(yè)鏈上的重要環(huán)節(jié)，專門提供IP資源的黑灰產團伙也隨之產生。

黑灰產的技術非常與時俱進，在與企業(yè)玩轉“貓鼠游戲”的過程中作惡手段也有所升級。比如從早期的通過代理IP繞過風控規(guī)則的方式，到現(xiàn)在已經演化出“秒撥”“混撥”等，甲方的對抗策略也在IPv4的環(huán)境下也有相應的得到提升和積累。

然而，當IPv4開始向IPv6遷移，IP環(huán)境的變化不僅牽涉了網絡設備、路由管理、IPv6協(xié)議棧的相應改變，IPv4下搭建的風控體系在遷移的過程也會面臨改造和升級。

原本適用于IPv4的防護策略如果改造不及時，將會面臨多大的風險？這是所有企業(yè)都需要考慮和面對的問題。比如：

• 海量地址掃描：IPv6由128個二進制構成，這意味著，如果一個子網使用其中IPv6網絡中的64位來分配IP，則子網的總容量，也就是可分配的IP數為2的64次方。假設遍歷IPv4的全部地址需要一個小時。那么將這個子網下面的所有IP地址遍歷一遍，將需要50萬年...

• 黑名單庫失效：在IPv4環(huán)境下積累的大量黑IP數據，對黑產IP進行識別有顯著的幫助。但是，當IPv6時代來臨，接近無限的IP地址會對黑名單庫造成強烈沖擊，原本高效的識別機制，在IPv6環(huán)境下將接近“無效”。

• 未知下的誤判：IPv6部署的初級階段，將面臨IPv6地理位置、設備指紋等風險數據缺失的問題，從而導致無法準確判定IP性質，產生誤判。

• ......

目前全球IPv6普及率達到23.97%，發(fā)達國家的IPv6普及率為25%，而全亞洲IPv6普及率達到27.13%，其中，中國的IPv6普及率達到了14.46%。以下是各大洲和發(fā)達國家以及中國的IPv6普及率統(tǒng)計結果：

隨后，我們查看了威脅獵人監(jiān)控平臺捕獲到的惡意機器流量，通過對資源進行分析，我們發(fā)現(xiàn)目前黑灰產掌握的主要IP資源中都存在IPv6的蹤跡。

代理

據調查，國外的代理平臺早已存在交易IPv6代理的情況。由于當前IPv6普及率還較低，IPv6代理商并不是直接提供IPv6地址和端口，提供的依舊是IPv4和端口，通過類似6in4的隧道協(xié)議，將IPv6數據包封裝在IPv4數據包中，再經由代理傳送給用戶。

我們對這些IPv6代理進行收集，分析其特征特點，發(fā)現(xiàn)其主要來自國外IDC機房。

而相比國外，國內并沒有發(fā)現(xiàn)專門批量交易IPv6代理的平臺，但是我們也捕獲到一些國內IPv6代理樣本，而且很有意思的是，國內的IPv6代理大部分源于國內教育網的IDC機房。

由于其教育網的性質，如果簡單地將各個教育網IDC對應的IPv6段進行攔截，最直接的結果就是誤傷很大部分的正常學生用戶。

秒撥

秒撥IP是黑灰產掌握的零一主要IP資源，并且，現(xiàn)在已有部分秒撥廠商開始支持并提供IPv6的服務。

我們對從秒撥機器上獲取的IPv6地址進行分析，發(fā)現(xiàn)它的性質屬于國內家庭寬帶，利用撥號上網（PPPoE）的原理，每一次斷線重連都會獲取一個新的IP。和IPv4的秒撥性質類似，但比IPv4更具優(yōu)勢的地方在于，它的IP池龐大到接近無限，并且IP地址更難以識別的問題。

• 無限IP池

假設某秒波機上的寬帶資源屬于XX地區(qū)電信運營商，那么該秒撥機可撥到整個XX地區(qū)電信IP池中的IP，在IPv4環(huán)境下具有少則十萬多則百萬的量級。而IPv6環(huán)境下，量級巨大，難以估計。我們對某一批IPv6地址進行重復性統(tǒng)計，監(jiān)測到的10萬數據中幾乎不存在重復的IPv6地址，而實際的IPv6秒撥池中，遠不止這個數。這意味著，傳統(tǒng)的利用IP黑名單庫給IP打風險標簽的方式將不再適用。

• 秒撥IP難以識別

另外，由于秒撥IP和正常用戶IP存在于同一個IP池，每次斷開連接，原本屬于被黑產使用的秒撥IP，都有可能在下一次撥號的時候流入到正常用戶手中，這會給秒撥IP和正常IP的區(qū)分帶來非常大的難度。

圖：利用秒撥測試IPv6支持情況

實驗室通過IPv6對國內的各類主流網站進行測試，發(fā)現(xiàn)大部分的廠商并沒有開始支持IPv6訪問。少部分支持IPv6的廠商，也僅是支持主網可以通過IPv6進行訪問，但網頁加載的速率，以及訪問鏈接的穩(wěn)定程度就顯得有點差強人意。一旦需要涉及到用戶登陸或者其他用戶操作的時候，就會經常出現(xiàn)訪問失敗或者登陸超時的情況。而國外支持IPv6訪問的網站不論在穩(wěn)定性和響應速率，還是支持用戶相關的操作上，都比國內情況好很多。

三、總結與思考

發(fā)展基于IPv6的下一代互聯(lián)網，看似取之不盡的IP資源的確為當前逐漸枯竭的IPv4帶來了救贖，但不容忽視的也恰是“取之不盡”背后潛藏的安全隱患。從上述數據我們可以推測，黑灰產對IPv6的利用情況很大程度上和普及度相關。

由于大多數發(fā)達國家IPv6的普及度及采用度都處于高位，相應的也誕生了專門交易IPv6代理的平臺。目前，在我國大部分主流網站都尚未支持IPv6訪問的情況下，黑灰產已經開始研習IPv6技術，利用IPv6資源。當我國IPv6部署規(guī)模緊隨政策一步步落實和推進，IPv4不得不向IPv6轉移的檔口，如果企業(yè)的風控設施的改造和升級沒有跟上部署的腳步，將會面臨一段時間的安全防護的“空窗期”，黑灰產可以毫不費力的進入平臺，興風作浪，歌舞升平。

因此，未雨綢繆是企業(yè)應對風險的最佳手段。我們有理由相信，當越來越多的國內網站支持IPv6，并且功能性和穩(wěn)定性趨于完善后，基于IPv4的***戰(zhàn)場勢必會向IPv6轉移，對于所有的技術和安全人員，在保障技術穩(wěn)定升級的同時，安全性問題的考量同等重要。威脅獵人作為業(yè)務安全行業(yè)的先行者，已投入大量人力和資源在IPv6黑產資源的研究上，并開始積累實時IPv6風險數據，期望能幫助向IPv6遷移的廠商解決預想不到的安全問題。