随着互联网的快速发展和普及,全球IPv4地址已濒临枯竭。而IPv6作为替代IPv4的下一代IP协议,它不仅能解决网络地址资源数量的问题,同时解决了多种接入设备连入互联网的障碍。并且在IP地址数量、安全性、移动性、服务质量等方面有着巨大优势。
相关统计显示,我国IPv6 用户数量达6.35亿,占互联网活跃用户的61.52%,IPv6正在被越来越多的互联网用户使用。显然,从IPv4向IPv6的全面迁移已成为一种不可逆转的趋势。
在大力发展IPv6的同时,问题也开始逐渐显现,无论是监管部门还是政府、企事业单位都不能掉以轻心。
IPv6面临新安全问题
与IPv4相比,IPv6虽然在安全性方面进行了预先设计和充分考虑,但随着IPv6逐步扩大部署也引发新的安全挑战。比如在批量注册,批量薅羊毛,刷量,刷单,恶意引流等需要操控大量的账号进行自动化攻击的场景下,黑产使用IPv6资源来规避IP的检测。
早期的黑产主要使用代理IP对业务进行攻击,这些代理IP主要是通过全网扫描开放代理服务的服务器,或是直接使用肉鸡、自建服务器获取到。但这几种方式获取到代理IP的数量有限,基本不会变化。并且在甲方不断识别并积累大量黑IP数据下,利用代理IP对业务攻击的方式愈发艰难。
为此,他们研发出了秒拨技术。利用国内家用宽带拨号上网(PPPoE),每一次断线重连就会获取一个新的IP地址,使用新的IP来构建代理服务。这种方式对黑产的优势在于家庭宽带的IP池很大,能和正常用户在不同时间段内混合使用,而且只支持短效时间,IP地址切换频率高,这就加大了甲方识别难度。尽管如此,在基于黑产使用秒拨IP的特征和规律下,我们还是可以利用IP风险画像产品精准地识别出IP是否已经被黑产持有。
而如今,随着IPv6在国内的普及,黑产同样在秒拨技术上增加了对IPv6的支持。且相较于IPv4的使用更具有资源丰富、隐蔽性强、难以溯源的特点:资源丰富自IPv6被提出至今已有28年历史,随着国家全面推进IPv6部署,IPv6的网络规模、用户数量和流量带宽急剧增长,越来越多的应用开始支持IPv6。而各大秒拨平台也开始针对IPv6的特点进行改造升级,也让黑产进一步扩大获取IPv6底层资源的渠道。
隐蔽性强黑产通过秒拨获取到IPV6地址,与正常用户IP存在于同一个IP池。与IPV4不一样的是,每次断开连接后,IPV6的IP不会在下一次拨号的时候流入到正常用户手中,这给秒拨IP和正常IP的区分带来很大的难度。
难以溯源根据我们监控秒拨平台的数据显示,在近一周捕获到100w的IPv6地址中,重复出现过2次及以上的IP地址不到10w。也就是说,IPv6地址被黑产重复使用的概率不会超过10%。黑产在IPv6上使用秒拨技术并非是1个IP对应一台机器,而是1台机器对应了N个IP,因此降低了溯源的可能性。
另外,甲方在IPv4环境下积累的黑IP名单库,对黑产IP进行识别有显著的帮助。但随着IPv6时代的到来,接近无限的IP地址会对黑名单库造成强烈冲击,让原本高效的识别机制在IPv6环境下形同虚设。IPv6风险防御新措施
面对海量的IPv6地址,传统的短效黑白名单IP库已经完全失效。因此,为更好地帮助甲方抵御IPv6网络攻击,提升安全防护水平,永安在线通过观察到秒拨平台对IPv6地址分配的规律,结合捕获黑产使用的IPv6数据进行分析形成识别规则,构成一套IPv6风险识别算法,能为甲方检测出业务流量中IPv6流量在活跃时间内的风险值。
在多次与几个头部客户的业务场景测试,发现IPv6风险识别算法可精准识别出30%-35%的黑样本流量,其中黑样本流量聚集TOP8的城市,均在监测的地区范围内。
目前这套IPv6风险识别算法还有待继续完善,因为它的算法提升覆盖依靠的是监控全范围的黑产使用的IPv6资源地区。虽然我们监控到各大秒拨平台开放IPv6资源的地区已经涵盖全国100多个城市和区县,但有的秒拨平台还没开放IPv6资源地区,后续我们会及时跟进、覆盖,消除识别算法的盲区,进一步提升检测率,以便更精准、更及时地定位安全风险所在,帮助甲方实施快速有效的安全防护。
识
永安在线IPv6风险画像产品
助力企业识别业务流量风险、解决误判高等问题
想识别黑灰产的秒拨风险IP
欢迎申请试用IPv6风险画像产品
推荐阅读
1.再跨越!永安在线IP风险画像2.0带着IPv6风险识别能力来了2.重磅预告:永安在线IP风险画像携IPv6风险识别技术全新升级3.通过两个数据泄露事件来分析数字政务在API安全上遇到的挑战4.API 攻击分析:黑客利用大量IP低频爬取敏感数据5.API 攻击分析:黑客利用大量IP低频撞库登录API