返回

IPv6发展带来的反欺诈难题

2019-09-20 10:29威胁猎人公众号

IPv6 反欺诈 黑灰产 网络攻击

声明:本文来自于微信公众号 威胁猎人(ID:ThreatHunter),作者:威胁猎人,授权站长之家转载发布。

IP是互联网最基础的身份标识,也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4 是一颗星球,那IPv6 就是一整个宇宙,它的地址空间接近无限。本文将揭露目前黑灰产对IPv6 资源的利用情况,并剖析在IPv4 向IPv6 升级的过程中,业务场景下的安全将面临的挑战。

1

黑灰产采用IPv6 发起攻击的趋势不可逆转

IP并不是一个新鲜的词,对于我们普通人来说,它是设备联网之后,就会被分配的地址。但在黑灰产手里,对IP的利用几乎超出我们的想象。它凭借黑色产业的强大需求已卧居在黑暗市场多年。

和我们在大荧幕上看见的网络攻击工具不同,IP没有病毒的强大杀伤力,也不具备摧枯拉朽的破坏力,却是黑灰产业务活动不可或缺的底层资源支撑,支持着恶意注册、刷量、薅羊毛、撞库等恶意行动的顺利进行。

目前我们所说的IP通常是指IPv4 地址,这也是当前我们与黑产进行安全对抗的最激烈的攻防点之一。

IPv4 由 32 个二进制位组成,空间里面有2^32(约 43 亿)个地址,其中约有2. 8 亿的地址是为特殊用途所保留的。然而,随着地址不断被分配给终端用户,IPv4 地址枯竭的问题也在随之产生。

这个情况刺激了作为当前唯一的长期解决方案的IPv6 的推进。

和IPv4 相比,IPv6 由 128 个二进制位组成,拥有2^128(约3.4×10^38)个地址,是IPv4 的7.9×10^ 28 倍,庞大的地址空间几乎接近无限,被十分形象的称为可以为全世界的每一粒沙子分配一个地址。

然福兮祸之所伏,IPv6 的地址空间远超当前IPv4,也意味着黑灰产掌握的IP资源体量也将无限扩大,他们将有能力为每个恶意账号独立使用一个IP。以往在对抗过程中积累下的风控策略,具备的完备IPv4 安全体系,在IPv6 规模化普及后将面临新的挑战。

网络发展,安全先行。威胁猎人鬼谷实验室监测到的数据显示,目前已存在数据中心IPv6 地址上发起的恶意机器流量,并且国外黑灰市场上早已出现IPv6 代理资源,实验室推测,这在一定程度上与IPv6 的普及度有关。当国内IPv6 部署逐步展开,以此为基础的黑灰产攻击必顺势而来,值得注意的是,当前让业务方最头疼的的黑产IP资源——秒拨,也悄然增加了对IPv6 的支持。

2

黑灰产已经开始利用IPv6 资源

由市场强大需求带动的IP资源发展,已经成为黑灰产业链上的重要环节,专门提供IP资源的黑灰产团伙也随之产生。

黑灰产的技术非常与时俱进,在与企业玩转“猫鼠游戏”的过程中攻击手段也有所升级。比如从早期的通过代理IP绕过风控规则的方式,到现在已经演化出“秒拨”“混拨”等,甲方的对抗策略也在IPv4 的环境下也有相应的得到提升和积累。

然而,当IPv4 开始向IPv6 迁移,IP环境的变化不仅牵涉了网络设备、路由管理、IPv6 协议栈的相应改变,IPv4 下搭建的风控体系在迁移的过程也会面临改造和升级。

原本适用于IPv4 的防护策略如果改造不及时,将会面临多大的风险?这是所有企业都需要考虑和面对的问题。比如:

  • 海量地址扫描:IPv6 由 128 个二进制构成,这意味着,如果一个子网使用其中IPv6 网络中的 64 位来分配IP,则子网的总容量,也就是可分配的IP数为 2 的 64 次方。假设遍历IPv4 的全部地址需要一个小时。那么将这个子网下面的所有IP地址遍历一遍,将需要 50 万年...

  • 黑名单库失效:在IPv4 环境下积累的大量黑IP数据,对黑产IP进行识别有显著的帮助。但是,当IPv6 时代来临,接近无限的IP地址会对黑名单库造成强烈冲击,原本高效的识别机制,在IPv6 环境下将接近“无效”。

  • 未知下的误判:IPv6 部署的初级阶段,将面临IPv6 地理位置、设备指纹等风险数据缺失的问题,从而导致无法准确判定IP性质,产生误判。

  •  ......

目前全球IPv6 普及率达到23.97%,发达国家的IPv6 普及率为25%,而全亚洲IPv6 普及率达到27.13%,其中,中国的IPv6 普及率达到了14.46%。以下是各大洲和发达国家以及中国的IPv6 普及率统计结果:

IPv6 反欺诈 黑灰产 网络攻击

IPv6 反欺诈 黑灰产 网络攻击

随后,我们查看了威胁猎人监控平台捕获到的恶意机器流量,通过对资源进行分析,我们发现目前黑灰产掌握的主要IP资源中都存在IPv6 的踪迹

代理

据调查,国外的代理平台早已存在出售IPv6 代理的情况。由于当前IPv6 普及率还较低,IPv6 代理商并不是直接提供IPv6 地址和端口,提供的依旧是IPv4 和端口,通过类似6in4 加IPsec的隧道协议,将IPv6 数据包封装在IPv4 数据包中。

IPv6 反欺诈 黑灰产 网络攻击

我们对这些IPv6 代理进行收集,分析其特征特点,发现其主要来自国外IDC机房。

IPv6 反欺诈 黑灰产 网络攻击

而相比国外,国内并没有发现专门批量出售IPv6 代理的平台,但是我们也捕获到一些国内IPv6 代理样本,而且很有意思的是,国内的IPv6 代理大部分源于国内教育网的IDC机房

由于其教育网的性质,如果简单地将各个教育网IDC对应的IPv6 段进行拦截,最直接的结果就是误伤很大部分的正常学生用户。

秒拨

秒拨IP是黑灰产掌握的另一主要IP资源,并且,现在已有部分秒拨厂商开始支持并提供IPv6 的服务。

我们对从秒拨机器上获取的IPv6 地址进行分析,发现它的性质属于国内家庭宽带,利用拨号上网(PPPoE)的原理,每一次断线重连都会获取一个新的IP。和IPv4 的秒拨性质类似,但比IPv4 更具优势的地方在于,它的IP池庞大到接近无限,并且IP地址更难以识别的问题。

  • 无限IP池

假设某秒拨机上的宽带资源属于XX地区电信运营商,那么该秒拨机可拨到整个XX地区电信IP池中的IP,在IPv4 环境下具有少则十万多则百万的量级。而IPv6 环境下,量级巨大,难以估计。我们对某一批IPv6 地址进行重复性统计,监测到的 10 万数据中几乎不存在重复的IPv6 地址,而实际的IPv6 秒拨池中,远不止这个数。这意味着,传统的利用IP黑名单库给IP打风险标签的方式将不再适用

  • 秒拨IP难以识别

另外,由于秒拨IP和正常用户IP存在于同一个IP池,每次断开连接,原本属于被黑产使用的秒拨IP,都有可能在下一次拨号的时候流入到正常用户手中,这会给秒拨IP和正常IP的区分带来非常大的难度

IPv6 反欺诈 黑灰产 网络攻击

图:利用秒拨测试IPv6 支持情况

实验室通过IPv6 对国内的各类主流网站进行测试,发现大部分的厂商并没有开始支持IPv6 访问。少部分支持IPv6 的厂商,也仅是支持主网可以通过IPv6 进行访问,但网页加载的速率,以及访问链接的稳定程度就显得有点差强人意。一旦需要涉及到用户登陆或者其他用户操作的时候,就会经常出现访问失败或者登陆超时的情况。而国外支持IPv6 访问的网站不论在稳定性和响应速率,还是支持用户相关的操作上,都比国内情况好很多。

3

总结与思考

发展基于IPv6 的下一代互联网,看似取之不尽的IP资源的确为当前逐渐枯竭的IPv4 带来了救赎,但不容忽视的也恰是“取之不尽”背后潜藏的安全隐患。从上述数据我们可以推测,黑灰产对IPv6 的利用情况很大程度上和普及度相关。

由于大多数发达国家IPv6 的普及度及采用度都处于高位,相应的也诞生了专门售卖IPv6 代理的平台。目前,在我国大部分主流网站都尚未支持IPv6 访问的情况下,黑灰产已经开始研习IPv6 技术,利用IPv6 资源。当我国IPv6 部署规模紧随政策一步步落实和推进,IPv4 不得不向IPv6 转移的档口,如果企业的风控设施的改造和升级没有跟上部署的脚步,将会面临一段时间的安全防护的“空窗期”,黑灰产可以毫不费力的进入平台,兴风作浪,歌舞升平。

因此,未雨绸缪是企业应对风险的最佳手段。我们有理由相信,当越来越多的国内网站支持IPv6,并且功能性和稳定性趋于完善后,基于IPv4 的攻防战场势必会向IPv6 转移,对于所有的技术和安全人员,在保障技术稳定升级的同时,安全性问题的考量同等重要。威胁猎人作为业务安全行业的先行者,已投入大量人力和资源在IPv6 黑产资源的研究上,并开始积累实时IPv6 风险数据,期望能帮助向IPv6 迁移的厂商解决预想不到的安全问题。

威胁猎人是一家反欺诈服务&内容安全服务提供商,基于领先的反欺诈技术、海量的数据、丰富的安全经验积累,解决互联网行业内存在的安全问题。并先后推出业务反欺诈、内容安全、金融解决方案等系列服务。我们拥有一整套国内领先的业务安全情报监控与预警体系,形成了强大的黑灰产布控能力。目前已为腾讯、百度、阿里、华为、爱奇艺、 58 同城、bilibili、美团等互联网企业提供业务安全服务。

相关文章 大家在看
IPv6
2992篇文章
查看