文档章节

威胁猎人黑产研究 | IPv6发展带来的反欺诈难题

永安在线反欺诈
 永安在线反欺诈
发布于 09/19 10:50
字数 2755
阅读 12
收藏 0

导语:IP是互联网最基础的身份标识,也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4是一颗星球,那IPv6就是一整个宇宙,它的地址空间接近无限。本文将揭露目前黑灰产对IPv6资源的利用情况,并剖析在IPv4向IPv6升级的过程中,业务场景下的安全将面临的挑战。

一、黑灰产采用IPv6发起攻击的趋势不可逆转

IP并不是一个新鲜的词,对于我们普通人来说,它是设备联网之后,就会被分配的地址。但在黑灰产手里,对IP的利用几乎超出我们的想象。它凭借黑色产业的强大需求已卧居在黑暗市场多年。

和我们在大荧幕上看见的网络攻击工具不同,IP没有病毒的强大杀伤力,也不具备摧枯拉朽的破坏力,却是黑灰产业务活动不可或缺的底层资源支撑,支持着恶意注册、刷量、薅羊毛、撞库等恶意行动的顺利进行。

目前我们所说的IP通常是指IPv4地址,这也是当前我们与黑产进行安全对抗的最激烈的攻防点之一。

IPv4由32个二进制位组成,空间里面有2^32(约43亿)个地址,其中约有2.8亿的地址是为特殊用途所保留的。然而,随着地址不断被分配给终端用户,IPv4地址枯竭的问题也在随之产生。

这个情况刺激了作为当前唯一的长期解决方案的IPv6的推进。

和IPv4相比,IPv6由128个二进制位组成,拥有2^128(约3.4×10^38)个地址,是IPv4的7.9×10^28倍,庞大的地址空间几乎接近无限,被十分形象的称为可以为全世界的每一粒沙子分配一个地址。

然福兮祸之所伏,IPv6的地址空间远超当前IPv4,也意味着黑灰产掌握的IP资源体量也将无限扩大,他们将有能力为每个恶意账号独立使用一个IP。以往在对抗过程中积累下的风控策略,具备的完备IPv4安全体系,在IPv6规模化普及后将面临新的挑战。

网络发展,安全先行。威胁猎人鬼谷实验室监测到的数据显示,目前已存在数据中心IPv6地址上发起的恶意机器流量,并且国外黑灰市场上早已出现IPv6代理资源,实验室推测,这在一定程度上与IPv6的普及度有关。当国内IPv6部署逐步展开,以此为基础的黑灰产攻击必顺势而来,值得注意的是,当前让业务方最头疼的的黑产IP资源——秒拨,也悄然增加了对IPv6的支持。

二、黑灰产已经开始利用IPv6资源

由市场强大需求带动的IP资源发展,已经成为黑灰产业链上的重要环节,专门提供IP资源的黑灰产团伙也随之产生。

黑灰产的技术非常与时俱进,在与企业玩转“猫鼠游戏”的过程中攻击手段也有所升级。比如从早期的通过代理IP绕过风控规则的方式,到现在已经演化出“秒拨”“混拨”等,甲方的对抗策略也在IPv4的环境下也有相应的得到提升和积累。

然而,当IPv4开始向IPv6迁移,IP环境的变化不仅牵涉了网络设备、路由管理、IPv6协议栈的相应改变,IPv4下搭建的风控体系在迁移的过程也会面临改造和升级。

原本适用于IPv4的防护策略如果改造不及时,将会面临多大的风险?这是所有企业都需要考虑和面对的问题。比如:

  • 海量地址扫描:IPv6由128个二进制构成,这意味着,如果一个子网使用其中IPv6网络中的64位来分配IP,则子网的总容量,也就是可分配的IP数为2的64次方。假设遍历IPv4的全部地址需要一个小时。那么将这个子网下面的所有IP地址遍历一遍,将需要50万年...
  • 黑名单库失效:在IPv4环境下积累的大量黑IP数据,对黑产IP进行识别有显著的帮助。但是,当IPv6时代来临,接近无限的IP地址会对黑名单库造成强烈冲击,原本高效的识别机制,在IPv6环境下将接近“无效”。
  • 未知下的误判:IPv6部署的初级阶段,将面临IPv6地理位置、设备指纹等风险数据缺失的问题,从而导致无法准确判定IP性质,产生误判。
  • ......

目前全球IPv6普及率达到23.97%,发达国家的IPv6普及率为25%,而全亚洲IPv6普及率达到27.13%,其中,中国的IPv6普及率达到了14.46%。以下是各大洲和发达国家以及中国的IPv6普及率统计结果:

随后,我们查看了威胁猎人监控平台捕获到的恶意机器流量,通过对资源进行分析,我们发现目前黑灰产掌握的主要IP资源中都存在IPv6的踪迹

代理

据调查,国外的代理平台早已存在出售IPv6代理的情况。由于当前IPv6普及率还较低,IPv6代理商并不是直接提供IPv6地址和端口,提供的依旧是IPv4和端口,通过类似6in4的隧道协议,将IPv6数据包封装在IPv4数据包中,再经由代理传送给用户。

我们对这些IPv6代理进行收集,分析其特征特点,发现其主要来自国外IDC机房。

而相比国外,国内并没有发现专门批量出售IPv6代理的平台,但是我们也捕获到一些国内IPv6代理样本,而且很有意思的是,国内的IPv6代理大部分源于国内教育网的IDC机房

由于其教育网的性质,如果简单地将各个教育网IDC对应的IPv6段进行拦截,最直接的结果就是误伤很大部分的正常学生用户。

秒拨

秒拨IP是黑灰产掌握的零一主要IP资源,并且,现在已有部分秒拨厂商开始支持并提供IPv6的服务。

我们对从秒拨机器上获取的IPv6地址进行分析,发现它的性质属于国内家庭宽带,利用拨号上网(PPPoE)的原理,每一次断线重连都会获取一个新的IP。和IPv4的秒拨性质类似,但比IPv4更具优势的地方在于,它的IP池庞大到接近无限,并且IP地址更难以识别的问题。

  • 无限IP池

假设某秒波机上的宽带资源属于XX地区电信运营商,那么该秒拨机可拨到整个XX地区电信IP池中的IP,在IPv4环境下具有少则十万多则百万的量级。而IPv6环境下,量级巨大,难以估计。我们对某一批IPv6地址进行重复性统计,监测到的10万数据中几乎不存在重复的IPv6地址,而实际的IPv6秒拨池中,远不止这个数。这意味着,传统的利用IP黑名单库给IP打风险标签的方式将不再适用

  • 秒拨IP难以识别

另外,由于秒拨IP和正常用户IP存在于同一个IP池,每次断开连接,原本属于被黑产使用的秒拨IP,都有可能在下一次拨号的时候流入到正常用户手中,这会给秒拨IP和正常IP的区分带来非常大的难度

图:利用秒拨测试IPv6支持情况

实验室通过IPv6对国内的各类主流网站进行测试,发现大部分的厂商并没有开始支持IPv6访问。少部分支持IPv6的厂商,也仅是支持主网可以通过IPv6进行访问,但网页加载的速率,以及访问链接的稳定程度就显得有点差强人意。一旦需要涉及到用户登陆或者其他用户操作的时候,就会经常出现访问失败或者登陆超时的情况。而国外支持IPv6访问的网站不论在稳定性和响应速率,还是支持用户相关的操作上,都比国内情况好很多。

三、总结与思考

发展基于IPv6的下一代互联网,看似取之不尽的IP资源的确为当前逐渐枯竭的IPv4带来了救赎,但不容忽视的也恰是“取之不尽”背后潜藏的安全隐患。从上述数据我们可以推测,黑灰产对IPv6的利用情况很大程度上和普及度相关。

由于大多数发达国家IPv6的普及度及采用度都处于高位,相应的也诞生了专门售卖IPv6代理的平台。目前,在我国大部分主流网站都尚未支持IPv6访问的情况下,黑灰产已经开始研习IPv6技术,利用IPv6资源。当我国IPv6部署规模紧随政策一步步落实和推进,IPv4不得不向IPv6转移的档口,如果企业的风控设施的改造和升级没有跟上部署的脚步,将会面临一段时间的安全防护的“空窗期”,黑灰产可以毫不费力的进入平台,兴风作浪,歌舞升平。

因此,未雨绸缪是企业应对风险的最佳手段。我们有理由相信,当越来越多的国内网站支持IPv6,并且功能性和稳定性趋于完善后,基于IPv4的攻防战场势必会向IPv6转移,对于所有的技术和安全人员,在保障技术稳定升级的同时,安全性问题的考量同等重要。威胁猎人作为业务安全行业的先行者,已投入大量人力和资源在IPv6黑产资源的研究上,并开始积累实时IPv6风险数据,期望能帮助向IPv6迁移的厂商解决预想不到的安全问题。

© 著作权归作者所有

永安在线反欺诈

永安在线反欺诈

粉丝 4
博文 5
码字总数 11600
作品 0
深圳
私信 提问
【反欺诈场景剖析】虚假账号的产生和流转

【反欺诈场景剖析】是威胁猎人黑灰产报告的一个系列,我们希望通过对反欺诈实际场景的剖析出发,帮助企业发现业务风控过程重的核心关键点。此篇主要介绍反欺诈场景中虚假账号的产生和流转规模...

威胁猎人
05/30
80
0
威胁猎人获600万元Pre-A+轮融资,以情报能力驱动业务安全

雷锋网(公众号:雷锋网)9月17日消息,威胁猎人宣布获真格基金资本的600万元PreA+轮融资。新一轮资金主要用于技术人才的建设和产品研发。 互联网的高速发展带来了场景爆炸,企业对业务安全的...

又田
2018/09/17
0
0
慧安金科黄铃:面对金融欺诈, AI 如何揪出“老赖”

1994年年初,有位叫姜文的演员因饰演《北京人在纽约》中的王启明而被中国大众熟知。 彼时,众多怀揣着美国梦的中国人踏上了这片想象中的自由之地,当时22岁的黄铃还是北航飞行器设计和应用力...

郭佳
2018/09/28
0
0
2017 看雪安全开发者峰会 12个安全议题轮番上阵

时间倒退至17年前,一场洋洋洒洒的大雪中看雪论坛成立了,素未谋面的各路人马凭借对安全技术的热爱在这里彼此交流分享。 而17年后,这群一梦为马的人们在帝都初次聚首,举办第一次峰会。以下...

又田
2017/11/19
0
0
针对游戏行业的欺诈难题,DataVisor 的无监督算法可以做什么

“根据全球顶尖营销数据分析平台TUNE的数据统计,每年有数百万乃至上千万美金被用于游戏应用的安装推广,随着用户群和收入的快速增长,游戏公司已成为欺诈份子的主要获利对象之一,仅2018年,...

郭佳
2018/08/17
0
0

没有更多内容

加载失败,请刷新页面

加载更多

PCB设计-Allegro软件入门系列-allegro环境变量和快捷键

Allegro作为一款高速PCB设计的EDA软件,有完善的约束规则设计和信号完整性电源完整性仿真等各种专业工具深受电子行业从业者喜爱。 对于该软件来说,电子从业者接触最多的就是Allegro的画板功...

demyar
19分钟前
3
0
腾讯云存储

1、进入腾讯云平台,创建 2、进入配置查看域名 3、查看KEY参数 4、将2、3中的参数录入到cms后台 然后点测试按钮查看情况

迅睿CMS-PHP开源CMS程序
21分钟前
3
0
ES 6.x 版本 待验证的CURL命令查询操作

1. 查询数据 curl -H "Content-Type: application/json" -XGET http://elastic:123456@127.0.0.1:9200/alias1/_search -d '{"query": {"match_all": {}}}' 2. 添加数据 如果有不指定ID可以自......

coord
28分钟前
3
0
如何写好论文摘要:研究人员不得不知的小秘诀

我们为何要写摘要? 它的目的为何? 简而言之,摘要的目的就是简单的讨论这篇文章让读者更容易的了解这篇文。 它能在读者与作者之间搭起一条桥梁。当您搜索信息时,您无法一下阅读整篇文章,...

论文辅导员
31分钟前
3
0
移动端、PC端(前后台)、小程序常用的UI框架

移动端、PC端(前后台)、小程序常用的UI框架 1.移动端UI库 ①.Vant UI 官方地址:https://youzan.github.io/vant/#/zh-CN/intro github地址:https://github.com/youzan/vant 优点:用来做移...

jason_kiss
31分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部