(資料圖)

基于地址生成特征的啟發式測繪

如前所述，IPv6 地址分布存在一些特點，比如部分地址位隨機、MAC地址嵌入等，我們可以利用 這些分布特性，加入一些測繪范圍或限制條件，來降低 IPv6 地址測繪地址空間。 接下來我們用以下方法進行測繪測試，數據源來自于開源的 Hitlist 中存活的 IPv6 地址集合 1。

1.低位和部分位隨機地址測繪 低位 IPv6 地址測繪和 IPv4 的測繪類似，除了地址的后幾個字節，其他位均為 0，所以只需測繪對 應的地址段就可以發現這些地址。 如果地址隨機位不在末端的部分位隨機的 IPv6 地址，Scan6 可以使用十六進制的區間來表示要測繪! 1　我們使用的是開源的 IPv6 掃描插件 Scan6[38]，Scan6 是 IPv6 地址掃描的工具，它是 SI6 Networks IPv6 工具包的一部分，包括了一 些高級 IPv6 地址掃描方法。 的地址范圍，實現的效果只遍歷指定地址位，其它地址位不變。對應命令：scan6 -i eth0 -d ****:983:0- 3000::1，其中 0-3000（16 進制）指的只測繪遍歷范圍所在位，12,288 個地址測繪，共用了約 1 分鐘完成， 發現 3,853 個存活的 IPv6 地址，見圖 2.13 。 圖 2.13 部分地址位隨機的地址測繪2.內嵌 MAC的地址測繪 MAC地址由兩部分組成，前 24 位是廠商的 ID，由美國電氣和電子工程師協會（IEEE）唯一分配， 后 24 位廠商的擴展 ID由廠商自己編制，組合產生全球唯一的 48 位 MAC地址（也稱 IEEE 802地址）。 可在 IEEE官網查詢廠商對應的 MAC地址前 24 位的廠商 ID，具體信息格式如。 圖 2.14 MAC 地址與廠商的對應信息 利用 MAC地址嵌入的生成規則，以及 IEEE提供的廠商 ID對照表，就可以通過測繪指定 IPv6 址區 間內某個廠商的地址來縮小測繪范圍，進而縮短測繪時間。以 H智能設備廠商 MAC ID “BCAD28”為例， 選取了一個有 MAC地址嵌入資產存活的網段，做了如下測繪測試。 命令：scan6 -i eth0 -d ****:****:5491:0:0000:0000:0000:0000/64 -K " **** Technology Co.,Ltd." 參數 -K 是廠商名稱，表示只測繪配配置文件對應廠商的 MAC地址段生成的 IPv6 地址，測繪網段是掩碼 /64。 本次測繪耗時約 19 個小時完成測繪，雖然只發現 1 個存活地址，但是說明了增加廠商參數的測繪 MAC嵌入型地址是可行的。因為提供了 6 位廠商 MAC ID以及 4 位的 FFFE，測繪的隨機的地址位從 16 位下降到 6 位，要測繪的地址數量就從 264-1 個下降到 218-1，大大縮短了測繪時長。此外，MAC嵌 入型的地址測繪，還有助于發現物聯網設備的 IPv6 地址。通過輸入物聯網智能設備廠商的 MAC，測繪 存活地址大概率就是物聯網設備。或者通過提取 MAC嵌入地址中的 MAC地址，并匹配廠商信息，有 助于對資產的設備類型進行識別。 圖 2.15 內嵌 MAC的地址測繪

基于雙棧服務的啟發式測繪

除了上述的使用地址組成特征測繪的方法以外，我們參考 Cisco Talos 實驗室的一篇博客文章 [40] 中 介紹的方法，還可以利用 UPnP 服務發現 IPv6 物聯網資產。3.原理簡介UPnP 是用來實現局域網中各類設備互通互連的協議集合，但因為錯誤配置，很多 UPnP 服務暴露 在互聯網上。我們利用這個協議的一些特性，就可以發現一些暴露的、同時運行 IPv4 和 IPv6 雙棧服務 的物聯網資產。 UPnP 協議中有兩個角色，一個是控制節點，一個是設備節點，每當控制節點上線時，都會向組播 地址 239.255.255.250:1900 發送 M-SEARCH的探測包，來尋找可以控制的設備，設備節點收到探測 包或者剛加入網絡時，同樣都會發送一個 NOTIFY的數據包到組播地址，來告訴各個節點它的信息。 NOTIFY包格式如下圖所示，其中的 Location 字段是該設備的描述信息的鏈接，控制節點收到設備發送 的 NOTIFY的數據包之后，就會訪問其 Location 中的鏈接。UPnP 工作流程如圖 2.16 。 圖 2.16 UPnP 工作流程 利用 UPnP 服務發現雙棧資產具體的操作如圖 2.17 所示：4.首先將 Location 中的鏈接構造成我們搭建的 IPv6 的 WEB服務地址5.向互聯網上暴露的 UPnP 服務的物聯網資產 IPv4 地址發送構造的 NOTIFY的包6.如果探測的目標主機有 IPv6 的地址，該設備就會使用其 IPv6 地址向我們的 WEB服務發出請求7.通過解析請求日志，可獲得相應的 IPv6 資產地址。 圖 2.17 利用 UPnP 發現 IPv6 物聯網資產原理8.地理位置分布情況對全球 1900 端口的 IPv4 資產進行分析，去重后發現全球的雙棧資產數量為 27,642 個，其中有 27,150 個是 MAC嵌入型地址。查詢 IP地理庫后，獲得了這些地址的地理位置分布情況，如圖 2.18 所示。 雙棧資產數量最多的地區是中國，共有 15,538 個資產，需要說明的是，其中臺灣省的數量就有 15,296 個； 其次是越南，共有 5,372 個資產。 png)越南 5372 美國 1621 墨西哥 1314 巴西 1044 地理位置 泰國 535 英國 350 沙特阿拉伯 177 馬來西亞 143 0 2000 4000 6000 8000 10000 12000 14000 16000 18000 UPnP雙棧地址數量（個） 圖 2.18 通過 UPnP 發現的雙棧資產的地理位置分布 根據亞太互聯網絡信息中心（Asia-Pacific Network Information Center，APNIC）提供的 IPv6 使用 率來看 [41]，臺灣省的 IPv6 地址使用比例為 43.35%，排在全球第七位（截止 2019 年 12 月 1 日）。此外， 從過去兩年暴露資產數據得知，臺灣省物聯網資產暴露數量也是相對較多的。所以臺灣省的雙棧資產數 量如此多，可能和這兩點原因有關。9.廠商分布情況因為我們發現的雙棧地址幾乎都是 MAC地址嵌入型，所以可以先解析 IPv6 地址中的 MAC，再通 過 MAC地址的廠商 ID號，就可以查詢到相關的廠商信息。對 MAC地址做去重處理后，共有 11,606 個設備，具體的廠商分布情況如圖 2.19 所示，幾乎都是物聯網廠商的設備，其中物聯網廠商 A的暴露 數量最多。 雙棧資產數量（個） A 遜 B C 全 技 技 廠商 安 科 科 網 亞馬 網廠商 網廠商 LT 趨勢 群輝 物聯 物聯 物聯 廠商名稱 圖 2.19 發現的雙棧資產廠商分布情況

2.4.4.4 IPv6 資產變化情況分析2018 物聯網安全年報中，我們已經闡述了國內 IPv4 物聯網資產變化情況，所以借助上節中發現的 物聯網資產，接下來我們看看 IPv6 資產變化情況。因為 IPv6 嵌入的 MAC地址是可以確定其對應的唯 一設備，所以我們就可以知道一個資產的網絡地址是否變化過。對多輪國內的測繪結果，從得到數據初 步來看，同一物聯網設備對應 IPv6 地址也是變化的，并且同一個設備雙棧的 IPv4 和 IPv6 的地址對應 關系并不穩定，兩個地址均變化、兩個地址均不變、只有一個變化的情況都有。具體對應的變化關系， 抽取了一些例子，如表 2.1 、表 2.2 、表 2.3 和表 2.4 。 表 2.1 IPv4 和 IPv6 地址均不變 |測繪時間|IPv4 地址|IPv6 地址| 表 2.2 IPv4 地址不變，IPv6 地址變化 |測繪時間|IPv4 地址|IPv6 地址| 表 2.3 IPv4 地址變化，IPv6 地址不變 |測繪時間|IPv4 地址|IPv6 地址| 表 2.4 IPv4 和 IPv6 地址均變化 |測繪時間|IPv4 地址|IPv6 地址| 我們對國內獲取的多輪雙棧資產，通過 MAC地址去重后，共得到 2927 個設備。統計 MAC地址與 IPv6 地址的對應關系后，發現有將近 90%（2,633 個）設備的 IPv6 地址發生過變化。為了進一步了解 資產變化情況，我們又抽取存活的 1,934 個 IPv6 物聯網資產，并且每天測繪一遍，對這些資產進行存 活性統計（結果如圖 2.20 ），第一天有 1,934 個資產地址存活，第二天剩 1,331 個資產地址存活，到 第五天就僅剩 42 個資產地址存活，約占第一天存活的 2%。從獲取到的 IPv6 物聯網資產存活情況來看， 至少通過 UPnP 發現的雙棧的物聯網資產 IPv6 網絡地址是在變化的。似乎這個發現和我們之前的認知 是不太一樣的，即使 IPv6 地址充足，運營商或者設備本身也可能會采用 第1天 第2天 第3天 第4天 第5天 掃描間隔天數 圖 2.20 IPv6 物聯網資產存活性測繪（抽樣）

小結

本章首先介紹了 2019 年國內、新加坡和日本的 IPv4 物聯網資產的實際暴露情況，接著又介紹了部 分的 IPv6地址集中的物聯網資產暴露情況。其中，臺灣省的物聯網 IPv4和 IPv6資產暴露數量都是最多的。 接著又介紹了一些 IPv6 物聯網資產的發現方法，利用地址分布特性從 IPv6 地址集中測繪的方法，能大 大縮小測繪的范圍，使得 IPv6 測繪變得相對可行，但其缺點也比較明顯：不但需要提供存活地址或網段， 而且這種方法并不能發現無規律的地址；當然還有一些其他的方式，比如 DNS 反向映射獲取、公網流 量獲取、抽樣測繪等方法等。雖然 IPv6 地址測繪目前還不完美，但可考慮結合主動測繪和被動流量獲 取等多種方法，通過持續運營，不斷積累存活的 IPv6 資產。 隨著物聯網應用的蓬勃發展，IPv6 普及已成必然趨勢。面向 IPv6 的網絡攻擊也定會隨之而來， IPv6 網絡地址和服務準確的測繪是物聯網資產信息收集和脆弱性發現的前提和手段，對于后續的物聯 網安全具有著重要的意義。

參考資料

??綠盟 2019物聯網安全年報??