隨著物聯(lián)網(wǎng)應用的蓬勃發(fā)展、IPv4地址的耗盡，IPv6普及已成必然趨勢，IPv6網(wǎng)絡上暴露的物聯(lián)網(wǎng)資產(chǎn)將成為攻擊者的重點目標，所以能夠?qū)Pv6資產(chǎn)和服務準確的測繪，對于網(wǎng)絡安全具有著重要的意義。

本文介紹了2019年國內(nèi)、新加坡和日本的IPv4物聯(lián)網(wǎng)資產(chǎn)的實際暴露情況，部分的IPv6地址集中的物聯(lián)網(wǎng)資產(chǎn)暴露情況?？偨Y(jié)了一些IPv6物聯(lián)網(wǎng)資產(chǎn)的發(fā)現(xiàn)方法，利用地址分布特性從IPv6地址集中測繪的方法，能大大縮小測繪的范圍，使得IPv6測繪變得相對可行。雖然IPv6地址測繪目前還不完美，但可考慮結(jié)合主動測繪和被動流量獲取等多種方法，通過持續(xù)運營，來不斷積累存活的IPv6資產(chǎn)。隨著物聯(lián)網(wǎng)應用的蓬勃發(fā)現(xiàn)，IPv6普及已成必然趨勢。面向IPv6的網(wǎng)絡攻擊也定會隨之而來，IPv6網(wǎng)絡地址和服務準確的測繪是物聯(lián)網(wǎng)資產(chǎn)信息收集和脆弱性發(fā)現(xiàn)的前提和手段，對于后續(xù)的物聯(lián)網(wǎng)安全具有著重要的意義。

本文只對《2019 物聯(lián)網(wǎng)安全年報》的部分章節(jié)進行解讀。

一. IPv4物聯(lián)網(wǎng)資產(chǎn)實際暴露情況

2019年國內(nèi)物聯(lián)網(wǎng)資產(chǎn)實際的暴露數(shù)量共有116萬，其中暴露設備類型最多的是攝像頭。

2018年，互聯(lián)網(wǎng)上暴露的資產(chǎn)網(wǎng)絡地址是不斷變化的，使用歷史數(shù)據(jù)來描繪暴露資產(chǎn)情況，會導致統(tǒng)計結(jié)果要高于實際暴露數(shù)量，所以某個地區(qū)實際的暴露數(shù)量，應在較短的時間測繪一個周期后，統(tǒng)計物聯(lián)網(wǎng)資產(chǎn)數(shù)量更為準確。在2019年11月，我們對國內(nèi)物聯(lián)網(wǎng)資產(chǎn)常用端口進行測繪，共發(fā)現(xiàn)116萬暴露的物聯(lián)網(wǎng)資產(chǎn)，其中最多的是攝像頭，暴露數(shù)量約56萬。如圖 1.1 所示。

圖 1.1 2019年國內(nèi)IPv4物聯(lián)網(wǎng)資產(chǎn)實際暴露情況

報告還介紹了新加坡和日本的物聯(lián)網(wǎng)資產(chǎn)實際暴露情況。日本暴露物聯(lián)網(wǎng)資產(chǎn)總量約47萬，新加坡暴露物聯(lián)網(wǎng)資產(chǎn)總量約28萬。日本物聯(lián)網(wǎng)資產(chǎn)暴露情況相較于去年總量變化不大，新加坡的物聯(lián)網(wǎng)資產(chǎn)暴露數(shù)量相比于去年增加了約40%，這個增長可能與近些年新加坡大力發(fā)展物聯(lián)網(wǎng)應用有關。

二. IPv6物聯(lián)網(wǎng)資產(chǎn)實際暴露情況研究

目前IPv6的資產(chǎn)測繪還是學術(shù)難題，國內(nèi)外相關的研究頁也屬于起步階段，但可啟發(fā)式地通過IPv6地址和物聯(lián)網(wǎng)服務的一些特性來發(fā)現(xiàn)IPv6物聯(lián)網(wǎng)資產(chǎn)。從結(jié)果看，國內(nèi)的IPv6物聯(lián)網(wǎng)資產(chǎn)數(shù)量還是較少，應與我國的IPv6部署還屬于初級階段有關。

IPv6的地址空間過大，IPv6地址數(shù)量是IPv4的296倍，如果以IPv4資產(chǎn)發(fā)現(xiàn)的方式，在全網(wǎng)段測繪IPv6資產(chǎn)，從時間開銷和資源消耗上都是不切實際的;此外，目前IPv6地址使用的實際數(shù)量較少，并且地址分布的隨機性較大，難有針對性的測繪策略發(fā)現(xiàn)某網(wǎng)絡中存活的IPv6資產(chǎn)，這也無形增加了測繪難度。所以面向IPv4的地址測繪方法不適用于IPv6網(wǎng)絡。

2.1 從已知IPv6地址集合中發(fā)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)

我們找到一些可用的IPv6地址集合，通過對這些地址的測繪以及識別來發(fā)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)。使用的地址集合包括：Hitlist維護的存活IPv6地址，數(shù)量約有300萬;綠盟威脅情報中心(NTI)中域名情報映射的IPv6地址集，數(shù)量約17億。對物聯(lián)網(wǎng)資產(chǎn)常用端口進行測繪，得到的物聯(lián)網(wǎng)資產(chǎn)約有8萬，最多的物聯(lián)網(wǎng)資產(chǎn)類型是VoIP電話，共有70682個，其次是攝像頭，共有13960個，最后是路由器，共有1549個。

對物聯(lián)網(wǎng)資產(chǎn)端口分布情況進行統(tǒng)計，數(shù)量較多的主要是VoIP電話開放的5060端口和攝像頭開放的554端口。物聯(lián)網(wǎng)資產(chǎn)所在的國家分布情況如圖 1.2 所示，物聯(lián)網(wǎng)資產(chǎn)數(shù)量最多是德國，其次是荷蘭和美國。

圖 1.2 發(fā)現(xiàn)的IPv6物聯(lián)網(wǎng)資產(chǎn)國家分布情況

2.2 基于IPv6地址生成特征的啟發(fā)式測繪

IPv6地址分布存在一些特點，比如部分地址位隨機、MAC地址嵌入等，我們可以利用這些分布特性，加入一些測繪范圍或限制條件，來降低IPv6地址測繪地址空間。利用MAC地址嵌入的生成規(guī)則，以及IEEE提供的廠商ID對照表，就可以通過測繪指定IPv6址區(qū)間內(nèi)某個廠商的地址來縮小測繪范圍，進而縮短測繪時間。因為提供了6位廠商MAC ID以及4位的FFFE，測繪的隨機的地址位從16位下降到6位，要測繪的地址數(shù)量就從264-1個下降到218-1，大大縮短了測繪時長。此外，MAC嵌入型的地址測繪，還有助于發(fā)現(xiàn)物聯(lián)網(wǎng)設備的IPv6地址。通過輸入物聯(lián)網(wǎng)智能設備廠商的MAC，測繪存活地址大概率就是物聯(lián)網(wǎng)設備?；蛘咄ㄟ^提取MAC嵌入地址中的MAC地址，并匹配廠商信息，有助于對資產(chǎn)的設備類型進行識別。

2.3 基于UPnP雙棧服務的啟發(fā)式測繪

除了上述的使用地址組成特征測繪的方法以外，還可以利用UPnP服務發(fā)現(xiàn)IPv6物聯(lián)網(wǎng)資產(chǎn)。UPnP是用來實現(xiàn)局域網(wǎng)中各類設備互通互連的協(xié)議集合，但因為錯誤配置，很多UPnP服務暴露在互聯(lián)網(wǎng)上。我們利用這個協(xié)議的一些特性，就可以發(fā)現(xiàn)一些暴露的、同時運行IPv4和IPv6雙棧服務的物聯(lián)網(wǎng)資產(chǎn)。對全球1900端口的IPv4資產(chǎn)進行分析，去重后發(fā)現(xiàn)全球的雙棧資產(chǎn)數(shù)量為27,642個，其中有27,150個是MAC嵌入型地址。雙棧資產(chǎn)數(shù)量最多的地區(qū)是中國，共有15,538個資產(chǎn);其次是越南，共有5,372個資產(chǎn)。

圖 1.3 通過UPnP發(fā)現(xiàn)的雙棧資產(chǎn)的地理位置分布

我們發(fā)現(xiàn)的雙棧地址幾乎都是MAC地址嵌入型，所以可以先解析IPv6地址中的MAC，再通過MAC地址的廠商ID號，就可以查詢到相關的廠商信息。對MAC地址做去重處理后，共有11,606個設備，具體的廠商分布情況如圖 1.4 所示，幾乎都是物聯(lián)網(wǎng)廠商的設備，其中物聯(lián)網(wǎng)廠商A的暴露數(shù)量最多。

圖 1.4 發(fā)現(xiàn)的雙棧資產(chǎn)廠商分布情況

更詳盡的關于物聯(lián)網(wǎng)資產(chǎn)的描述，可點擊下載報告完整版