最重要的原因最先說(shuō)：從安全的角度來(lái)看，我們已經(jīng)不能繼續(xù)忽視IPv6了。

最近，Akamai的研究人員與馬克斯?普朗克信息研究所（Max Planck Institute for Informatics）合作，對(duì)IPv6地址空間的大規(guī)模漏洞掃描行為進(jìn)行了首次實(shí)證研究。結(jié)果發(fā)現(xiàn)，網(wǎng)絡(luò)上的各種掃描器已經(jīng)開(kāi)始掃蕩IPv6空間。由于IPv6空間的掃描難度遠(yuǎn)高于IPv4，因此目前與IPv6有關(guān)的掃描活動(dòng)還并不算太多。

總的來(lái)看，相關(guān)掃描流量主要集中于少數(shù)幾個(gè)活躍來(lái)源。從地理位置方面來(lái)看，兩個(gè)最活躍的來(lái)源均來(lái)自中國(guó)；從掃描流量來(lái)源的頂級(jí)網(wǎng)絡(luò)來(lái)看，還有一些網(wǎng)絡(luò)安全公司正在從云提供商的地址空間中發(fā)起掃描。

這類掃描器通常并不會(huì)使用單個(gè)128位IPv6地址發(fā)出掃描流量，而是會(huì)使用最大達(dá)到整個(gè)/32空間的無(wú)數(shù)個(gè)地址前綴來(lái)發(fā)起探測(cè)，這可能是為了逃避檢測(cè)。因而直接后果就是：對(duì)這些掃描器的檢測(cè)和封堵將變得異常困難。

為什么現(xiàn)在要開(kāi)始關(guān)注這些？Akamai認(rèn)為，如果針對(duì)IPv6的漏洞掃描繼續(xù)變得更普遍，那么業(yè)界可能就迫切需要提供可靠的IPv6掃描活動(dòng)檢測(cè)和阻斷技術(shù)。因?yàn)檫@很可能導(dǎo)致新的安全問(wèn)題。

延伸閱讀，了解Akamai cloud-computing

出海云服務(wù)，選擇Akamai Linode！

背景簡(jiǎn)介

無(wú)論攻擊者、研究人員或防御者，大家都會(huì)通過(guò)網(wǎng)絡(luò)掃描來(lái)找出/暴露出連接到互聯(lián)網(wǎng)的設(shè)備中存在的漏洞。雖然這樣做的目標(biāo)大相徑庭，但由于IPv4有數(shù)以萬(wàn)計(jì)的持續(xù)來(lái)源，任何人只需要進(jìn)行掃描，就能發(fā)現(xiàn)或抵御網(wǎng)絡(luò)威脅。當(dāng)軟件中發(fā)現(xiàn)新漏洞后，攻擊者會(huì)爭(zhēng)先恐后掃描不同的地址空間，尋找容易受到攻擊的主機(jī)，并進(jìn)行利用或攻擊。與此同時(shí)，爬蟲(chóng)網(wǎng)絡(luò)也會(huì)不斷掃描地址空間，借此尋找新的可利用目標(biāo)從而橫向傳播。安全公司和研究人員也會(huì)掃描地址空間，以確定不同地址空間的屬性并發(fā)現(xiàn)薄弱點(diǎn)?？偠灾篒Pv4空間很忙。

那么IPv6呢？有人在掃描IPv6空間嗎？我們是否有必要多多關(guān)注一下這方面？

答案很簡(jiǎn)單：從安全的角度來(lái)看，我們已經(jīng)不能繼續(xù)忽視IPv6了。上文提到的研究所產(chǎn)生的最新論文即將在ACM Internet Measurement Conference 2022大會(huì)上發(fā)表，論文中提到，我們使用在Akamai邊緣服務(wù)器上獲得的防火墻日志來(lái)闡述IPv6互聯(lián)網(wǎng)上正在進(jìn)行的掃描活動(dòng)。在超過(guò)15個(gè)月的時(shí)間里，我們一直在研究：誰(shuí)在掃描，他們?cè)趻呙枋裁?，以及在識(shí)別和阻止此類掃描方面我們面臨的最大挑戰(zhàn)是什么。

為何對(duì)IPv6空間進(jìn)行的掃描更困難？

IPv4地址空間包含大約40億個(gè)地址，現(xiàn)如今，只要有網(wǎng)絡(luò)帶寬足夠大的計(jì)算機(jī)，整個(gè)IPv4地址空間可以在大約一小時(shí)內(nèi)掃描完畢。同樣，低帶寬的IoT爬蟲(chóng)只能生成并掃描隨機(jī)的IPv4地址以便橫向移動(dòng)。只要有足夠的時(shí)間，隨機(jī)生成目標(biāo)地址通常就足以找到有反應(yīng)、可利用的主機(jī)。

但另一方面，IPv6的地址長(zhǎng)度高達(dá)128位，可以包含大約10的38次方個(gè)地址，這要比IPv4地址空間的規(guī)模大好幾個(gè)數(shù)量級(jí)。以現(xiàn)如今的技術(shù)能力來(lái)說(shuō)，整個(gè)IPv6地址空間至少需要數(shù)萬(wàn)億年的時(shí)間才能掃描完畢。這使得對(duì)整個(gè)空間進(jìn)行完整掃描成了一種不切實(shí)際的做法，那么如果攻擊者想要進(jìn)行掃描，就需要首先通過(guò)其他方式找到目標(biāo)地址，例如使用IPv6的命中列表（Hitlist），或使用DNS將域名解析為IPv6地址。雖然浩如煙海的IPv6使得攻擊者很難通過(guò)隨機(jī)掃描的方式尋找目標(biāo)，但并不意味著我們可以完全忽視這種做法。這有些類似于“隱性安全性（Security by obscurity）”的思想，而根據(jù)這種思想，最佳做法是直接“阻斷”掃描操作，從而“保護(hù)”IPv6。

為何很難檢測(cè)到針對(duì)IPv6進(jìn)行的掃描操作？

在IPv4空間中，每個(gè)能被路由的地址每天都會(huì)收到數(shù)以千計(jì)的掃描數(shù)據(jù)包，這是有人掃描整個(gè)IPv4空間，或有人以隨機(jī)方式生成目標(biāo)地址并借此查找有漏洞的主機(jī)所導(dǎo)致的結(jié)果。因此只需要監(jiān)測(cè)未使用的前綴（“暗網(wǎng)”）中抵達(dá)的掃描流量，我們就可以通過(guò)一種直接的方法研究IPv4空間中的整體網(wǎng)絡(luò)掃描活動(dòng)趨勢(shì)。

然而當(dāng)涉及到IPv6時(shí)，第一個(gè)挑戰(zhàn)在于找到一個(gè)足以看到足夠程度掃描流量的“有利位置”。正如上文所述，隨機(jī)地以整個(gè)IPv6空間為目標(biāo)是不現(xiàn)實(shí)的。因此監(jiān)測(cè)暫未使用的IPv6前綴（和IPv4一樣，也屬于“暗網(wǎng)”）上所產(chǎn)生的流量，這種方式幾乎無(wú)法發(fā)現(xiàn)任何掃描流量。這時(shí)候就要由Akamai智能邊緣平臺(tái)發(fā)揮作用了！我們?cè)诔^(guò)1300個(gè)網(wǎng)絡(luò)中運(yùn)行了數(shù)十萬(wàn)臺(tái)服務(wù)器，每臺(tái)服務(wù)器都承載著客戶的內(nèi)容，由于我們?cè)陧憫?yīng)DNS請(qǐng)求時(shí)需要返回這些服務(wù)器的地址，因此這些服務(wù)器的IPv6地址就已經(jīng)暴露到互聯(lián)網(wǎng)上了。因此，它們可以被掃描器發(fā)現(xiàn)，并成為公開(kāi)可用的IPv6命中列表的一部分。

第二個(gè)挑戰(zhàn)是如何準(zhǔn)確定位并隔離IPv6掃描源。由于攻擊者與合法掃描源都在積極掃描，隔離對(duì)于了解目前的掃描情況就顯得至關(guān)重要。此外，如果一個(gè)網(wǎng)絡(luò)想要阻止來(lái)自惡意攻擊者的流量，那么在生產(chǎn)環(huán)境中，隔離就變得更重要了。在研究掃描流量時(shí)，我們注意到一些掃描器并不使用單一128位源IPv6地址來(lái)發(fā)出自己的掃描探針，而是會(huì)從/64、/48，甚至/32等不太具體的前綴所包含的無(wú)數(shù)源地址發(fā)出掃描流量。畢竟IPv6的龐大規(guī)模使得這種做法完全可行，任何一個(gè)掃描器都可以輕松獲得一個(gè)巨大的IPv6分配（例如直接從區(qū)域性互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（RIR）那里獲得一個(gè)/32空間，或者直接購(gòu)買某些互聯(lián)網(wǎng)服務(wù)提供商的服務(wù)，這些服務(wù)商可以為每個(gè)用戶分配一整塊/48前綴）。我們發(fā)現(xiàn)，將流量分散到多個(gè)前綴上有助于規(guī)避檢測(cè)，因?yàn)槊總€(gè)源地址可能只發(fā)出了一個(gè)數(shù)據(jù)包。另外一些掃描器甚至還在IPv6地址中的可用位里編碼了掃描信息。

我們?nèi)绾伪O(jiān)測(cè)出大規(guī)模IPv6掃描？

Akamai的防火墻會(huì)記錄發(fā)送到我們邊緣主機(jī)上的未經(jīng)請(qǐng)求的流量，其中就包含掃描流量。在掃描檢測(cè)方面，我們的依據(jù)是：一個(gè)特定來(lái)源，至少要以我們自己服務(wù)器的100個(gè)IP地址為目標(biāo)，這有些類似于早期IPv4大規(guī)模掃描的檢測(cè)機(jī)制。

如上文所述，由于一些掃描器使用更大的前綴來(lái)發(fā)出流量，我們首先將展示在不對(duì)流量進(jìn)行聚合（/128源）情況下發(fā)現(xiàn)的掃描器，隨后會(huì)展示首次將來(lái)自一個(gè)/64源的所有數(shù)據(jù)包聚合在一起后發(fā)現(xiàn)的掃描器，最后還有對(duì)來(lái)自一個(gè)/48源的所有數(shù)據(jù)包聚合后的結(jié)果。

2021和2022年的IPv6掃描趨勢(shì)

圖1：不同的源聚合程度下，每周檢測(cè)到的IPv6掃描來(lái)源

圖1展示了從2021年1月到2022年3月，我們每周檢測(cè)到的掃描器數(shù)量。從圖中可以看到，源數(shù)據(jù)包的聚合程度會(huì)對(duì)檢測(cè)到的掃描器來(lái)源數(shù)量產(chǎn)生巨大影響?？偟膩?lái)說(shuō)，我們發(fā)現(xiàn)在整個(gè)時(shí)期內(nèi)，掃描器的數(shù)量相對(duì)穩(wěn)定，每周活躍的掃描器來(lái)源大致都在10到100個(gè)之間，與針對(duì)IPv4空間進(jìn)行掃描的數(shù)十萬(wàn)個(gè)掃描器相比，這個(gè)數(shù)量不值一提。從2121年11月開(kāi)始，/128掃描源有一個(gè)明顯的增量，但我們發(fā)現(xiàn)所有這些/128源都可以聚合成一個(gè)/64，并且都是被同一個(gè)掃描者所使用的，那是一家美國(guó)的網(wǎng)絡(luò)安全公司。

對(duì)IPv6掃描流量進(jìn)行的聚合

圖2：每周的掃描數(shù)據(jù)包數(shù)量（/64源聚合）

圖2展示了每周捕獲的掃描數(shù)據(jù)包數(shù)量，并且我們將每周最活躍和第二活躍掃描器與其他所有掃描器來(lái)源分開(kāi)顯示了。令人震驚的是，我們發(fā)現(xiàn)，基本上，無(wú)論在什么時(shí)間，都有一個(gè)最活躍的掃描器發(fā)出了絕大部分掃描流量（最高占到每周總流量的92%），而其他不那么活躍的掃描器只產(chǎn)生了很少量的流量。那么這就引出了另一個(gè)問(wèn)題：這個(gè)最活躍的掃描器到底是誰(shuí)？

掃描的來(lái)源網(wǎng)絡(luò)

下表列出了按照掃描流量的數(shù)據(jù)包數(shù)量降序排序的前20個(gè)掃描流量來(lái)源網(wǎng)絡(luò)（自治系統(tǒng)，AS）。此外我們還針對(duì)每個(gè)網(wǎng)絡(luò)，列出了檢測(cè)到存在掃描器的/48前綴、/64前綴以及/128前綴的數(shù)量。對(duì)于每個(gè)網(wǎng)絡(luò)，我們還列出了網(wǎng)絡(luò)類型和來(lái)源國(guó)家/地區(qū)。

表：按照數(shù)量排名前20的掃描來(lái)源網(wǎng)絡(luò)（AS）

我們注意到，如果來(lái)自/48的聚合流量滿足有關(guān)掃描的定義，但來(lái)自/64的聚合流量無(wú)法滿足定義，那么/48的掃描源數(shù)量可能會(huì)超過(guò)/64或/128（例如排名第18位的AS）。

我們發(fā)現(xiàn)，掃描活動(dòng)是嚴(yán)重集中的：前五個(gè)源網(wǎng)絡(luò)幾乎占據(jù)所有掃描流量的93%。尤其值得注意的是，最活躍的兩個(gè)源網(wǎng)絡(luò)都是位于中國(guó)的數(shù)據(jù)中心，緊隨其后的是一些網(wǎng)絡(luò)安全公司以及大型云提供商。總的來(lái)說(shuō)，我們發(fā)現(xiàn)大部分掃描流量都來(lái)自數(shù)據(jù)中心/云提供商，排名前20的來(lái)源沒(méi)有一個(gè)是面向最終用戶的ISP。

進(jìn)一步分析每個(gè)AS內(nèi)部的掃描源后，我們發(fā)現(xiàn)不同網(wǎng)絡(luò)之間存在著驚人的差異。雖然最活躍的掃描源的全部流量都來(lái)自一個(gè)128位源地址，但我們發(fā)現(xiàn)一些網(wǎng)絡(luò)（例如排名第18位的AS）中，同一個(gè)掃描器會(huì)從超過(guò)1000個(gè)不同的/48前綴發(fā)出掃描流量。同時(shí)，第18位的AS在所有記錄在案的掃描流量中占比還不到0.1%，但在按照活躍的來(lái)源前綴對(duì)網(wǎng)絡(luò)進(jìn)行排序時(shí)，其中可能會(huì)出現(xiàn)分析偏差。

挑戰(zhàn)和結(jié)論

我們?cè)谘芯縄Pv6掃描時(shí)遇到了一個(gè)很重要的問(wèn)題：在識(shí)別單一掃描者的過(guò)程中，使用怎樣的前綴大小才是合適的？如上表所示，答案要看情況：雖然排名第1的AS中的掃描器可以，并且應(yīng)當(dāng)用它所采用的單一128位IPv6地址加以識(shí)別，但排名第18的AS中的掃描器則需要聚合到整個(gè)/32前綴中。一般來(lái)說(shuō)，聚合到如此長(zhǎng)的前綴，可能導(dǎo)致無(wú)法區(qū)分個(gè)別的掃描源，特別是在云提供商的環(huán)境中，個(gè)人用戶經(jīng)常也可以被分配/64、/9，甚至更具體的前綴。在實(shí)踐中，如果要通過(guò)掃描檢測(cè)來(lái)封鎖某些地址，那么太“粗粒度”的聚合可能導(dǎo)致無(wú)意中封鎖了合法來(lái)源。

我們的初步分析發(fā)現(xiàn)，目前以IPv6空間為目標(biāo)的掃描器數(shù)量依然還相對(duì)較少，相比IPv4世界中那些知名的掃描器，數(shù)量更加不值一提。IPv6掃描流量高度集中，少數(shù)源地址占據(jù)了支配地位。我們認(rèn)為，如果IPv6空間的漏洞掃描行為變得更加普遍，這種情況可能也將迅速產(chǎn)生變化。識(shí)別和正確定位IPv6掃描源已成為一個(gè)迫在眉睫的挑戰(zhàn)。

如果對(duì)這個(gè)研究的結(jié)果感興趣，歡迎閱讀我們的論文。

這篇文章的內(nèi)容感覺(jué)還行吧？有沒(méi)有想要立即在 Linode 平臺(tái)上親自嘗試一下？別忘了，現(xiàn)在注冊(cè)可以免費(fèi)獲得價(jià)值 100 美元的使用額度，快點(diǎn)自己動(dòng)手體驗(yàn)本文介紹的功能和服務(wù)吧↓↓↓

出海云服務(wù)，選擇Akamai Linode！

歡迎關(guān)注Akamai ，第一時(shí)間了解高可用的MySQL/MariaDB參考架構(gòu)，以及豐富的應(yīng)用程序示例。