随着物联网应用的蓬勃发展和IPv4地址的枯竭,IPv6的普及已成为必然趋势,暴露在IPv6网络上的物联网资产将成为一种攻击方式,因此,IPv6资产的准确映射和服务对网络安全具有重要意义。本文介绍2019年中国、新加坡、日本IPv4物联网资产实际暴露情况,以及部分IPv6地址集物联网资产暴露情况。总结了一些发现IPv6物联网资产的方法,利用地址分布特征从IPv6地址集中测绘的方法可以大大缩小测绘范围,使IPv6测绘具有一定的可行性。虽然目前IPv6地址映射还不完善,但可以考虑主动映射、被动获取流量等多种方式,通过持续运营不断积累存活的IPv6资产。随着物联网应用的蓬勃发现,IPv6的普及已成为必然趋势。面向IPv6的网络攻击也将随之而来。IPv6网络地址和服务的准确映射是物联网资产信息收集和漏洞发现的前提和手段,对后续的物联网安全具有重要意义。本文仅解读《2019 物联网安全年报》的部分章节。一、IPv4物联网资产实际暴露情况2019年,国内物联网资产实际暴露数量为116万个,其中摄像头是暴露最多的设备类型。2018年,暴露在互联网上的资产网络地址不断变化。使用历史数据来描述暴露资产的情况会??导致统计结果高于实际暴露数量。因此,某个区域的实际曝光次数应该在短时间内。经过一段时间的测绘,统计物联网资产数量比较准确。2019年11月,我们对国内物联网资产常用端口进行测绘,共发现暴露物联网资产116万个,其中以摄像头居多,暴露量约56万个。如图1.1所示。图1.12019年国内IPv4物联网资产实际暴露情况报告也介绍了新加坡和日本的物联网资产实际暴露情况。日本暴露的物联网资产总量约为47万,新加坡暴露的物联网资产总量约为28万。日本物联网资产的敞口与去年总量相比变化不大。与去年相比,新加坡的物联网资产曝光数量增加了约40%。这一增长可能与新加坡近年来大力发展物联网应用有关。2.IPv6物联网资产实际暴露情况研究目前IPv6资产映射还是一个学术问题,国内外相关研究页面也处于起步阶段,但可以通过IPv6地址和一些特征启发式发现IPv6物联网物联网服务资产。从结果来看,国内IPv6物联网资产数量还比较少,这应该与我国IPv6部署还处于起步阶段有关。IPv6地址空间太大,IPv6地址数量是IPv4的296倍。通过IPv4资产发现的方式在整个网段映射IPv6资产,从时间开销和资源消耗上看不切实际;另外,目前IPv6实际使用的地址数量少,地址分配的随机性大。有针对性的测绘策略很难发现某个网络中幸存的IPv6资产,也增加了测绘的难度。因此,面向IPv4的地址映射方法不适用于IPv6网络。2.1从已知IPv6地址集中发现物联网资产我们找到一些可用的IPv6地址集,通过映射和识别这些地址来发现物联网资产。使用的地址集包括:Hitlist维护的存活IPv6地址数量约300万个;绿盟科技威胁情报中心(NTI)域名情报映射的IPv6地址集数量约为17亿个。测绘物联网资产常用端口,物联网资产数量约8万个。物联网资产类型最多的是VoIP电话,共有70,682个,其次是摄像头,共有13,960个,最后是路由器,共有1,549个。根据物联网资产端口分布统计,最主要的是VoIP电话开放的5060端口和摄像头开放的554端口。各国物联网资产分布如图1.2所示。德国拥有最多的物联网资产,其次是荷兰和美国。图1.2发现的IPv6物联网资产全国分布2.2基于IPv6地址生成特征的启发式映射IPv6地址的分布存在一些特征,如随机地址位、MAC地址嵌入等,我们可以利用这些分布特征添加一些测绘范围或限制条件以减少IPv6地址映射地址空间。利用MAC地址中嵌入的生成规则和IEEE提供的厂商ID对照表,通过对指定IPv6地址范围内的某个厂商的地址进行测绘,可以缩小测绘范围,从而缩短测绘时间.由于提供了6位厂商MACID和4位FFFE,测绘随机地址位从16位减少到6位,测绘地址数从264-1个减少到218个-1,大大缩短了测绘时间。.此外,MAC嵌入式地址映射也有助于发现物联网设备的IPv6地址。通过输入物联网智能设备厂商的MAC,测绘存活地址有很大概率是物联网设备。或者通过提取MAC地址中嵌入的MAC地址,匹配厂商信息,有助于识别资产的设备类型。2.3基于UPnP双栈服务的启发式映射除了上述使用地址组合特征映射的方法外,UPnP服务还可以用于发现IPv6物联网资产。UPnP是一套用于实现局域网内各种设备互通互联的协议,但是由于配置不当,导致很多UPnP服务暴露在互联网上。通过使用该协议的一些特性,我们可以发现一些暴露的同时运行IPv4和IPv6双栈服务的物联网资产。通过分析1900端口的全球IPv4资产,发现全球双栈资产数量为27642个,其中27150个为MAC嵌入地址。双栈资产数量最多的地区是中国,共有15538个资产;其次是越南,共有5372项资产。图1.3通过UPnP查到的双栈资产的地域分布我们查到的双栈地址几乎都是内嵌MAC地址的,所以我们可以先分析IPv6地址中的MAC,然后通过设备的厂商ID号进行查询MAC地址相关厂商信息。MAC地址去重后,共有11606台设备。厂商具体分布如图1.4所示。几乎都是IoT厂商的设备,其中IoT厂商A的曝光量最大。图1.4已发现的双栈资产厂商分布更详细的物联网资产描述,点击下载报告完整版
